Мы вкладываем немалые деньги в DLP, фаерволы, анти-вирусы и другие технологии информационной защиты, но продолжаем страдать от утечек, взломов, причем ситуация становится все хуже и хуже. Что не так? Человек -- самое слабое звено в ИБ. Можно тратить огромные средства на безопасность, но если конечные пользователи не понимают, что это такое, зачем это нужно, как это касается непосредственно их, все усилия тщетны. Мы рассматрим осведомленность пользователей в области ИБ (user awareness) как самостоятельное защитное средство и содержит описание всех необходимых шагов для его внедрения на практическом уровне в любой организации.
Выступающий: Трубачева Вера, системный аналитик, Отдел защиты информации от внутренних угроз, Лаборатория Касперского
Related links: http://www.youtube.com/watch?v=Vr8lmIhc0pk - "Humans Are The Weakest Link -- How DLP Can Help" performance of DLP Research, Kaspersky Lab at Security Analyst Summit 2012
1. Click to edit Master title style
Человек – самое слабое звено.
Что делать?
Лаборатория Касперского
Лаборатория защиты информации от внутренних угроз
Вера Трубачева
2. Угадайте, чтоMaster title style
Click to edit это?
12345
qwerty
11111
asdf
Стр. 2
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
3. Угадайте, чтоMaster title style
Click to edit это?
Стр. 3
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
4. Click to edit Master title style
О чем поговорим
•
•
•
Что такое осведомленность
пользователей в ИБ?
Зачем это нужно?
Как этого достичь?
5. Что такое осведомленность?
Click to edit Master title style
регламент + обучение + культура безопасности
регламент без обучения -
Стр. 5
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
6. Зачемto edit Master title style
Click нужна осведомленность?
ФС
1. Этого требует закон
СТ
ОБ
G
BA
L
РИ
ББ
HI
С
2
7001 & 2700
ISO/IEC 2
PCI D
SS
F
MA
IS
AA
P
NIS
T
DLP Web Conference, 20.10.2011
800
-53
ГОСТ Р
/МЭК 27001ИСО
20 06
OX
S
Стр. 6
ТЕ
К
см. Приложение 1
Трубачева Вера, DLPR, KL
7. Зачемto edit Master title style
Click нужна осведомленность?
2. Защитить
самое слабое
звено в
безопасности –
человека
Стр. 7
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
8. Зачемto edit Master title style
Click нужна осведомленность?
Инциденты безопасности
успешных атак
направлены на
человека
(Mandiant)
2. Защитить
самое слабое
звено в
безопасности –
человека
90%
участие
пользователя
(Symantec)
60%
человеческий
фактор
Стр. 8
DLP Web Conference, 20.10.2011
случайные ошибки
(InfoWatch)
Трубачева Вера, DLPR, KL
9. Зачемto edit Master title style
Click нужна осведомленность?
Стр. 9
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
10. Зачемto edit Master title style
Click нужна осведомленность?
3. Предотвратить непредвиденные огромные затраты
$7,2 млн. за
утечку в 2010
Стр. 10
DLP Web Conference, 20.10.2011
$56,165 тыс. за
потерянный
ноутбук в 2010
Трубачева Вера, DLPR, KL
11. С чего начать?
Click to edit Master title style
Определите границы
задачи
Стр. 11
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
12. Что? Где? Когда?
Click to edit Master title style
Знайте свои данные
Стр. 12
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
13. А первый кто?
Click to edit Master title style
Убедите топ менеджмент
Минимальные средства для
больших результатов
см. Приложение 2
Стр. 13
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
14. Как мерить? Master title style
Click to edit
Измеряйте
осознанность ДО и
ПОСЛЕ
Стр. 14
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
15. Чему учить? Master title style
Click to edit
1. ЛИКБЕЗ по ИБ
2. Корпоративные
политики и почему они
такие
3. Как реагировать и
сообщать об
инциденте
См Приложение 3
Стр. 15
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
16. Как учить? Master title style
Click to edit
x2
2
Стр. 16
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
17. Как учить? Master title style
Click to edit
Я слышу и я забываю
Я вижу и я помню
Я делаю и я понимаю
Конфуций
Стр. 17
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
18. Как учить? Master title style
Click to edit
См Приложение 4
Стр. 18
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
19. Как учить? Master title style
Click to edit
Люди должны понимать зачем ОНИ должны это делать?
Стр. 19
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
20. Как мотивировать? title style
Click to edit Master
Используйте кнуты и
пряники пропорционально
степени тяжести нарушения
Стр. 20
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
21. Программа минимумtitle style
Click to edit Master
Уходя, блокируйте компьютер
Не рассказывайте пароли. Если рассказали – смените пароль
Используйте шредер для уничтожения печатных секретов
Проверяйте флешки на вирусы перед использованием
Проверяйте источник запроса конф. информации
Зашифруйте секретную информацию при копировании на флешку
Не размещайте конф данные в социальных сетях
Не посылайте секретные данные через веб почту вне корпоративной сети
Проверьте список получателей перед рассылкой секретных данных дважды
Стр. 21
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
22. Заключение Master title style
Click to edit
1.
Осведомленность
пользователей важна и
нужна
2.
Как ее достичь:
Стр. 22
Определите цели
Объясните зачем ИМ
это нужно
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
23. Click to edit Master title style
Человек – самое слабое звено. Что делать?
Спасибо за внимание!
Будьте безопасны!
Лаборатория Касперского
Лаборатория защиты информации от внутренних угроз
Вера Трубачева
24. Как DLP может повышатьstyle
Click to edit Master title осведомленность?
Адаптивное обучение в ответ на нарушение
Стр. 24
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
25. Как юридически заставить соблюдать регламент?
Click to edit Master title style
Стр. 25
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
26. Приложение 1:
Click to edit Master title style
Зачем это нужно? Чтобы соответствовать законам:
1. Стандарт Банка России по обеспечению информационной безопасности
организаций банковской системы Российской Федерации (СТО БР ИББС)
2. ГОСТ Р ИСО/МЭК 27001-2006 (= ISO/IEC 27001)
3. Payment Card Industry Data Security Standard (PCI DSS)
4. Federal Information System Security Managers Act (FISMA)
5. Health Insurance Portability and Accountability Act (HIPAA)
6. Gramm-Leach-Bliley Act (GLBA)
7. Sarbanes-Oxley Act (SOX)
8. EU Data Protection Directive
9. National Institute of Standards and Technology (NIST 800-53)
10. International Organization for Standardization: ISO/IEC 27001 & 27002
11. Control Objectives for Information and Related Technology (CoBiT 4.1)
12. Red Flag Identity Theft Prevention
13. Personal Information Protection and Electronic Documents Act (PIPEDA)
14. Management of Federal Information Resources (OMB Circular A-130)
15. Some state breach notification laws (ie Massachusetts 201 CMR 17.00)
Стр. 26
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
27. Приложение 2
Click to edit Master title style
Как убедить топ менеджмент, что это необходимо? Расскажите им:
1.Реальные истории утечек и их последствия ($):
•
•
•
•
•
•
•
DataLossDB
The Breach Blog
Chronology of Data Breaches
Laptop Losers Hall of Shame
The Register
Блог InfoWatch
Anti-Malware про утечки
1.Результаты опросов их сотрудников (как мало они знают!): пример1,
пример2
2.Требования законодательства
Стр. 27
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
28. Click to edit Master title style
Приложение 3
Чему учить сотрудников? Темы для всех:
•
Секретные данные
1.
Социальные сети
2.
Мобильные устройства
3.
Работа с ноутбуком в командировке
4.
Пароли
5.
Проверка источника запроса секретных данных
6.
Соблюдение законов (как и зачем)
7.
Практики безопасности при работе с компьютером
8.
Email этикет
9.
Чистый рабочий стол
10. Инциденты
11. Персональное использование систем дома и на работе
Page 28
29. Click to edit Master title style
Приложение 3
Чему учить сотрудников? Темы для разработчиков и сисадминов:
•
Как писать безопасный код
•
Как тестировать код на предмет безопасности
•
Как интегрировать сервисы безопасности компании
(аутентификация, авторизация, шифрование) вместо изобретения
колеса каждый раз
•
Практики управление паролями
•
Как обрабатывать секретные данные сотрудников и заказчиков
Page 29
30. Click to edit Master title style
Приложение 3
Чему учить сотрудников? Темы для топ менеджмента: должны
понимать, что программа повышения осведомленности
пользователей необходима для поддержки качественной и
долговечной программы информационной безопасности. + ЛИКБЕЗ
на равне со всеми
Page 30
31. Приложение 4
Click to edit Master title style
Как учить сотрудников:
•
Обязательное обучение политикам безопасности (мин. раз в год)
•
Обучение новичков
•
Периодическое информирование через почту и сайт компании
•
Сообщения (на ручках, брелоках, липких листочках, блокнотах,
закладках, часах и т.д.)
•
Постеры, чек листы, листовки
•
Скринсейверы , баннеры, сообщения на рабочий стол
•
Сессии через web / компьютер / телеконференции
•
Персональные сессии
•
Ролевые игры (тест кейсы)
•
Дни информационной безопасности
•
Календарь на стену с ежемесячными подсказками
•
Кроссворды
•
Поощрительные программы (письменная благодарность, доска почета)
Стр. 31
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
32. Кто может помочь? title style
Click to edit Master
Ресурсы
•
CERT
•
Ponemon Institute
•
ISSA
•
The university of Arizona
•
NIST SP 800-50 and NIST SP 800-16
•
SANS (presentations, Security Awareness Newsletters,
training)
•
InfoSecurityLab (постеры, обои и скринсейверы, листовки
)
•
Информзащита, Софтброкер - обучение
Стр. 32
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
33. Как классифицировать информацию?
Click to edit Master title style
A. Узнайте свои IT ресурсы:
Индивидуальные файлы
Классы файлов
Рабочие станции
Приложения
Базы данных
IT сервисы
Устройства
A. Узнайте владельцев данных -> узнайте пользователей
B. Классифицируйте данные:
Стр. 33
Публичные
Только для внутреннего использования
Конфиденциально
Совершенно секретно
DLP Web Conference, 20.10.2011
Трубачева Вера, DLPR, KL
Notas do Editor
{"16":"Как учить? Информация должна быть простой, понятной и четкой. То есть не как у нас в конституции. \n","5":"Что такое хорошая программа по безопасности? Это когда у вас есть политики (регламент) + они доведены до сведения сотрудников (т.е. они осведомлены) + и когда все соблюдают культуру безопасности.\nЕсли ваши сотрудники, уходя домой, не блокируют компьютер, (а это ваша политика), спросите себя, а они вообще знают, что это надо делать (вы их этому научили)? А сами вы так делаете?\nОсведомленность – это результат процесса обучения, когда вы обучаете своих сотрудников, заостряя их внимание на безопасности так, что они осознают угрозы в области безопасности и реагируют на них правильным образом. \nНужно создавать культуру безопасности, когда ВСЕ сотрудники ведут себя безопасно, то есть ВСЕ знают, ЧТО делать, чтобы избежать инцидентов, и что НЕ делать, чтобы их не вызвать. И при этом положительно воспринимают эти правила. \n","22":"Итак, подведем итог. Сегодня мы поговорили о том, почему очень важно повышать осведомленность. Потому что осведомленность снижает негатив пользователей и делает их поведение осознанным. \nТакже мы рассмотрели, как этого достичь. А именно, нужно определить, что вы хотите, чтобы делали ваши сотрудники. И объясните им, зачем ИМ это нужно. Сознательным будет достаточно объяснения. Остальным нужны кнуты и пряники. \nЗнания ваших сотрудников – это ваша сила в защите компании. Пользуйтесь ею.\n","11":"Итак, мы рассмотрели зачем нужно повышать осведомленность. А теперь давайте перейдем к тому, как это сделать. \nПервое. Осознайте проблему. Я уверена, что ваша СБ и админы расскажут вам красочно и доходчиво, в чем именно ваши пользователи «разгильдяи». Поставьте систему мониторинга. В общем выявите основные проблемы в компании в плане безопасности. Например, не пользуются шредером, ходят по ссылкам в письмах со спамом, не шифруют данные при копировании на флешку, ок.\nА дальше определите конечные цели и критерий успеха программы повышения осведомленности. Например. Ваша цель: Все используют шредер для уничтожения конфиденциальных данных в печатном виде. Критерий успеха: СБ не находит конфиденциальные данные и их черновики в мусорке, на столе и т.п. местах при осмотре. \n//Не размещайте конф данные в социальных сетях //может выложить из дома даже если соцсети закрыты на работе. Можно повлиять только повышая корп дух\nНе посылайте секретные данные через веб почту (gmail, hotmail, и т.д.) вне корпоративной сети\nПроверьте список получателей перед посылкой секретных данных дважды\nНе рассказывайте пароли. Рассказал - смени\n","17":"Информация должна быть услышана, уведена и проделана. Совмещение всего этого – более мощный способ. Помните анекдот, когда учитель после третьего раза объяснения задачи воскликнул, да я уже сам понял, а вы все не понимаете! Он сам понял, потому что проделал сам, да еще и объяснил другим. В этом смысле ролевые игры и метод Объясни соседу очень эффективны.\nА помните, в школе твердили: повторение — мать ученья? Это тоже очень эффективно. Повторяйте материал. \nЗакрепляйте его, используя разные примеры об одном и том же, чтобы доходчиво объяснить. \nКак НЕ надо учить? Не надо устраивать марш-бросок и насиловать ваших пользователей обучением каждые 15 минут или утомительными проповедями на час. Лучше если это будет не формально, где-нибудь в курилке..\nНе пользуйтесь жаргоном – пользователи чаще всего его не понимают.\nИ подавайте личный пример. Если офицер безопасности не блокирует компьютер, его не будут слушать. Да кто он вообще после этого?!\n","6":"Зачем нужно повышать осведомленность пользователей?\nДа потому что, во-первых, этого требует закон. И далеко не один, а минимум 10. \nВ России пока нет такого обилия законов, как на западе, считающих программу повышения осведомленности обязательной. Там это называется user awareness. У нас данная программа УЖЕ является обязательной для ВСЕХ банков. Аналогичные требования есть в ГОСТе и в документах ФСТЭК по защите ключевых систем информационной инфраструктуры.\n//ФЗ не требует обучение, но карает за утечки. А кто виновник утечек? Человек (точнее его «раздолбайство»). Причем по шапке получает не виновник (его почти нереально привлечь), а компания\n//Доказать нарушение относительно легко, а вот доказать умысел и причастность человека очень сложно, так как логи ведут к компьютеру, а не человеку. Кстати, для предъявления логов в суде, они должны быть сертифицированы, однако заранее неизвестно, какие именно сертификаты потребует эксперт. Человек всегда может начать отпираться (это не я, это марсиане кнопку нажали, я вообще болел/был в столовой в этот день, вы все подделали). Одним из механизмов доказательства причастности может служить наживка и ловля с поличным в следующий раз. Тем не менее, улики в основном косвенные, потому до привлечения к уголовной ответственности доходит очень редко (в основном, когда дело доходит о большом ущербе). Однако для «внутренней разборки» материалов хватает. По итогам такой разборки максимум, что можно сделать, это уволить человека (взыскание?), «испортить» ему жизнь, но не привлечь уголовно. Правоохранительные органы в России привлекают только в случае нанесения большого ущерба. Однако на западе, например, сообщать об инциденте в правоохранительные органы нужно обязательно. Таким образом, DLP хороша для СБ для внутренних расследований, но наказать уголовно она никак не поможет.\n","23":"На этом у меня все. Благодарю за внимание. Жду ваших вопросов.\n","12":"Знайте свои данные! Знайте ЧТО нужно защищать, ГДЕ это хранится, КТО этим пользуется, КАК и ЗАЧЕМ. Если офицер безопасности сам до конца не понимает, что именно относится к персональным данным, то он может требовать, чтобы остальные не посылали их по почте!?\nА когда вы знаете основные проблемы и что нужно защищать, составьте понятную четкую инструкцию о том, ЧТО сотрудники должны делать, КОГДА они должны это делать, КАК и очень важно ЗАЧЕМ это делать. И составьте эту инструкцию так, как будто вас расстреляют, если там будет хотя бы 1 не понятный пункт\n","1":"Здравствуйте! Меня зовут Вера Трубачева. Я системный аналитик из Лаборатории Касперского.\nЯ полагаю, что большинство слушателей, это люди так или иначе связанные с системой безопасности.\n","18":"Используйте разные методы подачи информации, потому что люди привыкают и перестают воспринимать. Это могут быть плакаты, листовки, кроссворды, канц товары с лозунгами и т.д. Чем красочнее, проще вы будете доносить правила безопасности до пользователя, тем эффективнее будет проходить процесс его обучения.\n//Пароли — они как трусы: их нежелательно светить в людном месте, их нельзя давать кому-нибудь поюзать и ещё их нужно регулярно менять.\n","7":"Во-вторых.\nSony, RSA, Мегафон… вы думаете у них не стоит фаервол, анти-вирус…? Все это у них есть! Так утечки почему-то все равно происходят? Почему? Да потому, что самое слабое звено в информационной безопасности – это не технология, а человек, который ею пользуется.\nКто кликает на ссылку? Кто устанавливает программу, которая запускает вредоносный код? Кто теряет ноутбук или мобильник, на которых были незашифрованные конфиденциальные данные? Человек! \nПричиной недавних громких утечек называют APT атаки (атаки повышенной сложности). 100% успешных APT атак направлены на человека! 90% вредоносного ПО требует участия пользователя!\nПо статистике 3 из 4х инцидентов безопасности происходит из-за злополучного человеческого фактора. При этом 2 из 3х инцидентов происходят из-за НЕ умышленных ошибок персонала. \n//Один некомпетентный сотрудник может подорвать всю вашу систему безопасности. А один злонамеренный сотрудник может разрушить всю вашу компанию. \n//Mandiant - крупная компания которая занимается обнаружением и расследованием утечек\n","24":"Мы плотно изучаем данную тему/проблему и уже подали несколько патентных заявок. Они касаются экспертной системы, которая анализирует и автоматически разруливает инциденты и меры реагирования на них. Она умеет строить рейтинги опасности пользователя и в соответствии с ними изменять политику по конкретному пользователю. Например, в случае первичного инцидента она фиксирует этот факт и подбирает юзеру учебный курс. Это позволяет обучать сотрудника в контексте. В случае повторной аналогичной ошибки тем же самым пользователем система уже закручивают гайки для него и шлет уведомление в СБ. Так как факт нарушения, последующего обучения, а затем повторного нарушения фиксируется, сотрудник уже не может отпереться «а я не знал», когда ему предъявят наказание.\nЕсли он, наоборот, ведет себя хорошо, то гайки откручиваются, то есть плюшки за безопасное поведение можно выдавать автоматически.\nDLP фиксирует конкретный факт нарушения (например, копирование секретных данных на флешку). В DLP есть экспертная система. Если это первичный случай для данного сотрудника, то ему подбирается простенький учебный курс (коротенький ролик или плакат) и спрашивается, понял? Есть вопросы? Если он все понял, это фиксируется. \nКогда тот же самый юзер совершает аналогичную ошибку, ему уже выдается более продвинутый курс и снова спрашивается: понял? Понял. Фиксируем.\nПосле третьего раза идет нотификация СБ. Они уже разбираются, инсайдер это или идиот, а может вообще это начальник каждый раз просил данные ему на флешке приносить.\nЧем эффективен подход адаптивного обучения в ответ на нарушение? \nЮзер не только учится в конктесте, но это еще и фиксиурется, когда как и чему его учили. И если потом ему будут предъявят наказние за нарушение регламента, он уже не сможет отвертеться: я не знал, это был не я. Ты кнопку нажимал, что все понял и вопросов нет? Нажимал. Вот и вебкамера это сфотала. Извольте получить выволочку!\nТаким образом, если есть нарушения, реагируем обучением. Если инцидентов нет, можем обоснованно давать пряник.\n","13":"Вам чрезвычайно важно объяснить высшему руководству преимущества от внедрения данной программы. На языке бизнеса. Без поддержки топ менеджмента ваша программа провалится. Она даже не начнется. \nКак сделать так, чтобы инициатива о внедрении программы шла от босса? Как заручиться его поддержкой? \nВо-первых, расскажите ему о проблемах, которые выявили. У сотрудников поголовно пороли 123!\nА во-вторых, приведите ему примеры реальных инцидентов. Очень важно, чтобы они касались компаний, схожих с вашей. Если вы интегратор, расскажите как у другого известного интегратора случилась утечка. Как раз потому, что был подобран пароль. Босс должен понять, что это не просто страшилка, это реально! Соседи вот тоже никогда думали, что их обваруют, а на прошлой неделе случилось! Мы можем быть следующими! Все бывает когда-то в первый раз. \nРеальный случай из практики Олега Зайцева – это известный офицер безопасности с 12летним стажем в крупной энергетической компании МРСК Центра. Он еще антивирус бесплатный написал. Олег предложил менеджерам зашифровать их iPads и защитить 10значным паролем. Но все понадеялись на русский авось, а на следующий день по закону бутерброда у одного из них украли iPad, на котором были стратегические планы компании. К вечеру все 16 iPad лежали на столе у Олега с просьбой объяснить, как их зашифровать. Кстати, проверьте ваш мобильник, он все еще с вами? А на нем есть незашифрованные данные, которые будет жалко потерять?\nСамый главный вопрос, который будет волновать вашего босса, это деньги. Сколько это стоит?\nРасскажите ему о возможных вариантах и порекомендуйте оптимальный. Например, можно отправить сотрудников на специальные курсы, но это деньги и отрыв сотрудников от производства. К тому же абстрактные курсы дают абстрактные знания, они вряд ли заточены на вашу специфику, ваши проблемы. Можно и своими силами: листовки, рассылки, в общем с минимальными затратами, без отрыва людей от производства. \nКогда вы получите добро от босса, назначьте ответственных. Очень эффективно выстроить иерархию процесса обучения. Если у вас 10 филиалов по всей России, обучаете 10 начальников, а они уже своих подчиненных. \n","2":"Что вам напоминают эти цифры?\n","19":"Очень очень важно. Люди должны понимать зачем ОНИ должны это делать? Что им с этого?\nПомните, я в начале говорила, составьте четкую инструкцию: что сотрудники должны делать, когда, как и важно зачем. Вот это ЗАЧЕМ вам нужно самим понять и им объяснить.\nЗдесь играют роль 2 вещи: мотивация – сотрудники должны понимать, какие его ждут кнуты и пряники за безопасное поведение – и жизненные примеры. \nРасскажите им, как у вашей тети червь недавно сожрал на компьютере все данные и в результате она, бедняжка, лишилась своих фотографий, которые сделала на дорогущей фотосессии. Лучше если это будет не тетя, а Светлана из \nКогда люди чувствуют реальность происходящего, они понимают, «это может случиться и со мной!».\n","8":"Во-вторых.\nSony, RSA, Мегафон… вы думаете у них не стоит фаервол, анти-вирус…? Все это у них есть! Так утечки почему-то все равно происходят? Почему? Да потому, что самое слабое звено в информационной безопасности – это не технология, а человек, который ею пользуется.\nКто кликает на ссылку? Кто устанавливает программу, которая запускает вредоносный код? Кто теряет ноутбук или мобильник, на которых были незашифрованные конфиденциальные данные? Человек! \nПричиной недавних громких утечек называют APT атаки (атаки повышенной сложности). 100% успешных APT атак направлены на человека! 90% вредоносного ПО требует участия пользователя!\nПо статистике 3 из 4х инцидентов безопасности происходит из-за злополучного человеческого фактора. При этом 2 из 3х инцидентов происходят из-за НЕ умышленных ошибок персонала. \n//Один некомпетентный сотрудник может подорвать всю вашу систему безопасности. А один злонамеренный сотрудник может разрушить всю вашу компанию. \n//Mandiant - крупная компания которая занимается обнаружением и расследованием утечек\n","25":"Кстати, как можно юридически заставить сотрудника соблюдать политики. При приеме на работу сотрудник подписывает Правила внутреннего трудового распорядка, который ссылается на обязательность соблюдения Внутреннего регламента использования инф-х ресурсов. А уже в нем описано, как должны эксплуатироваться машины и сеть, какие есть правила и политики, а также рекомендации в случае их нарушения (кнуты и пряники). \n//Правила внутреннего трудового распорядка - Подписывается при приеме на работу, написано по ТК, содержит ссылку на обязательность соблюдения Внутренний регламент использования инф-х ресурсов \nИнцидентом считается любое нарушение действующего регламента, который прописывает, как должна эксплуатироваться машины и сеть, какие есть правила и политики, а также рекомендации в случае их нарушения.\nКлассификации инцидентов нет. В компании, где работает Олег, принято 4 класса инцидентов, зависящих от уровня угрозы:\nНаивысший уровень, когда сеть взломана и происходит пагубное воздействие.\nЗлоумышленники получили или могут получить доступ, но к пагубным воздействиям это еще не привело.\nПотенциальная дыра в безопасности, пагубное воздействие не происходит.\nВсе остальное (мелкие инциденты, которые не приводят к пагубным последствиям).\n","14":"Важно ДО запуска программы продумать метрики, которые должны соответствовать целям программы. \nК примеру:\nАнализ инцидентов (количество, типы, причины) //летом тихо, осенью вышли и рост, новая вирусня или наоборот (не понял, но спад вирусов)\nУровень знания путем успешного прохождение теста\nРеакция на «наживку» \nНаживки могут быть самые разные: \nПозвоните от имени начальника и попросите дать данные по подчиненному\nПодбросьте дешевую флешку с симулятором вируса и посмотрите, кто клюнет\nПошлите завлекающий спам с голой девушкой и посмотрите, кто пойдет по ссылке\nМожно устроить конкурс: знаешь пароль соседа – поставь ему заставку с памелой андерсон и получи приз. Я знаю одну компанию, где всегда пишут гадости и шутки на рабочем столе, если сотрудник отошел, а компьютер не заблокировал. И, кстати, те, кто работал в этой компании, потом всегда блокируют свой компьютер. А в Лаборатории Касперского ITшники забавляются по-другому в такой ситуации. Посылают письмо на весь отдел с признанием: «Коллеги, я долго думал, признаться вам или нет, мы уже долго работаем вместе и вы должны знать правду и относиться ко мне соответствующе. Я гей». Или же посылают письмо начальнику: «Должен вам честно признаться, я недобросовестно работал в этом квартале, много пил кофе, часто отсутствовал. Для успокоения моей совести прошу лишить меня квартальной премии»\nИзмеряйте осознанность поведения ДО и ПОСЛЕ программы, чтобы видеть результат. И узнавайте обратную связь у ваших сотрудников. Все ли было понятно? Какие остались вопросы? Что можно улучшить?\n","3":"А это на что похоже?\nА с недовольством пользователей встречались из-за усложнения их жизни этими «дурацкими» правилами системы безопасности, например, сложными паролями, которые нереально запомнить? Как сделать таких пользователей своими союзниками?\nСегодня речь пойдет о том, как знания ваших сотрудников могут стать вашей силой в защите компании и могут помочь снизить негатив пользователей.\n","20":"И последняя важная вещь.\nИспользуйте И кнуты, И пряники. Пряник это хорошо, но им не удобно бить по голове.\nСистема поощрения и наказния стоит на трех китах.\n1) Кнуты и пряники должны быть пропорциональны степени тяжести нарушения. \nНапример. Если юзер регаламент соблюдает, инцидентов нет в течении месяца, вот тебе плюшечка – даем побольше трафика. Мелочь, а приятно. 3 месяца все хорошо – вешаем на доску почета или даем премию. Люди любят деньги. Ну и наоборот, легкое нарушение – публично вручаете шуточную грамоту Заслуженный любитель пароля 123. Что-то посерьезнее случилось, выговор. Еще серьезнее – депремировали. У Олега Зайцева уволили 20 человек за несоблюдение регламента, так Олегу потом месяц нечем было заняться. У нас в Лаборатории Касперского тоже введена такая практика: 5% квартальной премии составляет показатель личной стабильности, то есть когда сотрудник все задания делает во время и не нарушает внутренний регламент.\n2 кит) Очень важно, чтобы система поощрения и назания была прозрачной и доведена до сведения каждого. Сотрудники должны знать, что им за что будет. \n3 кит) Если нарушение вскрылось, наказание должно быть неотвратимым. А лучше всего публичным. Это имеет просто потрясающий эффект! А если вы будете наказывать Иванова при его начальнике, то мало того, что Иванов будет как рак, так еще и начальник это ему «не забудет». И поверьте, Иванов потом на молоко дуть начнет. И не только он. Сарафанное радио – мощная штука. Однако это палка о двух концах. Потому что начальник может и устроит выволочку Иванову, но потом может начать покрывать своих сотрудников, снова не краснеть. Это нужно учитывать.\n//Виной человеческий фактор – человеку лень выполнять жёсткие регламенты, он забывает требования или не хочет их запоминать, считая их для себя не важными, или же он считает, что его это не коснется. Соблюдение регламентов выглядит как синусоида – человек держится полгода после очередного «кнута», а потом опять расслабляется. Но всех же не уволишь?! Да и руководство «наверху» считает, что надо работать, а не играть в безопасность. Потому и жесткость законов облегчается не обязательностью их исполнения. Но, чтобы держать людей «в тонусе» служба безопасности (СБ) проводит регулярные плановые и неплановые проверки и показательно называет 5-7 человек в месяц. Публичный выговор руководителю за «нерадивых» подчиненных на планерке считается одним из наиболее эффективных средств.\n","9":"Можно тратить огромные средства на безопасность, но если конечные пользователи не понимают, почему пароль qwerty это плохо, все усилия тщетны. \nТа женщина, которая «посушила» свою кошку в микроволновке, а потом отсудила у производителя печи много денег, она, действительно, не знала, что сушить животных в микроволновке нельзя! Раньше всегда носки сушила и все было хорошо. Теперь они об этом пишут. Чтобы все знали.\nПотому что если ваши сотрудники не знают, ЧТО делать, нельзя ожидать, что они будут все делать правильно. При этом многие вещи, которые очевидны для вас как специалиста СБ, могут быть вообще не очевидны вашему бухгалтеру и наоборот. Вот вы, мужчины, знаете, как сделать так, чтобы сырой лук не горчил? Сильная половина называла мне самые разные варианты: замочить на сутки в воде, заморозить… Хотя для любой хозяйки это очевидно, нужно просто ошпарить его кипятком. Вот так же и бухгалтер может не понимать, зачем нужно проверять флешки на вирусы\n//Но на самом деле сотрудники готовы и хотят следовать правилам безопасности, они не хотят быть виновниками шумных заголовков в газетах об утечке, произошедшей в их компании, они не хотят подвести команду. Они хотят быть защищенными, они хотят помочь. Им просто нужно знать, как это сделать! А для этого им нужно объяснить на понятном для их языке, что вы хотите чтобы они делали, и что они делать не должны. А для закрепления позитивного отношения очень важно им объяснить, а что они с этого будут иметь – какова их личная выгода вести себя безопасно. О мотивации мы поговорим подробно далее.\n//Брешь в системе защиты возникает не потому что одна большая вещь пошла не так, а потому что много маленьких вещей пошло не так (не залоченный компьютер, приклееный стикер на мониторе с паролем, оставленная открытой дверь в кабинет)… много маленьких вещей. Социальные сети – хороший пример, когда много людей делают маленькие ошибки…\n","15":"Чему учить сотрудников? Начинать нужно с основ. Расскажите им про угрозы в соц. сетях, про мобильную безопасность, про пароли и т.п. Устройте им ликбез.\nРасскажите юзерам о корпоративных политиках компании и объясните, почему они такие. Объясните, что будет с компанией, если случится утечка. И что будет с сотрудником. \nРасскажите о том, как надо реагировать на инцидент.\n","4":"Мы поговорим с вами о трех вещах: что такое осведомленность пользователей, почему это важно и нужно и как этого достичь.\n","21":"Вы можете начать повышать осведомленность уже сегодня. Объясните сотрудникам, зачем нужны вот эти простые правила.\nРасскажите, что делать, в случае инцидента. Допустим, послал важное письмо не тому адресату. Что делать? Некоторые сервера уже поддерживают немедленный отзыв только что отправленного письма. Научите, как это делать.\n","10":"Зачем это еще нужно?\nПотому что утечки стоят дорого. И они кроют в себе много скрытых затрат. Причиной этих потерь является человек. Однако, вряд ли виновник инцидента будет оплачивать штрафы и рассылку уведомлений. \nРеальная история. Операционистка Елена, слишком медленно набирала пароль одним пальцем при посетителях банка. Делала она это несколько раз, потому что с первого раза у нее не получилось. Она еще и борматала его вслух…было сложно его не запомнить. А через неделю в банке украли данные под ее эккаунтом. И максимум, что светит Елене, это увольнение. \nУтечки - это очень дорого. И одними техническими мерами от них не защититься. Нужны еще и организационные меры. А именно повышение осведомленности ваших пользователей, чтобы они вели себя осознанно. Их знания – это ваша сила и защита! \nПочему только лишь технические меры не особо эффективны? Представьте, закроете вы социальные сети на работе, а сотрудник вылезет в Одноклассники через 3G или из дома и разболтает секреты про готовящийся релиз. Он должен понимать, что это делать нельзя и почему нельзя. К тому же, когда юзеры понимают, почему вы закручиваете гайки и заставляете использовать 8значный пароль с циферками и символами, они уже не будут так возмущаться, как раньше. Осведомленность снижает негатив. Вы же не жалуетесь, когда открываете свою входную дверь, где стоит 2 замка, что это занимает в два раза дольше времени, чем один?! Потому что понимаете, что один замок – не надежная защита.\nСразу обращаю ваше внимание, что повышение осведомленности ни в коем случае не является альтернативой техническим средствам защиты. Они должны работать в паре: техническими средствами закручиваем гайки, а обучением снижаем негатив.\n//скрытые траты при утечках: Люди подумают дважды, прежде чем иметь с вашей компанией дело после утечки. Вы потеряете клиентов и будете тратить деньги на рекламу и программы лояльности для привлечения новых. Вам придется тратить время на звонки, поступающие от прессы и взволнованных пользователей и партнеров. А время, как известно, деньги. Вам нужно будет проводить расследования, чтобы понять, почему же данные утекли. Вам придется потратиться на технические средства защиты данных //(шифрование, DLP, системы контроля доступа и мониторинга). \n//Pomenon Institute – независимая организация, занимающаяся исследованием утечек\n"}