Comments 6
Спасибо, теперь к стандартному звонящим сбербанкам: "где чалишься, брат? света в хату арестанты" добавляется "извините, Вы пен-тестер?"
Вот фирма в открытую говорит, что неправомерно обрабатывает персональные данных из утечек, чего роскомнадзор с прокуратурой сиськи мнут?
Сталкивался с такими проверками. Проблема с тем, что социальная инженерия реально работает, заключается в том, что во-первых, работнику глубоко наплевать на безопасность компании. Это не его деньги, это не его прибыль, и самое главное – в силу достаточной технической сложности процесса проникновения в сети компании – не его компетенция. За охрану девственности корпоративного сервака он не получает ничего. Если сисадмин позволяет просто ткнуть ссылку и сдать все пароли и явки компании, то это явно не проблема того, кто нажал ссылку. Это проблема директора компании и в некоторой части сисадмина (ибо он тоже не бог). Но шишки все равно валятся на тетю, которая с трудом представляет, что такое компьютерная сеть.
Вы очень скромно назвали сопутствующую вашей профессии подлость «психологической устойчивостью». Пишите уж прямо и ясно – берут законченных мерзавцев, кому на других людей глубоко наплевать.
Глубоко моральным процесс кошмарения сотрудников компании проверками на устойчивость к социальной инженерии назвать невозможно - это равносильно вымогательству у домохозяйки пин-кода к дебетовой карте. Человек в принципе не может существовать, исходя из презумпции недобросовестности окружающих. И тем более, не может эффективно работать. Доверие к другому члену общества – это системообразующее качество любого коллектива. Такого рода проверки подрывают доверие, и тем самым тормозят сам производственный процесс – на каком-то этапе манипуляции по ограждению задницы от угроз превышают собственно полезную деятельность: письма игнорируются или вообще удаляются, так как похожи на письма от мошенников (или на хитромудрые проверки безопасности). Звонки сбрасываются, никакую информацию выпытать у сотрудников невозможно – как-то пришлось сделать аж три звонка и написать отдельный тикет, чтобы банально узнать, кто у нас в компании ключевой пользователь ERP, чтобы попросить его подать заявку на исправление ошибки. За день до этого «социальные инженеры» вот так обзвонили ряд работников и наслали тонну спама всем подряд, и кто-то попался, и кому-то выговорили, а потому на вопрос: «А кто ключевой пользователь по такому-то блоку?» все отсылали либо к начальнику, либо к поддержке. Из-за разницы в времени с удаленным подразделением, техподдержкой и затягиванием в процедурах вопрос, решение которого заняло бы максимум полчаса, растянулся на сутки.
Именно поэтому
Кстати, мало кто догадавшийся после звонка потом рассказывает об этом безопасникам
Потому что в компаниях в безопасности сидят держиморды с техническим образованием, в принципе не разбираются в социальном существе вопроса и организации внутренних процессов, а просто бьют палкой по голове. Я как-то по молодости дал заказчику контакт регионального агента – получил по шапке, типа, заказчик переманит наших агентов (при том, что выяснить их контакт можно было легко, отправив фейковое или не фейковое отправление в этот регион, агент указывался в конечной накладной получателя). То, что в инструкциях нигде не было сказано, что информация об агентах является секретной, всем было пофигу. Потому подписаться самому на проблемы и объяснительные не надо никому. На одном из предыдущих мест работы я удивлялся – процесс был организован таким образом, что было адски невыгодно на всех уровнях вплоть до штаб-квартиры показывать расхождения по инвентаризации. И все склады из года в год рисовали фейковые цифры и втихую списывали сток под разными предлогами, не давая понять причины физических недостач и принять действенные меры по борьбе с расхождениями. Проблемы нет официально – а потому не давали участить инвентаризации и увеличить время на расследования, галопом показали фейк и, не расследовав, поскакали дальше увеличивать энтропию. Потому что правда никому не нужна, за нее не платят и ее не поощряют . Булгаков говорил, конечно, что «правду говорить легко и приятно», но не говорил, как трудно и муторно после этого искать новую работу.
работнику глубоко наплевать на безопасность компании.
В крупных компаниях работников ознакомляют под подпись с политиками информационной безопасности, в частности с парольной и антивирусной. В них сказано о персональной ответственности работника и возможных последствиях.
Если сисадмин позволяет просто ткнуть ссылку и сдать все пароли и явки компании, то это явно не проблема того, кто нажал ссылку.
Ай какой негодяй админ, целыми днями не контролирует шаловливые пальчики работников и не уберегает их от клацания по мыше.
Но шишки все равно валятся на тетю, которая с трудом представляет, что такое компьютерная сеть.
Такая «тётя» в крупной компании является опасным сотрудником в современной действительности. Когда вектор атаки пойдет через нее, и будут реализованы критические недопустимые события, встанут все бизнес-процессы, и компания понесет убытки в разы больше, чем оплата контракта на проведение тестирования на проникновение методами социальной инженерии.
Пишите уж прямо и ясно – берут законченных мерзавцев, кому на других людей глубоко наплевать.
Вариант с узкоспециализированными экспертами, понимающими психологию людей и улучшающими уровень защищенности компаний в нашей стране, вы не рассматривали?
Как не говорил Булгаков: «Пора бы принять действительность цифрового мира и быть реалистом, а не размышлять о моральных процессах и законченных мерзавцах».
В них сказано о персональной ответственности работника и возможных последствиях.
Вы понимаете разницу между "юридически возложенной обязанностью" и :фактической возможностью эту обязанность реализовать"? И что, у наемного работника сильно большой выбор? Можно не подписать такую бумажку, остаться безработным. Но фактических возможностей контролировать такие процессы работнику не прибавляется от факта подписания бумажки. Управленец должен ориентироваться не на формальные, а на физические процессы, не?
Ай какой негодяй админ, целыми днями не контролирует шаловливые пальчики работников и не уберегает их от клацания по мыше.
я написал русским языком, что ситуация, когда все явки пароли по одному клику убегают - ненормальна и недоработка админа, безопасников и пр. Но на стрелочника вину свалить всегда легко и просто? И админу делать ничего не надо - хотя отмазка на уровне детского сада "они сами нажали".
Такая «тётя» в крупной компании является опасным сотрудником в современной действительности. Когда вектор атаки пойдет через нее, и будут реализованы критические недопустимые события,
У этой тети нет никаких явных механизмов защиты от социальной инженерии, и очевидно недостаточно знаний по информационным системам и инфобезу. Вы же возлагаете ответственность на человека, который ждя предотвращения атаки обладает негодными средствами. Тетя из бухгалтерии сосредоточена на том, чтобы не допустить ошибку в своей работе (один клик мыши - и убыток в миллионы), а вы пытаетесь на нее повесить еще и ответственность за кибербезопасность. Может, на вас вот так априорно возложить ответственность за рост абортов в вашем городе? Ведь членоноситель - это потенциально опасный человек, через которого может произойти критический рост нежелательных беременностей?
Вариант с узкоспециализированными экспертами, понимающими психологию людей и улучшающими уровень защищенности компаний в нашей стране, вы не рассматривали?
Как вы это ни назовите, менее аморальным обман людей и подрыв доверие к цепочке социальных взаимодействий не становятся. И "высокие цели", которыми это оправдывается, на самом деле довольно-таки приземленные цели получения прибыли акционерами этих компаний. и простым людям они до лампочки. так как эти самые компании никак не спешат поделиться с наемными работниками своим благосостоянием, а даже наоборот, систематически загоняют наемных работников в "вашей стране" во все большую нищету, а вдобавок еще и терроризирующие их подобного рода проверками, наказывая за вещи, которые работники фактически не могут распознать и предотвратить.
Мы профессионально занимаемся социнжинирингом, и нам за это платят