Как стать автором
Обновить

Комментарии 40

Спасибо Капитан Очевидность. Но зачем вы все-таки пинаете мертвую кобылу?
И да, опрос ни о чем тоже т.к. «обучение основам» может подразумевать под собой все что угодно. Как минимум «распишитесь здесь, что ознакомлены» есть практически везде.
Ну нет. Неужели вы не видите разницы между «ознакомлен» и «обучен»? Когда собирают подписи в журнале без фактического проведения хотя бы инструктажа, то это, как правило, означает, что никакого документа, с которым вы «ознакомлены» вовсе не существует. Политика информационной безопасности есть, к сожалению, далеко не в каждой компании. И это не то же самое, что и формальное требование не разглашать пароль.

А по поводу К.О. — еще раз, я не претендую на открытие каких-то новых данных по данному вопросу. Я делюсь опытом, как это проходит в нашей компании. Если в вашей компании этого нет — можете взять моё. Но изначальная цель — рассказать, как делается у нас. И, может быть, услышать ваше мнение: «мы тоже обучаем, но у вас скучный текст, а у нас интерактив и провокации».
… я не претендую на открытие каких-то новых данных по данному вопросу. Я делюсь опытом, как это проходит в нашей компании...

Если честно в приведенном выше тексте я не заметил ни какого обучения, 2 жизненных случая и все. И ради этих прописных истин надо было поднимать такую обширную тему? Мне кажется вы хотите нас обмануть и пропихнуть свои услуги, под предлогом опроса и громкого заголовка =)
Вы считаете, что «два жизненных случая и прописные истины» — это хорошая реклама своих услуг? ;)

Но что-то мне подсказывает, что любой мой ответ повлечет за собой бессмысленный спор, которого мне бы хотело избежать. Так что будет проще сразу с вами согласиться. Так сказать, авансом.
Не открывайте электронные письма пришедшие с незнакомых адресов.


Интересно, тот, кто это писал хоть примерно понимает как работают почтовые серверы, почтовые клиенты, и собственно передача почты?
А что именно вас смущает?
Да хотя бы https://geektimes.ru/post/291939/

Как раз доверенные адреса имеют куда больший шанс использоваться злоумышленниками, пытающимися на вас использовать социальную инженерию.
И все равно не вижу противоречия. Письмо пришло с незнакомого ящика. И не важно правда оттуда или отправителя подделали. Не открывайте это письмо.

Дурной тон отвечать на сообщение, не вникнув в его суть: речь о том что письмо пришло со знакомого адреса, но это только видимость.
До сих пор SNMP это позволяет чаще, чем следовало бы.

SMTP, конечно же
или читать, как Simple Network Mail Protocol

Ещё раз ВНИМАТЕЛЬНО! прочитайте нервую строку статьи — я могу подделать ЛЮБОЙ адрес ЛЮБОГО ящика отправляя ЛЮБОЕ свое письмо ЛЮБОМУ получателю! Вам может прийти письмо с приказом установить новый корпоративный чат от вашего начальника. Я в любом случае подобное переспрашиваю по телефону или лично. телефонные карточки сейчас тоже легко в течение полу часа перевыпускаются мошенниками. да основная перестает работать но вы-то позвоните начальнику а там мошенник вам голосом начальника и ответит даа… стааавь мы пробуем новое… угу ага…
Всегда надо уточнять достоверность информации и личность собеседника. Или вы думаете мало людей на просьбу в социалках кинуть 100 руб на телефон — денег нет? кидают очень много и регулярно.
Так а всё же, как всё вами описанное опровергает фразу «Не открывайте электронные письма пришедшие с незнакомых адресов.»?
Очень просто — от знакомых ТОЖЕ! нету разницы. любой мошенник может отправить от любого адреса любое письмо.
НЛО прилетело и опубликовало эту надпись здесь
как я уже писал — Я в любом случае подобное переспрашиваю по телефону или лично.
Всегда надо уточнять достоверность информации и личность собеседника. Или вы думаете мало людей на просьбу в социалках кинуть 100 руб на телефон — денег нет? кидают очень много и регулярно.
Мораль: используйте криптографию для подтверждения отправителя и целостности сообщения. Сохранность ключа — отдельная тема.
Эти правила необходимы, главное, чтобы они были уместными и обоснованными. Я говорю не конкретно про этот список, но иногда бывают формальности, которые затрудняют рабочий процесс и при этом не имеют никакого смысла.

Но только используйте разные менеджеры – один для паролей от систем на работе, другой для паролей от развлекательных сайтов.

Поясните, зачем использовать разные менеджеры паролей? Разных баз данных с разными паролями недостаточно?
В данном случае имеет место некое обобщение.
Если мы говорим о паролях на работе, то использование облачного менеджера не допускается по двум причинам: 1. у некоторых групп пользователей просто нет интернета. 2. хранить пароли от критичных сервисов хоть и в зашифрованном виде нужно в периметре компании. Поэтому хранить в локальном менеджере на работе личные пароли — это излишне. На работе они все равно не понадобятся.
Если же отойти от локального хранилища, то да, разных баз достаточно. Но не все менеджеры это позволяют. Да и объяснение «используйте разные менеджеры, ну или один, но с разными базами, и с разными паролями на разные базы» было избыточным.
7. И знакомым людям тоже не открывайте дверь.

Вот так очень скоро у вас не останется друзей на работе, зато безопасно…
Зато останется работа. :)

Это во многом решается зонами допуска. Если вы можете открыть офис смежного подразделения — это уже странно. Открыть дверь в свой офис, чтобы знакомый человек забрал свой пропуск (при вас) это одно. А вот пускать в комнаты с высоким уровнем допуска, особенно без присмотра, точно никого не стоит.

Я как-то попросил коллегу открыть дверь в лабораторию после рабочего дня, т.к. оставил там журнал. Я очень удивился, когда он мне просто дал свой пропуск. Отличный пример, как делать не надо.
Предлагаю добавить ещё один опрос: есть ли в вашей компании вообще служба безопасности?
Очередная попытка свалить на пользователей проблемы непродуманности организации безопасности и лень администраторов.

Кроме предварительно авторизованных никакие USB-устройства работать не должны;
Запуск приложений — только по белому списку;
Совсем в идеале — тонкие клиенты, стартующие по сети;
Все рабочие документы — на сетевом диске, с регулярным бэкапом.

И тогда не будут страшны ни зараженные флэшки, ни непонятные письма и даже утечка паролей приведет лишь к локальным проблемам.
вспомнил недавнее с баша:
Коротко о ситуации с компьютерами в поликлинике, где работает родственница: в кабинете есть компьютер с тонким клиентом (без винта, с пломбой) с настроенной загрузкой по сети одного из linux-дистрибутивов в котором для работы через спец. программу доступен лишь один единственный сетевой ресурс, запрашивающий учетные данные при входе. Учетных данных доктора не знают и то, зачем нужен этот ресурс тоже. Доктора бы рады использовать этот компьютер хоть для набора и печати документов, но сохранить их будет негде: домашняя папка не сохраняет содержимого и после перезапуска чистится, а монтирование флешек заблокировано.
Стоит в кабинете бесполезный компьютер с большим красивым монитором, с подключенным к нему принтером, но использовать его никто не может. Так и живем.
Добавлю ещё одно: не используйте карты стандарта EM-Marine для контроля доступа. :)

Почему?

Потому что они легко копируются и считываются с довольно больших расстояний (можно, конечно, включить режим ответа по паролю, но кто его включает? Да и его, строго говоря, можно считать дистанционно в момент передачи.). Поэтому гораздо лучше использовать Mifare.

Хочется добавить от Г.Гаррисона: "ВОДУ СПУСКАЙ — О ВРАГАХ НЕ ЗАБЫВАЙ" и "ЗАКРОЙ ШИРИНКУ, ОХЛАМОН, — СЗАДИ ПРЯЧЕТСЯ ШПИОН!".

7 пункт — это уже какой-то перебор. Вот именно сегодня вашего знакомого уволили, вам сообщить не успели, он в этот же день завербовался к конкурентам и решил украсть то, к чему вчера имел доступ.
В каких случаях это вообще реально может произойти?

В случаях, когда уволенный полагает, что случилась несправедливость.
Зачем нужен турникет, который можно перепрыгнуть? Или делайте такой, который невозможно обойти, или ставьте рядом вахтёра, который будет следить, чтобы не прыгали. Типичное перекладывание с больной головы на здоровую.
Такое ощущение, что начальство стелит себе соломку…
НЛО прилетело и опубликовало эту надпись здесь
Эти правила мне напомнили случай, который произошел со мной когда мне было пять лет. Мама сказала, что никому дверь не открывать. В итоге сестра чтобы попасть домой лезла через окно.
Рассылка безусловна полезна, но где возможно — необходимо использовать либо программные средства (настроить антивирус на блокировку внешних носителей / spam-фильтры), либо человеческий ресурс (контрольно-пропускной пункт).
Внедряя «Внешний контроль» вы снижаете вероятность человеческого фактора в вашей системе безопасности.
В данном случае — рассылка, разумеется, не единственный рубеж в противостоянии атакам. Это лишь «дополнительный фактор», который должен еще чуть-чуть снизить риски.
Это всё работает, если сотрудники искренне понимают чем именно им лично грозит этот незнакомец с флэшкой. У каждой компании (особенно большой) есть некоторый запас прочности который и будет эксплуатироваться в таких ситуациях.
Так потому в рассылке и используется человеческий образ коллеги — Марка. Не сухое перечисление правил и цитат политики ИБ, а «очеловечивание». Чтобы читателю было легче сопоставить Марка и себя и поставить себя на его место.
Возможно стоило добавить в конце, что случилось с Марком, как он ощутил на себе последствия своих поступков?
Но основная цель данного материала не столько показать связь поступок-наказание, сколько продемонстрировать, что даже незначительные действия одного из нас могут сильно навредить компании. А значит и ее сотрудникам.
Я думаю что каждой кто работает с данными которые подлежат защите, должен не только знать что такое социальная инженерия, а и хорошо распознать ее и не дать воздействовать на себя.
Если обобщить, то каждый человек обладает данными, которые нужно защищать. Номер банковской карты, телефонная книга в смартфоне (фио и телефон начальника — уже неплохое начало для попытки атаки), уровень ЗП.
Нам еще преподаватель в универе говорил, что можно и без промышленного шпионажа узнать обо всех планах компании, если «очень внимательно» следить за ее публичной информацией. Например о том, что один известный банк на букву Т собирается запускать собственную банкоматную сеть, мы с коллегами узнали еще задолго до официального анонса. А предпосылок было несколько, но самая явная из нех: они вывесили вакансию начальника безопасности сети банкоматов. Пару месяцев искали такого человека. Потом он, вероятно, провел какой-то аудит, подготовил отчет. И после всего этого уже стали появляться сообщения в СМИ.
Так что любая информация должна защищаться. С разной степенью рвения, но все же. И я был бы только рад, если бы каждый знал, что такое соц.инженерия и умел противостоять ей. И, хоть идеал и недостижим, мы именно для этого и рассказываем сотрудникам подобные вещи.
Я окончил кибербезопасности и на парах нам рассказывали как раз о соц инженерии. Меня — эта тема очень заинтересовала и если подумать, то наиболее уязвимыми есть сотрудники компаний.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.