Ошибки пользователя понятие угрозы

Вопросы:

1. Непреднамеренные угрозы безопасности информации

2. Преднамеренные угрозы безопасности информации

Эффективность
любой информационной системы в
значительной степени определяется
состоянием защищенности (безопасностью)
перерабатываемой в ней информации.

Безопасность
информации — состояние защищенности
информации при ее получении, обработке,
хранении, передаче и использовании от
различного вида угроз.

Источниками
угроз информации являются люди, аппаратные
и программные средства, используемые
при разработке и эксплуатации
автоматизированных систем (АС), факторы
внешней среды. Порождаемое
данными источниками множество угроз
безопасности информации можно разделить
на два класса: непреднамеренные и
преднамеренные.

Непреднамеренные
угрозы связаны главным образом со
стихийными бедствиями, сбоями и отказами
технических средств, а также с ошибками
в работе персонала и аппаратно-программных
средств. Реализация этого класса угроз
приводит, как правило, к нарушению
достоверности и сохранности информации
в АС, реже — к нарушению конфиденциальности,
однако при этом могут создаваться
предпосылки для злоумышленного
воздействия на информацию.

Угрозы второго
класса носят преднамеренный характер
и связаны с незаконными действиями
посторонних лиц и персонала АС. В общем
случае в зависимости от статуса по
отношению к АС злоумышленником может
быть: разработчик АС, пользователь,
постороннее лицо или специалисты,
обслуживающие эти системы.

Большие возможности
оказания вредительских воздействий на
информацию АС имеют специалисты,
обслуживающие эти системы.

Реализация угроз
безопасности информации приводит к
нарушению основных свойств информации:
достоверности, сохранности и
конфиденциальности

При этом объектами
воздействия угроз являются аппаратные
и программные средства, носители
информации (материальные носители,
носители-сигналы) и персонал АС.

Непреднамеренные
угрозы

Основными видами
непреднамеренных угроз являются:
стихийные бедствия и аварии, сбои и
отказы технических средств, ошибки в
комплексах алгоритмов и программ, ошибки
при разработке АС, ошибки пользователей
и обслуживающего персонала.

Стихийные
бедствия и аварии.
Примерами угроз этой группы могут
служить пожар, наводнение, землетрясение
и т. д. При их реализации АС, как правило,
подвергаются физическому разрушению,
при этом информация утрачивается, или
доступ к ней становится невозможен.

Сбои
и отказы технических средств.
К угрозам этой группы относятся сбои и
отказы аппаратных средств ЭВМ, сбои
систем электропитания, сбои кабельной
системы и т. д. В результате сбоев и
отказов нарушается работоспособность
технических средств, уничтожаются и
искажаются данные и программы, нарушается
алгоритм работы устройств. Нарушения
алгоритмов работы отдельных узлов и
устройств могут также привести к
нарушению конфиденциальности информации.
Вероятность сбоев и отказов технических
средств изменяется на этапах жизненного
цикла АС

Ошибки
при разработке АС и ошибки в комплексах
алгоритмов и программ
приводят к последствиям, аналогичным
последствиям сбоев и отказов технических
средств. Кроме того, такие ошибки могут
быть использованы злоумышленниками
для воздействия на ресурсы АС.

Ошибки в комплексах
алгоритмов и программ обычно классифицируют
на:

• системные,
  обусловленные неправильным пониманием
  требований автоматизируемой задачи
  АС и условий ее реализации;

• алгоритмические,
  связанные с некорректной формулировкой
  и программной реализацией алгоритмов;

• программные,
  возникающие вследствие описок при
  программировании на ЭВМ, ошибок при
  кодировании информационных символов,
  ошибок в логике машинной программы и
  др.;

• технологические,
  возникающие в процессе подготовки
  программной документации и перевода
  её во внутримашинную информационную
  базу АС.

Вероятность данных
ошибок изменяется на этапах жизненного
цикла АС

Ошибки
пользователей и обслуживающего персонала.
По статистике на долю этой группы угроз
приходится более половины всех случаев
нарушения безопасности информации.
Ошибки
пользователей и обслуживающего персонала
определяются:

• психофизическими
  характеристиками человека (усталостью
  и снижением работоспособности после
  определенного времени работы, неправильной
  интерпретацией используемых информационных
  массивов);

• объективными
  причинами (несовершенством моделей
  представления информации, отсутствием
  должностных инструкций и нормативов,
  квалификацией персонала, несовершенством
  комплекса аппаратно-программных
  средств, неудачным расположением или
  неудобной конструкцией их с точки
  зрения эксплуатации);

• субъективными
  причинами (небрежностью, безразличием,
  несознательностью, безответственностью,
  плохой организацией труда и др.).

Ошибки данной
группы приводят, как правило, к уничтожению,
нарушению целостности и конфиденциальности
информации.

Преднамеренные
угрозы

Угрозы этого класса
в соответствии с их физической сущностью
и механизмами реализации могут быть
распределены по пяти группам:

• шпионаж и диверсии;

• несанкционированный
  доступ к информации;

• съем электромагнитных
  излучений и наводок;

• несанкционированная
  модификация структур;

• вредительские
  программы.

Шпионаж
и диверсии.
Традиционные методы и средства шпионажа
и диверсий чаще всего используются для
получения сведений о системе защиты с
целью проникновения в АС, а также для
хищения и уничтожения информационных
ресурсов.

К таким методам
относятся:

• подслушивание;

• наблюдение;

• хищение документов
  и машинных носителей информации;

• хищение программ
  и атрибутов системы защиты;

• подкуп и шантаж
  сотрудников;

• сбор и анализ
  отходов машинных носителей информации;

• поджоги;

• взрывы.

Подслушивание
— один из наиболее древних методов
добывания информации. Подслушивание
бывает непосредственное и с помощью
технических средств. Непосредственное
подслушивание использует только слуховой
аппарат человека. В силу малой мощности
речевых сигналов разговаривающих людей
и значительного затухания акустической
волны в среде распространения
непосредственное подслушивание возможно
на небольшом расстоянии (единицы или в
лучшем случае при отсутствии посторонних
звуков — десятки метров). Поэтому для
подслушивания применяются различные
технические средства, позволяющие
получать информацию по техническим
каналам утечки акустической (речевой)
информации.

Технический
канал, утечки информации — совокупность
объекта, технического средства, с помощью
которого добывается информация об этом
объекте, и физической среды, в которой
распространяется информационный сигнал.

В зависимости от
физической природы возникновения
информационных сигналов, среды
распространения акустических колебаний
и способов их перехвата технические
каналы утечки акустической (речевой)
информации можно разделить на:

1) воздушные

2) вибрационные

3) электроакустические

4)
оптико-электронные

В
воздушных технических каналах утечки
информации средой распространения
акустических сигналов является воздух,
и для их перехвата используются
миниатюрные высокочувствительные
микрофоны и специальные направленные
микрофоны. Автономные устройства,
конструктивно объединяющие миниатюрные
микрофоны и передатчики, называют
закладными устройствами перехвата
речевой информации, или просто
акустическими закладками. Закладные
устройства делятся на проводные и
излучающие.
Проводные закладные устройства требуют
значительного времени на установку и
имеют существенный демаскирующий
признак — провода. Излучающие «закладки»
(«радиозакладки») быстро устанавливаются,
но также имеют демаскирующий признак
— излучение в радио или оптическом
диапазоне. «Радиозакладки» могут
использовать в качестве источника
электрические сигналы или акустические
сигналы. Примером
использования электрических сигналов
в качестве источника является применение
сигналов внутренней телефонной,
громкоговорящей связи. Наибольшее
распространение получили акустические
«радиозакладки». Они воспринимают
акустический сигнал, преобразуют его
в электрический и передают в виде
радиосигнала на определенные расстояния.
Из применяемых на практике «радиозакладок»
подавляющее большинство рассчитаны на
работу в диапазоне расстояний 50—800
метров.

В
вибрационных технических каналах утечки
информации средой распространения
акустических сигналов являются
конструкции зданий, сооружений (стены,
потолки, полы), трубы водоснабжения,
отопления, канализации и другие твердые
тела.
Для перехвата акустических колебаний
в этом случае используются контактные
микрофоны (стетоскопы). Контактные
микрофоны, соединенные с электронным
усилителем называют электронными
стетоскопами. Такие микрофоны, например,
позволяют прослушивать разговоры при
толщине стен до 50—100 см.

Электроакустические
технические каналы утечки информации
включают перехват акустических колебаний
через элементы, обладающие микрофонным
эффектом, а также путем высокочастотного
навязывания.

Под микрофонным
эффектом понимают эффект электроакустического
преобразования акустических колебаний
в электрические, характеризуемый
свойством элемента изменять свои
параметры (емкость, индуктивность,
сопротивление) под действием акустического
поля, создаваемого источником акустических
колебаний. Изменение параметров приводит
либо к появлению на данных элементах
электродвижущей силы, изменяющейся по
закону воздействующего информационного
акустического поля, либо к модуляции
токов, протекающих по этим элементам.
С этой точки зрения наибольшую
чувствительность к акустическому полю
имеют абонентские громкоговорители и
датчики пожарной сигнализации. Перехват
акустических колебаний в данном канале
утечки информации осуществляется путем
непосредственного подключения к
соединительным линиям специальных
высокочувствительных низкочастотных
усилителей. Например, подключая такие
средства к соединительным линиям
телефонных аппаратов с электромеханическими
вызывными звонками, можно прослушивать
разговоры, ведущиеся в помещениях, где
установлены эти аппараты.

Технический канал
утечки информации путем высокочастотного
навязывания может быть осуществлен с
помощью несанкционированного контактного
введения токов высокой частоты от
соответствующего генератора в линии
(цепи), имеющие функциональные связи с
нелинейными или параметрическими
элементами, на которых происходит
модуляция высокочастотного сигнала
информационным. В силу того, что нелинейные
или параметрические элементы для
высокочастотного сигнала, как правило,
представляют собой несогласованную
нагрузку, промодулированный высокочастотный
сигнал будет отражаться от нее и
распространяться в обратном направлении
по линии или излучаться. Для приема
излученных или отраженных высокочастотных
сигналов используются специальные
приемники с достаточно высокой
чувствительностью. Наиболее часто такой
канал утечки информации используется
для перехвата разговоров, ведущихся в
помещении, через телефонный аппарат,
имеющий выход за пределы контролируемой
зоны.

Оптико-электронный
(лазерный) канал утечки акустической
информации образуется при облучении
лазерным лучом вибрирующих в акустическом
поле тонких отражающих поверхностей
(стекол окон, картин, зеркал и т. д.).
Отраженное лазерное излучение (диффузное
или зеркальное) модулируется по амплитуде
и фазе (по закону вибрации поверхности)
и принимается приемником оптического
(лазерного) излучения, при демодуляции
которого выделяется речевая информация.
Причем лазер и приемник оптического
излучения могут быть установлены в
одном или разных местах (помещениях).
Для перехвата речевой информации по
данному каналу используются сложные
лазерные акустические локационные
системы, иногда называемые лазерными
микрофонами. Работают эти устройства,
как правило, в ближнем инфракрасном
диапазоне волн.

При
передаче информации по каналам связи
возможен ее перехват. В настоящее время
для передачи информации используют в
основном KB,
УКВ, радиорелейные, тропосферные и
космические каналы связи, а также
кабельные и волоконно-оптические линии
связи.

В
зависимости от вида каналов связи
технические каналы перехвата информации
можно разделить на:

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

Социальная инженерия (Social Engineering, SE), то есть манипулирование людьми, которые в данном случае являются важным производственным активом предприятия, с корыстными и подлыми целями, — это сложный предмет для обсуждения. По сути, в этом контексте социальную инженерию можно рассматривать как хакинг человека.

Человек часто становится первым слабым звеном при проведении кибератаки. Исполнитель такой атаки после проведения разведки и изучения своей цели использует полученную информацию для доступа к учетным данным или другим важным сведениям, которые проведут его к защищенным системам и ресурсам. Зачастую злоумышленнику везет, и при минимальных усилиях и еще меньшем риске с его стороны он может узнать учетные данные пользователя просто на основе предположений, что может быть реализовано даже в автоматическом режиме.

Тему социальной инженерии сложно обсуждать, потому что многие пользователи излишне уверены в своих способностях защитить учетные данные и не соблюдают надлежащую «кибергигиену». Это уже привело к нескольким громким нарушениям, о которых можно подробнее прочитать в Интернете.

Манипулирование. Поиск и добыча информации в социальных сетях

Цель, с которой используется социальная инженерия, в плоскости киберугроз определяется как манипулирование человеческим сознанием, направленное на получение идентификационной, финансовой и прочей ценной информации в ходе общения с человеком путем обмана или зло­употребления его доверием. Реализуется это манипулирование, главным образом, посредством использования человеческого интеллекта (здесь применим термин из разведывательной деятельности Human Intelligence, или HUMINT, — агентурное добывание разведывательной информации) и получения данных из открытых источников (термин разведывательной деятельности — Open-Source Intelligence, или OSINT). Эти же методы применяют спецслужбы для сбора разведывательных данных о явном или потенциальном противнике.

Примерно 80% всех кибератак начинаются с действий, основанных на социальной инженерии. Эти первые атаки принимают множество форм, наиболее распространенной из которых являются фишинговые рассылки. Данный метод очень сложный, но в то же время весьма эффективный. Не заходя слишком далеко, чтобы избежать риска, хакеры могут получить реальные результаты, так как люди с плохой кибергигиеной легко подвержены риску «взлома», причем неоднократного. Люди редко учатся на своих ошибках, а тем более на чужих.

Еще одно весьма плодородное поле для сбора самой разной информации — это социальные сети. Помимо того, что они влияют на мнение и поведение людей, было доказано, что пользовательские данные могут быть добыты и использованы для создания профилей, которые предоставляют злоумышленникам изобилие самой разной скрытой и открытой информации, которую можно использовать для получения учетных данных или для того, чтобы скомпрометировать человека как производственный актив, вынудив его выдать нужные сведения.

Когнитивное искажение

Когнитивные искажения и социальные предубеждения играют большую роль в успешном взломе человека. В качестве примера приведем хорошо работающий против предприятий когнитивный феномен, известный как эффект Даннинга — Крюгера. В его основе лежит метакогнитивное искажение, которое заключается в том, что люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознать свои ошибки в силу низкого уровня своей квалификации и общего понимания происходящего. И поскольку некомпетентный персонал не знает, что он некомпетентен, это приводит к иллюзорному восприятию ими самих себя как компетентных, и в итоге такого члена команды легко скомпрометировать путем манипуляции.

Работники с когнитивным сдвигом, как правило, не следуют инструкциям и плохо воспринимают критику, что влечет за собой целый ряд побочных эффектов. Они легко поддаются лести или чувству зависти, так что воздействие на них с упором на эти болевые центры помогает дискредитировать их и получить нужную информацию. Найти такого «обиженного» и «открыть ему глаза», как правило, не проблема. Эти уязвимости предлагают хакерам очень плодотворную почву для атаки, особенно в социальных сетях. Социальные предрассудки дают «бездонные» возможности для компрометирования персонала с соответствующими склонностями. И хотя ни один из этих методов манипуляции не является чем-то новым (они веками использовались для получения и удержания власти), теперь, когда наградой манипулятора могут стать ценные активы и критическая инфраструктура предприятия, последствия могут быть просто катастрофическими.

Методы кибератак

Атаки, основанные на социальной инженерии, это одна из самых опасных угроз кибербезопасности. Исполнители таких атак используют социальную инженерию для нападения на системы, в которых они не могут найти каких-либо технических уязвимостей. Считается, что эти атаки можно обнаружить, но невозможно на 100% предотвратить. Есть несколько типов таких атак с использованием разных методов, но при этом они следуют общему сценарию и делятся на похожие фазы. Наиболее распространенная схема атаки через человека включает четыре этапа:

1. Рекогносцировка (RECON): сбор информации (разведка).
2. Ловушка (HOOK): развитие отношений с целью, жертву необходимо «поймать на крючок» (поэтому в английской терминологии используется слово hook).
3. Эксплуатация уязвимости (EXPLOIT): использование информации и/или отношений.
4. Выход (EXIT): отступление, при котором хакер пытается скрыть или оставить крайне мало признаков нападения.

Этапы кибератаки показаны на диаграмме (рисунок). В данном случае атака через представителя персонала предприятия происходит по принципу «убийственная цепочка» (kill chain) [1].

Атаки с использованием социальной инженерии могут строиться не только на человеке, но и на компьютере. В первом случае требуется, чтобы злоумышленник для получения информации взаимодействовал с жертвой напрямую, и поэтому в один и тот же момент не может быть атакована более чем одна жертва. При направленности на компьютер, а не конкретного человека, за очень короткое время могут быть атакованы тысячи жертв. В качестве примера таких компьютерных атак можно привести фишинговые электронные письма.

Технические, социальные и физические атаки

В зависимости от того, каким образом совершаются атаки, их можно разделить на три категории: технические, социальные и физические. Технические атаки обычно проводятся через социальные сети или веб-сайты, предназначенные для сбора информации. Социальные атаки основываются на отношениях с жертвой и используют ее предубеждения и воздействие на ее эмоции. Физические атаки включают такие действия, как dumpster diving (букв. «погружение в мусорное ведро», может действительно подразумевать исследование содержимого мусорных контейнеров), shoulder surfing (букв. «серфинг на плечах», подсматривание через плечо) или прямое воровство. Физические атаки, для того чтобы дезориентировать жертву и, сыграв на ее растерянности, украсть учетные данные или получить доступ к защищенным областям, часто реализуются в сочетании с социальными атаками.

Наконец, атаки могут быть определены как прямые или косвенные. В первом случае требуется, чтобы злоумышленник контактировал со своей жертвой, причем часто — физически (зрительный контакт, разговор и присутствие на работе или в личном (в том числе домашнем) пространстве жертвы). Такие атаки включают фактическую кражу документов или злоупотребление доверием. Причем обман жертвы может как быть разовым, так и продолжаться долгое время. Прямые атаки часто осуществляются через телефонные звонки: как, например, фальшивые звонки из налоговой службы или банка.

При косвенных атаках злоумышленнику необязательно вступать в контакт со своими жертвами. Примерами таких кибератак могут служить вредоносные программы, распределенная атака на отказ в обслуживании (distributed denial of service, DDoS), фишинг, программы-вымогатели, обратная социальная инженерия и т. д.

Пять наиболее распространенных типов атак

Средства и методы социальной инженерии используются во многих вариантах атак. Все они основаны на человеческих слабостях, среди которых любопытство, нужда, жадность, обида и т. д. Опытный злоумышленник способен провести исследование и подготовить атаку с учетом слабых сторон и уязвимостей предполагаемой жертвы. Рассмотрим пять наиболее распространенных типов атак.

Фишинг

Фишинг (phishing), считающийся самой распространенной атакой на основе социальной инженерии, получил свое название от практики телефонного мошенничества (phone phreaking), целью которого было использовать телефонную сеть для получения острых ощущений и бесплатных телефонных звонков. Злоумышленник как бы бросал наживку и смотрел, кто или что клюнет. Хотя термин «фишинг» до сих пор используется для описания мошеннических телефонных звонков, самым широким полем деятельности для таких хакеров стала электронная почта. По оценкам, более 80% успешных установок вредоносных программ происходит именно таким путем.

Можно выделить несколько форм фишинга:

• Точечный фишинг (англ. spear fishing — букв. «фишинг дротиком») — целевая атака на одного человека или объект.
• «Охота на китов» (англ. whaling) — фишинг-мошенничество против высокопоставленных должностных лиц, жертв с высокой ценностью. Направлено на получение банковских конфиденциальных данных клиентов, являющихся сотрудниками высшего звена управления (президент, вице-президент и т. п.), с целью хищения денег.
• «Вишинг» (англ. vishing). В отличие от фишинга, в сообщении содержится просьба не зайти на сайт, а позвонить на городской телефонный номер. Тем, кто позвонил на него, зачитывается речь с просьбой сообщить конфиденциальные данные.
• «Смишинг» (англ. SMShishing — от «SMS» и «фишинг») — вид фишинга с использованием SMS. Мошенники отправляют жертве SMS-сообщение, содержащее ссылку на фишинговый сайт и мотивирующее ее туда зайти. Как вариант, жертве предлагается отправить в ответном SMS-сообщении конфиденциальную информацию, касающуюся платежных реквизитов или персональных параметров доступа на информационно-платежные ресурсы в сети Интернет.

Этот список можно продолжить. Если злоумышленник провел тщательную разведку намеченной цели, то фишинг может быть очень эффективным, поскольку его трудно обнаружить и смягчить последствия.

Претекстинг

Претекстинг (англ. Pretexting) — это искусство создания поддельных убедительных сценариев, которые заставляют жертву доверять зло­умышленнику и почти охотно предоставлять доступ к своей личной информации или к учетным данным. Злоумышленники используют разведданные с открытым исходным кодом (OSINT), то есть информацию, которую легко найти в опубликованных документах, в Интернете и, в частности, в социальных сетях. Предлог для обращения может принимать много форм: предложение работы, общения или секса, чего-то бесплатного за небольшую плату. Эти махинации стары как мир.

Наиболее известным претекстингом является так называемая «афера 419», названная так по разделу 419 нигерийского уголовного кодекса, который нарушают мошенники. Жертве якобы предоставляется возможность участвовать в получении наследства, в выигрыше в лотерею или какой-то другой ерунде; нужно только отправить деньги, чтобы помочь автору письма получить награду. Хотя этот вид жульничества возник в Нигерии, сейчас есть много его вариантов и в других странах, так что стоит их остерегаться.

Приманка

Атаки, называемые «приманкой» (baiting), используют жадность жертвы и ее любовь к «халяве»: ей предлагают что-то бесплатное, если она нажмет на ссылку на веб-сайте. В отличие от кликбейта, который направлен на повышение посещаемости страницы и увеличение количества просмотров рекламы, через «приманки» мошенники пытаются установить вредоносные программы на компьютер жертвы. Пример такого типа кибератаки — невинно выглядящие сайты, предлагающие бесплатную таблицу для финансового планирования. Поскольку электронная таблица загружает и программу обратной оболочки, она дает злоумышленнику доступ ко всему, что есть у жертвы. Бесплатные фильмы, музыка и порнография — все они могут использоваться в качестве носителей для доставки вредоносных программ.

Еще одним вариантом «приманки» является использование зараженных USB-накопителей, оставленных на столике в кафе или на автостоянке. Неопытные пользователи подбирают их из любопытства и подключают к своим компьютерам. Этот метод установки был использован для внедрения червя Stuxnet на секретный иранский ядерный объект, который не был подключен к внешней сетевой связи. Червь Stuxnet, пусть и на короткое время, но смог остановить иранскую ядерную программу.

Метод quid pro quo

Атака quid pro quo («услуга за услугу»), подобно «приманке», предлагает жертве выгоду за предоставление информации, например вознаграждение, подарок или бесплатное обслуживание. Этот метод особенно эффективен в социальных сетях. Одна из распространенных атак такого вида — мошенническое действие со стороны ИТ-персонала. Эти атаки не очень сложные и часто выполняются на лету, то есть жертвы выбираются случайным образом. Одно исследование, проведенное в Великобритании несколько лет назад, показало, что люди, наугад остановленные в метро, могут выдавать свои пароли за плитку шоколада, дешевую ручку или какую-нибудь другую безделушку.

Tailgating

Tailgating (букв. «проход за авторизованным пользователем системы контроля доступа») — очень распространенная физическая атака, при которой злоумышленник, выдавая себя за другого сотрудника или курьера из службы доставки, получает доступ к защищенной области, проникая в систему под прикрытием законного пользователя или с использованием его ID-карты. Наиболее распространенный метод — попросить кого-нибудь впустить злоумышленника, потому что он «забыл свою идентификационную карту». Такая атака используется, чтобы получить доступ к защищенным областям, и требует, чтобы злоумышленник также использовал претекстинг для убеждения жертвы в своей искренности и законности своих действий. Один из вариантов подготовки злоумышленника — заставить сотрудника, имеющего допуск в закрытую зону, одолжить ему «буквально на минуточку» свою ID-карту, чтобы он мог подойти к своей машине и что-то забрать. Результат — скопированная или скомпрометированная идентификационная карточка. Большинство людей хотят доверять друг другу. Злоумышленники об этом прекрасно знают и в полной мере этим пользуются.

Пять методов профилактики кибератак

Снизить риски человеческих ошибок, которые угрожают кибербезопасности, помогут следующие пять методов.

Уменьшение поля для атаки

Необходим тщательный анализ всей ИТ-инфраструктуры объекта, на которую нужно посмотреть глазами злоумышленника. Следует закрыть открытые порты и защитить сеть брандмауэром, а также ограничить доступ к критически важным системам, предоставив его как можно меньшему количеству сотрудников.

Тщательная проверка критически важного персонала

Поскольку самым слабым звеном в области безопасности является человек, логичный шаг — максимально возможное устранение человеческого фактора, а именно систематическое устранение взаимодействия людей друг с другом. Это может звучать как ересь, но мы можем столкнуться с кризисом, вызванным небрежностью и неспособностью некоторых людей распознать угрозу.

Создание команды по обеспечению безопасности сети

Хотя обучение может смягчить некоторые угрозы, рекомендуется выделить персонал, который после обучения сможет осуществлять мониторинг угроз и выполнять другие функции специалистов по безопасности сети, т. е. регулярно проверять процедуры безопасности и кибергигиену других сотрудников. Эти люди должны обладать полномочиями по устранению уязвимостей и способностью исправлять поведение сотрудника-нарушителя. «Ударная группа», как команда быстрого реагирования, состоящая из сетевых администраторов, сотрудников службы безопасности и старших сотрудников, может быстро обнаружить нарушение и справиться с ним, а затем выполнить его «вскрытие», чтобы определить, как это произошло, и принять необходимые превентивные меры для недопущения таких эксцессов в будущем.

Организация и использование ролевого доступа

Ничто не помешает сотруднику писать пароли на бумажках или смотреть на кибербезопасность как на бесполезное занятие. С данным типом менталитета сложно бороться, при этом приходится позволять такому сотруднику иметь доступ к сети и ресурсам в процессе выполнения работы. Компартментализация (распределение информации по категориям пользователей или по объектам) — один из способов решения этой проблемы. Доступ на основе ролей (role-based access, RBAC) — эффективный метод разделения. Еще один действенный способ — требование формального запроса на доступ и последующий мониторинг работника при доступе к критически важным данным или системам. Многофакторная аутентификация тоже может быть полезной, но не в том случае, если сотрудник не воспринимает это всерьез и неосторожно обращается со своим телефоном или другими вторичными средствами аутентификации.

Выбор надежных паролей

Принудительное внедрение политики обязательной регулярной смены паролей (а лучше их генерации) эффективно предотвращает использование персоналом легко угадываемых паролей, таких как «1234567» или не менее популярный «пароль».

Заключение

Конечно, можно обучить персонал правильной «кибергигиене», как и личной гигиене, но, как мы все знаем, это не всегда практикуется и поддерживается. Если поначалу предупреждение типа «Болтун — находка для шпиона!» срабатывает, то потом персонал расслабляется и все возвращается на свои места, постоянно держать работников в тонусе сложно и непродуктивно. К сожалению, компания может потратить миллионы долларов на автоматизацию, обучение персонала, активное обнаружение вторжений, смягчение рисков кибер­угроз и предотвращение последствий кибератак, а также активные контрмеры, но все это будет сорвано одним неосторожным или некомпетентным сотрудником. Наиболее эффективно снизить риск кибератаки поможет устранение, где это только возможно, человеческого фактора.