Количество угроз информационной безопасности постоянно растет, и очень часто она обсуждается в контексте внешних угроз. Вместе с тем представители бизнеса должны хорошо понимать, что внутренние угрозы представляют собой ничуть не меньшую опасность.
Конечные пользователи, действующие без умысла или злонамеренно, представляют собой потенциальный вектор угроз. Более того, сотрудники ИТ- и ИБ-подразделений тоже невольно могут стать причиной понесенного компанией ущерба.
Конечные пользователи как уязвимость в системе безопасности
Сегодня обычная человеческая ошибка может принести гораздо больше вреда, чем уязвимости в программном обеспечении. Используя методы социальной инженерии, можно нанести вред организации и без применения вредоносного ПО. Психология и поведение людей — вот что может привести к утечке информации.
ИТ- и ИБ-службам весьма трудно сделать так, чтобы люди (вольно или невольно) не делились конфиденциальной информацией. «Валя, закрой за меня счет. Пароль ты знаешь!», — нечто подобное, наверное, приходилось слышать каждому из нас. И большинство воспринимает это в порядке вещей.
Что же делать?
- Прежде всего, организуйте обучение пользователей. Оно должно опираться на профилактические меры, реализуемые в виде практических демонстраций.
- Привлеките к обучению пользователей не только ИТ-специалистов, но и сотрудников других отделов. Работники финансового отдела, например, должны разъяснить, какой ущерб может понести предприятие в результате утечки данных и как это отразится на его сотрудниках.
- Используйте в обучении наиболее простые приемы. Сложные или замысловатые приемы труднее освоить и применять на практике, поэтому эффективность такого обучения будет невысокой.
- Внедрите автоматизированные средства контроля ИБ. Использование специализированного ПО, в том числе антивирусного, позволит смягчить или устранить возможные последствия допущенных пользователями ошибок. Применяйте ПО для контроля действий пользователей, чтобы вовремя отследить действия, которые могут негативно отразиться на бизнесе компании.
Усложнение ИТ-систем как фактор ослабления ИБ
Еще большую угрозу для предприятия могут представлять сотрудники ИТ- и ИБ-служб. В результате внедрения виртуализации, BYOD, облачных сервисов и т. д. корпоративные информационные системы сегодня представляют собой зоопарк технологий, управлять которым в условиях бюджетных ограничений и нехватки квалифицированных специалистов, крайне сложно. К тому же сегодня для корпоративных систем отсутствует понятие периметра, они стали доступными в любое время из любого места.
В такой ситуации ошибки ИТ-специалистов не только возможны, они неизбежны. И с усложнением ИТ-систем вероятность таких ошибок увеличивается.
Что делать?
- Упростите управление ИТ-системами, включая управление безопасностью. Упростить современную ИТ-инфраструктуру невозможно, но, используя правильные инструменты и технологии, можно упростить оперативное управление ею.
- Контролируйте действия администраторов. Контролировать администраторов куда сложнее, чем обычных пользователей, но делать это необходимо.
- Ограничивайте доступ сторонним пользователям. Будьте внимательны, предоставляя доступ к своим ИТ-системам подрядчикам и сторонним поставщикам услуг. Если есть возможность, предоставляйте им ограниченный удаленный доступ.
- Предоставляйте пользователям только необходимые им полномочия. Это относится не только к сотрудникам бизнес-отделов предприятия, но и к специалистам ИТ-службы.
В заключение хотелось бы подчеркнуть — приведенные выше рекомендации следует воспринимать не как пожелания, а как обязательные для исполнения требования. Причем в дальнейшем объем и строгость этих требований будут только повышаться.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.