Управляя в конце 90-х годов сетями на одной из баз ВВС США, Бенджамин Крэйг (Benjamin Craig) убедился, что специалисты, даже военные, не имеют должного представления о компьютерной безопасности. "В связи с этим нам постоянно приходилось рассказывать сослуживцам об угрозах, связанных с так называемой "социальной инженерией", - вспоминает Крэйг. "Социальной инженерией" или "социотехникой" именуют методы обмана пользователей, ипользуемые хакерами для выведывания паролей и несанкционированного проникновения в компьютерные системы.
Покинув военную службу, в 2001 году Крэйг стал вице-президентом River City Bank в городе Сакраменто (штат Калифорния) и вскоре организовал для сотрудников занятия по социальной инженерии. Это сразу же принесло положительные результаты. "Мы вдруг обнаружили, что многие сотрудники из отделов услуг, свободно разгуливая по банку, нередко оказывались там, где им находиться не следовало", - вспоминает Крэйг.
Разумеется, это вовсе не значит, что все они делали это злонамеренно, но их бесконтрольные перемещения создавали благоприятные возможности для потенциальных злоумышленников, в связи с чем банку пришлось повысить бдительность и установить систему видеонаблюдения. Кроме того, в River City Bank были разработаны правила поведения сотрудников в ситуациях, когда они сталкиваются с той или иной угрозой или потенциальной проблемой.
River City Bank - скорее, исключение, а не правило. Вот уже два десятка лет отовсюду доносятся предупреждения об уязвимости электронных данных перед лицом самых разных угроз, и тем не менее организованный Cisco опрос двух тысяч сотрудников и ИТ-специалистов из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии показал, что компании мало что сделали для того, чтобы поднять уровень осведомленности сотрудников в вопросах защиты информации. Корпоративные данные по-прежнему находятся под угрозой, причем главную угрозу создают не профессиональные хакеры, а небрежность и ошибки пользователей. Глобальное исследование, проведенное по заказу Cisco аналитической компанией InsightExpress, свидетельствует о том, что главной задачей в борьбе с утечками данных должна стать просветительская работа с сотрудниками.
Пренебрежение такой работой особенно опасно сегодня, когда закон и рынок сурово карают компании за утрату данных. При этом чаще всего данные теряются не в результате хакерских атак, а из-за неправильного обращения с информацией, ошибок, халатности, технических неполадок и по другим причинам, за которыми нет злого умысла. Компании несут все больший ущерб от потери (или так называемой "утечки") данных, которые все чаще передаются по сетям и каналам связи. "Сеть стала настоящей платформой для современного бизнеса, - говорит старший советник компании Cisco по вопросам информационной безопасности, один из соавторов книги Secrets Stolen, Fortunes Lost (<Украденные секреты и утраченные состояния>) Кристофер Берджесс (Christopher Burgess)*. - Объем данных в сетях достиг беспрецедентного уровня и в будущем будет только расти".
Удивительно, но факт: наибольшая угроза безопасности исходит не от экзотических вирусов и изощренных хакерских атак, направленных на взлом ваших серверов, сетей и систем хранения, а от беспечности пользователей, добровольно делящихся информацией с посторонними и передающих корпоративную информацию с помощью незащищенных персональных устройств - сотовых телефонов и КПК.
"Компании вполне обоснованно беспокоятся по поводу некоторых новых функций, таких как корпоративные блоги, где происходит бесконтрольный обмен информацией, который может привести к большим неприятностям", - считает Фил Хочмут (Phil Hochmuth), старший аналитик аналитической компании Yankee Group из Бостона (США). По его словам, некоторые из новых угроз возникают не по злому умыслу, а из-за халатности и беспечности пользователей.
Хотя технологии безопасности по-прежнему играют важную роль в предотвращении потери данных, упомянутое выше исследование выявило острую необходимость в изменении поведения пользователей. "Компании всех размеров и специалисты всех профилей должны сознавать, как поведение пользователя влияет на ситуацию с потерей данных и что это значит для компании и каждого сотрудника", - убежден Джон Стюарт (John Stewart), глава службы информационной безопасности Cisco*.
Глобальное исследование, проведенное InsightExpress по заказу компании Cisco, выявило десять главных поведенческих факторов, ведущих к потерям данных:
1.Произвольное изменение настроек безопасности на компьютерах.
2.Использование неавторизованных приложений.
3.Доступ к несанкционированным сетям и устройствам.
4.Разглашение конфиденциальной корпоративной информации.
5.Совместное использование корпоративных устройств.
6.Размывание границ между корпоративными и личными устройствами и средствами связи.
7.Оставление включенных и незаблокированных корпоративных компьютеров без присмотра.
8.Хранение имен и паролей у всех на виду в незащищенных местах.
9.Потеря портативных устройств с важными данными.
10.Бесконтрольное перемещение посторонних лиц по территории компании.
Обучить сотрудников поведению, предотвращающему потерю данных, совсем несложно. Это не требует преподавания сложных наук или резкого изменения сложившейся практики - достаточно ввести общепринятые правила "личной ИТ-гигиены" (все равно, что чистить зубы или мыть руки перед едой). Эти правила должны стать неотъемлемой частью корпоративной политики, которую нужно сообщать каждому новому сотруднику и неуклонно распространять в компании с помощью периодических тренингов и коммуникаций. "Источник многих проблем в том, что руководство компании почему-то убеждено, что сотрудники сами по себе знают, как пользоваться информационными технологиями", - говорит Фил Хочмут. По идее, люди действительно должны понимать, что конфиденциальную информацию не стоит разглашать каждому встречному, компьютер не нужно оставлять включенным без присмотра, а приклеивать памятку с паролем на монитор - просто глупо. Но, как показало исследование, сотрудники компаний из самых разных стран и регионов либо не знают этих правил, либо, что более вероятно, не считают обязательным их исполнение.
Cisco провела обучение своих сотрудников правильному поведению, сконцентрировав внимание не на административных запретах, а на позитивных рекомендациях**. "Мы показываем короткие видеоклипы, иллюстрирующие информационные угрозы и подсказывающие правильные ответы", - говорит Кристофер Берджесс. Сотрудники должны знать о существующих угрозах и о том, что каждый из них является потенциальной целью злоумышленников, добавляет старший советник компании Cisco по информационной безопасности.
Угрозы безопасности никогда не исчезнут, но они не должны мешать компаниям успешно развивать свой бизнес. Как заметил Кристофер Берджесс, "страх перед угрозами не должен останавливать ваше предприятие. Если сотрудники знают о возможных угрозах, а процессы и технологии находятся под надежным контролем, вы можете спокойно заниматься развитием бизнеса".