Первое фото я сделал на объекте инфраструктуры повышенной опасности. Там двери во все служебные помещения должны быть оснащены замками повышенной секретности. Вы видите, что требование выполнено. Современный замок установлен, он удовлетворяет всем требованиям регламента. Это шикарный замок стоимостью более тысячи евро. Я мечтал бы иметь такой в своём доме. Нет, в своём банке. Но вот проблема – стена и дверь, на которой установлен замок – это рамка из дощечек, обтянутая тканью.
Это самая наглядная картинка состояния системы защиты от киберугроз в вашей компании.
Я проводил аудит одной достаточно крупной компании в прошлом году. Она находится в списке Форбс. Её ИТ директор купил целый зоопарк всяких решений по ИБ. Он энтузиаст ИБ. Он покупает все новое, а чтобы получить на это деньги, пугает акционеров всякими новыми пугалками и инцидентами. И напуганные акционеры дают очередную сотню тысяч тугриков на приобретение новой защиты от новой страшилки.
Но вот что интересно. Я поговорил с ним, и после этого отправился к бухгалтерам. В отдел, который обрабатывает всякие платежи. И они мне сказали, что у них проблемы. Система DLP (они этого слова не знают, это я для ясности) не позволяет взаимодействовать с контрагентами, делать то или это. И они нашли решение. Они подкупили (применили методы социальной инженерии) сотрудника ИТ отдела, и он им рассказал, как обойти все ограничения DLP. Они использовали для этого самую красивую девочку в отделе, и пообещали ей много проблем, если она не найдёт решение общей для подразделения задачи. Она нашла решение. И не только производственных, но и своих личных. Вот что значит правильная мотивация!
Почему это произошло? Потому, что никто не настроил систему на пользователей и их потребности. Никто не научил пользователей этим всем пользоваться. ИТ директор считает, что это не его проблема. Он разослал по почте инструкции, которые написаны “на языке инопланетян”. Так мне сказал главный бухгалтер. И, как оказалось в итоге, это ничья проблема.
А ничья проблема, то есть проблема, которую не хочет решать никто, быстро становится общей проблемой, то есть проблемой каждого.
А вот ещё одно фото. Тоже из реальной жизни. Вы видите сумку с ярлыком “Не выносить из самолёта”. Одна деталь – фото сделано в супермаркете.
В любой компьютерной системе есть самое слабое звено – это человек. Техника совершенствуется, но системы управления человека остаются теми же самыми, что и 30000 лет назад. Те же самые инстинкты, эмоции. И мотивация поведения.
ИТ-производители всего мира тратят огромные деньги на продвижение и рекламу своих новых средств защиты от кибератак. И у нас складывается впечатление, что в постоянном обновлении инфраструктуры есть ключ к решению проблемы киберпреступности.
В итоге: – ваше мировосприятие искажено рекламой. Тренинги для персонала по социальной инженерии стоят в 100 раз дешевле, чем очередная DLP система. Поэтому их никто не рекламирует, – на них ничего не заработаешь. Хотя они бы решили 80% проблем с информационной безопасностью вашей компании.
Но это так, присказки. А самое интересное я расскажу 7-8 ноября на конференции ELECTRONIC EVIDENCE DIGITAL FORENSICS CYBER SECURITY. Судя по программе, будет масса интересных людей и мнений! www.lawtecheuropecongress.com