Я собственными глазами видел такую формулировку в требованиях безопасности одной компании: «Не переходите по опасным ссылкам». Как вам? Если вы думаете: «Отличное правило, пожалуй, я им тоже воспользуюсь», рекомендую закрыть эту книгу и пару раз стукнуть ею себя по голове.
Теперь можно читать дальше.
Подобные требования плохи тем, что они недостаточно подробны. Как понять, какие ссылки опасны? Знают ли сотрудники, что сайты support-microsoft.com и Microsoft.com — это совершенно разные вещи?
Кроме того, в этой формулировке не прописаны возможные последствия нежелательного действия. А если перейти по ссылке, то что произойдет? Было бы полезно дополнить это правило формулировкой в духе: «Если же нежелательное взаимодействие с электронным письмом, подозрительный телефонный разговор или личное взаимодействие все же состоялись, пожалуйста, сообщите о сложившейся ситуации на [email protected]».
Но и этого недостаточно! Необходимо объяснить сотрудникам, что именно им надо сообщить: переслать сомнительное письмо, приложить информацию о звонившем человеке и т. п. Какую именно информацию вы хотите получить? И какие последствия ждут сотрудника, который предоставит вам такой отчет?
Реалистичная политика безопасности помогает сотрудникам оценивать возникающие ситуации со всех сторон. У них просто не остается вопросов. Однажды меня попросили поучаствовать в подготовке информации для увеличения осведомленности сотрудников в вопросах фишинга. Текст был примерно следующий:
Фишинг — серьезная угроза лично для вас и для компании в целом. Мошенники хотят получить от вас конфиденциальную информацию и добиваются этой цели в том числе с помощью атак через электронную почту. Они могут отправить вам зараженные документы с расширением. exe, pdf, xls, doc. Кроме того, они могут прикладывать к письмам ссылки на сайты, которые на самом деле являются лишь ширмой для распространения вредоносных программ и вирусов.
Получив e-mail от непроверенного отправителя, не предпринимайте в отношении него каких бы то ни было действий, только перешлите его на адрес нарушения@компания. com (нажмите кнопку «Переслать» в шапке вашего почтового ящика).
В течение суток вы получите ответ с оценкой безопасности этого письма.
Если же вы перешли по ссылке или открыли документ, который теперь кажется вам подозрительным, — сообщите об этом в отдел по контролю за нарушениями.
Конечно же, полная версия руководства содержала более подробное описание новой политики безопасности, а также ссылки на дополнительные информационные ресурсы. Но я думаю, суть вы понимаете. Хорошая политика безопасности всегда предлагает реалистичные инструкции и формирует у сотрудников четкие представления о том, какие действия нужно совершать, а какие не нужно.
Возвращаясь к моему примеру с боевыми искусствами: этот шаг можно сравнить с обучением «новобранцев» принимать правильную позу, держать руки и грамотно следить за действиями противника — конечно же, с разъяснением значения этих действий. Хорошая политика безопасности сообщает сотрудникам, «что» надо делать и «почему». Если составить ее правильно, у людей из вашего штата со временем сформируется стойкая память на такие вещи.
Вот тогда-то и можно будет перейти к следующему шагу.
Шаг 3: проводить регулярные проверки
Каждую неделю я отправлял Джошу отчет о потребленных калориях, сделанных упражнениях, часах сна, колебаниях веса и других подробностях жизни своего тела. Каждый день я все это записывал с мыслью о том, что Джош будет оценивать мои результаты. Регулярные проверки помогали мне не сбиться с верного пути и помнить о своей цели, а Джош в свою очередь получал возможность вовремя выявлять всяческие проблемы этого процесса.
И вот наступила неделя, когда мне пришлось много путешествовать: вести подробные отчеты возможности не было, я записывал наугад. Джош тут же заметил несоответствие между данными и результатами и задал мне несколько вопросов, которые помогли выявить проблему, решить ее и двинуться дальше. Теперь вы понимаете, чем эффективные программы отличаются от неэффективных: регулярными проверками.
Итак, вы уже рассказали своим сотрудникам о том, какие бывают атаки. Объяснили им, как действовать в случае, если в роли объектов такой атаки окажутся они сами. Вы разработали правила, которые помогут им принять грамотные решения в сложной ситуации. А теперь пришло время проверить, была ли эта информация усвоена. Сработает ли «мышечная память», когда человек окажется под давлением обстоятельств в ходе проверки? Единственный способ это узнать — пригласить консультанта по безопасности на образовательный спарринг с этим сотрудником.
И выбор консультанта здесь крайне важен. Если вы, дорогой читатель, сами являетесь социальным инженером и хотите найти себе клиентов, прочитайте эту часть особенно внимательно, чтобы узнать, чего хотят получить от вас компании. Помните: вам не нужно добиваться стопроцентных показателей или взламывать все, что попадется на пути. Ваша цель — применить свои знания, чтобы заказчик смог усовершенствовать систему безопасности в своей компании.