Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Безпека в сучасних корпораціях

  1. Передмова
  2. Вони і Ми
  3. 1 + 1 = негатив
  4. Один
  5. ще один
  6. зовсім один
  7. І понеслася
  8. Всі в сад
  9. Скільки класів ви закінчили?
  10. Оголосіть весь список, будь ласка!
  11. Через сто метрів поверніть праворуч
  12. По перше
  13. По-друге
  14. По-третє
  15. По-четверте
  16. висновок

Передмова Я працюю розробником в одній Б о-о-о-Ольша компанії

Передмова


Я працюю розробником в одній Б о-о-о-Ольша компанії. Проникнення у внутрішній контур - ласий шматочок для шахраїв. У компанії, природно, існує служба безпеки. Але, то, як працює служба безпеки і ефективність її роботи у мене викликає сумніви.


У цій статті я хочу поділитися своїми роздумами і закликати до діалогу на тему того, як повинна працювати сучасна служба безпеки і чого від неї чекають.


далі СБ - служба безпеки

Відмова від відповідальності


Я не хочу образити співробітників СБ, і у мене немає до них особистої неприязні, помсти і наміру очорнити їх. Більш того, я поважаю їх роботу, вважаю її важливою і дуже відповідальною. Я висловлюю свою думку, яке може бути помилковим і суб'єктивним


Вони і Ми


До "безпечники" службовці компанії зазвичай ставляться як до вкрай настирливому і заважає нормальній роботі відділу. Ставлення розподіляється від Пофігістіческую до вкрай негативного. Навіть якщо співробітник розуміє важливість СБ, то СБ все одно буде стояти для нього десь там і "заважати" рухатися вперед. Тобто йде постійне поділ на "Вони і Ми".


1 + 1 = негатив


Давайте спробуємо розібратися, чому таке ставлення до СБ складається?


Один


Почнемо з самого початку. Працювати з СБ доводиться ще до того, як ти перший раз побачиш хоч одного співробітника СБ України. Для того, щоб взяли на роботу, пересилають анкету і кажуть, що потрібно пройти СБ України. Питання в анкеті складені так, що доводиться розгадувати їх як кросворд, намагаючись зрозуміти, що вони означають. При цьому вже починає формуватися негатив, адже якщо не так заповниш, то доведеться переробляти анкету.


Було б логічніше попросити людину підготувати необхідні документи для заповнення анкети і заповнити її або з співробітником СБ, або з HR, який попередньо буде навчений, як правильно заповнювати анкету.

ще один


Після того, як заповнив анкету, потрібно пройти саме співбесіду. Більшість співробітників СБ, якщо не все, набираються з МВС, ФСБ, військових і т.д. І мабуть у них є певний кодекс поведінки, який вони свято дотримуються. Хоча сам я цей кодекс не бачив, але спостерігаючи за ними, я зробив реверс инженеринг і ось які пункти з кодексу мені вийшло відновити:


  • все кругом винні, навіть якщо хтось не винен.
  • хто винен, той твій ворог
  • співробітник СБ повинен мати кам'яну морду, ніж камінь морда, тим краще
  • коли з кимось говориш, то потрібно щоб співрозмовник розумів, що ти дуже важливий, зайнятої і його щастя, що ти зволив з ним поговорити
  • з ворогами взагалі краще не говорити
  • принизь співрозмовника якомога більше, тоді він буде тебе боятися
  • обов'язково показуй свою владу, навіть якщо в цьому немає ніякої необхідності
  • мова лад якомога простіше, не використовую все багатство мови. 5 слів на кожне речення це максимум, який може собі дозволити такої зайнятої і важлива людина як ти.
  • на короткий питання має бути коротка відповідь. Якщо співрозмовник на твоє запитання намагається відповісти розгорнуто, обов'язково його перебивай. Це таємна виверт шпигунів. По-перше, він витрачає твій час, по-друге, він хоче тебе запитати, по-третє, мабуть, він не знає відповіді, раз не може відповісти двома словами.

Соответсвенно цього кодексу, навіть якщо приходиш до призначеного часу, то будеш чекати. Тебе зустрінуть так, що будеш радий швидше звідси піти. Обов'язково нагадають, що тут все серйозно, а не в іграшки грають. Будуть ставити такі питання, які зовсім не обов'язково ставити, але якщо на них не відповіси, то явно щось приховуєш. Исповедь перед священиком - це ніщо в порівнянні з співбесідою з СБ України.


Так, безсумнівно, завдання співробітника СБ при співбесіді вкрай складна і важлива, він повинен скласти чітке уявлення і видати вердикт, надійна людина чи ні. Адже якщо він дасть згоду на прийом на роботу афериста / шахрая, то питати будуть в першу чергу з нього, інакше за що він зарплату отримує?
Звичайно у мене немає якихось глибоких знань в психології, але:

  • хіба людина може бути щирий і довірливий в негативній обстановці?
  • х��ба людина, якій дати можливість говорити, не розкаже більше, ніж коли йому ставлять запитання?
  • питання можна задавати і по ходу розповіді співрозмовника.

Головний мій посил в тому, що співбесіду повинен проводити грамотний психолог, харизматичний, в невимушеній обстановці, як можна менш схожою на допит.
Якщо психолог не є хорошим фахівцем в області безпеки, то за бесідою може спостерігати справжній фахівець і коригувати бесіду через дзеркало, через мікрофон, через монітор ... та як завгодно.
Можливо, потенційний співробітник більше ніколи не буде стикатися з СБ, крім як на прохідній, і це єдиний шанс розташувати його до себе.

Не знаю як в інших компаніях, але в тих, в яких доводилося стикатися з СБ бере обов'язковий лаг, для того, щоб прийняти рішення. Про це зазвичай, хоча думаю не завжди, попереджають вже після того, як ти пройшов інші кілька співбесід. І цей лаг встановлюється для всіх однаковий, мабуть для того, щоб знову дати тобі зрозуміти, наскільки вони зайняті, а ти всього лише один з багатьох.


зовсім один


Ну, нарешті, ти на роботі і хочеш приступити до виконання обов'язків і тут От чорт, все заблоковано, крок вправо, крок вліво - розстріл. Перед тобою стоїть дуже дорога друкарська машинка, а не робочий інструмент. Потрібен доступ, пиши заявку і доведи необхідність. Хочеш підключиться до Wi-Fi, пиши заявку і доведи необхідність.


Залежно від компанії виявляється, що ще потрібно провести купу погоджень для того, щоб у тебе було налаштоване робоче місце.


Ця проблема відноситься скоріше, не до СБ, а до організації процесу в самій компанії, яка могла б вже зробити всі необхідні форми, заявки для організації робочого місця, до того, як людина прийде на роботу.

І понеслася


А тепер виявляється, що для того, щоб виконувати свої службові обов'язки, тобі доводиться постійно мати справу з СБ України. Розробляєш новий функціонал - погоджуючи з СБ, пишеш тести і потрібно підключиться до БД - погоджуючи з СБ, викочує на пром - ... ну ви зрозуміли.


Звичайно, доведеться стикатися з СБ чи ні, залежить від обов'язків, і співпраця з СБ має бути в деяких випадках постійним, але при цьому процес зазвичай ніяк не автоматизовано.
Наприклад, коли бізнес розробляє новий фунціонал, презентує його, то співробітники СБ зобов'язані бути присутніми на ньому, вникати в суть і заздалегідь допомагати вирішувати проблеми з безпекою, а не бути тим, хто після того, як все розроблено, рубати все на корню.
Якщо робота співробітника має на увазі постійний зв'язок і контакт з СБ, так чому б не зробити цей процес таким, щоб самі співробітники СБ підключалися до процесу в міру необхідності, а не команда бігала до них, або принаймні автоматичні повідомлення, а не формування чергових заявок . Тобто викочується новий функціонал і СБ отримує про це повідомлення, без їх схвалення викотити не можна, таким чином час на формування заявок зникне.
Тут мій посил такий, що співробітник СБ повинен бути частиною команди, працювати нарівні з усіма, тоді це не будуть "ті, хто заважає працювати", а стануть "ті, хто допомагає працювати". Люди нарешті знатимуть в обличчя тих, хто відповідає за безпеку.

Всі в сад


Підхід СБ до безпеки дуже простий: "Спочатку все всім заборонити", дозволяти тільки після розгляду.
Ні, безумовно, кожен підписував папір про те, що ознайомився з правилами безпеки і готовий нести відповідальність у разі їх порушення. І правила то були написані не дрібним шрифтом в середині десятистраничного договору (хоча не завжди зрозуміло), і коли підписував, напевно ніхто не квапив і не відволікав. але:


  • що було прочитано як обязаловка або для здачі тесту, по психології студента - здав і забув
  • намагаєшся бути правильним, але роздрукувати квитанцію про оплату ЖКГ, куплений квиток, реферат і т.д. все таки потрібно - тебе ж за це не звільнять, правда?
  • а потім виявляється, що ти не один такий, інші ж теж так роблять, а ти ж не гірше? - Психологія натовпу

Природно, такий підхід вкрай ефективний, коли існує тоталітарна держава і за "злочин" йде суворе покарання, але в корпоративному середовищі воно не працює.
Є компанії, в яких приходячи на роботу, ти здаєш всі гаджети і повинен ходити зі звичайним телефоном. Але, якщо компанія хоче, щоб там працювали молоді фахівці, доведеться дуже сильно мотивувати їх, щоб умовити їх розлучитися зі своїми гаджетами. Але, таке повинно застосовуватися тільки на вкрай секретних військових об'єктах або на об'єктах, злом яких становить загрозу життю людини, наприклад на атомній електростанції. Та й то, такий підхід більше працює на папері. Є у мене один знайомий, який служив в армії на секретні об'єкти і все одно каже, що там очі на це закривають. Ось вам приклад вірус Stuxnet
Думаю СБ повинна діяти не забороняючи все, щоб люди не думали про те, як обійти заборони для досягнення бажаного комфорту в роботі, а так, щоб люди не замислювалися про те, що їм потрібно щось долати і їх можуть за це покарати. Встановити такі правила, які влаштують усіх. Більш докладно про це я напишу нижче.

Скільки класів ви закінчили?


Природно винна не тільки і не стільки СБ, скільки співробітники. Банальна неграмотність людей в області безпеки (як кібер, так і звичайної) здійснює більшість помилок.
Багато хто навіть не замислюються, що ті гаджети, які вони носять, це дуже продуктивні комп'ютери, за які всього лише 15 років тому люди могли б отримати стан. Загальна комп'ютеризація і повсюдна доступність увійшла в наше життя вкрай швидкими темпами. Вже виросло покоління людей, які навіть не замислюються про те, що коли-то такого не було.
Так що там говорити про гаджети. Кругом з'являються розумні будинки і інтернет речей, через які можна здійснювати проникнення. Ось один із прикладів: WannaCry через кавомашини .
Більш того, повірте мені, існують люди, які на повному серйозі вважають, що хакери - це вигадка і страшилка з телевізора.


Звичайно, компанії проводять тренінги, щоб усувати інформаційну неграмотність серед співробітників; і така робота формально проводиться, але, на жаль, настільки формально, що за фактом її немає. Навіть в дуже великій компанії, що працює з фінансами, для якої інформаційна безпека цю справу вищого пріоритету, справи дуже погані. За моїм спостереженням, в маленьких компаніях до цього ставляться більш строго, часом перегинаючи палицю.
Мені доводилося працювати в одній компанії, яка займається виробництвом дитячих іграшок і без проходження поліграфа, в цю компанію не брали. Дитячих іграшок, Карл! Мабуть керівництво мірило всіх по собі, боялися промислового шпигунства, а про саму компанію не без підстави ходили чутки про те, звідки у них з'являються ті чи інші новинки.

Ви думаєте, що тільки домогосподарки, секретарі та бухгалтери неграмотні в кібер безпеки? На жаль, і серед програмістів зустрічаються такі люди, які зовсім не думають про це. Якби це було не так, то і історій про злом не з'являлося б так часто.


Іноді за безпеку додатка відповідає якийсь один відділ або команда, а інші програмісти розробляють, покладаючись на те, що вони захищені. Так би мовити, перебувають на іншому шарі додатки. В принципі такий підхід в якійсь мірі і може бути виправданий, якщо додаток у вас невелика і ризики злому прийнятні. Але все одно особисто я вважаю, що співробітник СБ повинен як мінімуму стояти ревьювером кожного релізу.
Але комплексно, я вважаю, що повинен бути зовсім інший підхід. Кожен програміст повинен не тільки вміти добре розбиратися і пройти тести / курси з безпеки і, як мінімум, знати всі найпопулярніші способи злому, які застосовуються на його мові програмування, а й сама компанія повинна проводити мітапи і тренінги на регулярній основі і не допускати до розробці того, хто не володіє встановленим мінімумом.

І справа не тільки в співробітниках, хакерам часто простіше зламати систему партнерів цікавить їх компанії, яка до своєї безпеки відноситься посередньо. Хакерська угруповання Cobalt


Лох НЕ мамонт, лох НЕ вимре


Згідно з результатами досліджень, найпопулярнішим і успішним способом злому і досі залишається людина, а не система. Набагато простіше обдурити недовченого людини, ніж зламувати систему, яку розробляли фахівці. Журнал Хакер


Оголосіть весь список, будь ласка!


Отже, що ж виходить?


  • СБ в компаніях коштує настільки "в стороні", що з ними хочеться мати якомога менше справ, при цьому навіть якщо розумієш всю необхідність, корисність і важливість роботи СБ самі співробітники і процес з ними будується так, що викликає суцільний негатив.
  • більшість людей володіє банальної безграмотністю в області безпеки
  • процес навчання безпеки побудований настільки формально, що толку від нього практично немає

Через сто метрів поверніть праворуч


Як-же правильно вибудувати процес корпоративної безпеки?


По перше


Потрібно зробити ребрендерінг СБ так, щоб вони були частиною компанії, щоб кожен міг підходити до людини з СБ, що сидить десь недалеко, і попросити його допомогти розібратися з незрозумілим листом або проконсультуватися по хвилюючим питанням безпеки без необхідності писати заявки, і після спілкування з ними не відчувати себе приниженим.


По-друге


Потрібно регулярне навчання безпеки всередині компанії всіх співробітників, з урахуванням займаної посади і виконуваних обов'язків.
Природно, що для програміста, який знаходиться на піку цифрових технологій, потрібно принципово інший підхід до навчання, ніж для секретаря.


По-третє


Навчання повинно бути якомога менше формальним, навчання повинно бути цікавим, в інтерактивній формі, щоб отримали знаннями хотілося поділиться з іншими, а не виконати і забути.


По-четверте


Потрібно не забороняти, а знаходити способи, щоб співробітники добровільно брали участь в процесі формування безпеки компанії.


Так, наприклад, компанія може примітивно пропонувати оплачувати антивірусне забезпечення на всіх використовуваних всередині компанії гаджетах і системах, на яких виконується робота співробітника. Якщо співробітник підключається по VPN до мережі, так потрібно переконатися, що у нього "чисте" робоче місце.


Якщо вихід в інтернет є на робочих станціях, так доступ повинен бути відкритий та прозорий, але виконуватися в захищеному середовищі. Так, всередині компанії, в якій я працюю, є така річ, як безпечний інтернет, спеціально розроблений браузер, який запускається на віддаленій машині і, якщо щось відбудеться не так, то це буде не на робочій машині. Я вважаю, що такий підхід дуже перспективний, але працювати через такий браузер в поточній реалізації вкрай незручно.


висновок


У сучасному світі забезпечувати безпеку через заборону, це вкрай неефективний спосіб.
Необхідний зовсім інший підхід, заснований на вихованні співробітників та спільному взаємодії кожного співробітника з СБ
Так як найбільша уязвімость- це людська дурість, то тільки та компанія, яка зможе розробити і впровадити систему усунення безграмотності, зможе домогтися ефективного способу захисту.


При розробці рівня безпеки, потрібно обов'язково враховувати комфортні умови роботи співробітників. Якщо людині потрібен доступ до соціальних мереж, то варто думати не над тим, як заборонити йому це робити, а над тим, як надати йому можливість безпечно використовувати їх. Простіше навчити співробітника, ніж продовжувати роздувати кадри СБ України.


Я б ще подумав на тему того, як можна організовувати безпеку, але тільки стаття і так вийшла занадто великий. Можливо, я продовжу в іншій статті, якщо ця стаття буде прочитана популярна.



Корисні посилання на тему:


Адже якщо він дасть згоду на прийом на роботу афериста / шахрая, то питати будуть в першу чергу з нього, інакше за що він зарплату отримує?
?ба людина, якій дати можливість говорити, не розкаже більше, ніж коли йому ставлять запитання?
Все таки потрібно - тебе ж за це не звільнять, правда?
А потім виявляється, що ти не один такий, інші ж теж так роблять, а ти ж не гірше?
Скільки класів ви закінчили?
Ви думаєте, що тільки домогосподарки, секретарі та бухгалтери неграмотні в кібер безпеки?
Отже, що ж виходить?

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.