Мой тренер научил меня видеть поле боя и держать удар — то же самое должен сделать для компании социальный инженер. В школе боевых искусств меня сначала учили принимать правильное положение тела и грамотно двигаться. Потом я перешел к тренировкам с грушей. И лишь после того, как тренер решил, что я готов к реальному бою, я приступил к спаррингу с живым противником. Но этот противник не пытался меня убить — он тоже помогал мне учиться.
Навык распознавания СИ-атак даст вам огромную фору по сравнению с несведущими в этих вопросах людьми. Помогите своим сотрудникам осознать истинную ценность информации — о том, что подорвать безопасность компании можно с помощью одного-единственного e-mail; что мошенники умеют получать пароли и другую важную информацию по телефону; что их мобильные устройства могут подвергаться атаке и в дальнейшем использоваться для подрыва индивидуальной и корпоративной безопасности; что дружелюбная улыбка посетителя не повод для нарушения пропускной политики.
Рассказывая своим сотрудникам о возможных векторах атаки, вы формируете их осведомленность. Я сам постоянно варюсь в этой теме, поэтому иногда забываю, что большинство людей даже не догадываются о существовании опасности.
Однажды друг рассказал мне, как его бабушка вложила огромную сумму денег в MoneyGram: кто-то позвонил ей якобы от лица одного из внуков и сказал, что срочно нуждается в деньгах. Я воскликнул:
— Как жаль, она стала жертвой известного бабушкиного развода.
— Чего-чего? — не понял друг.
Я объяснил, что, к моему большому сожалению, этот тип мошенничества весьма распространен. На что друг возмутился:
— Раз ты о нем знаешь, чего же друзей не предупредил?
И он был совершенно прав! Я почему-то предполагаю, что все вокруг читали или слышали о подобных схемах. Но это не так. Конечно, невозможно угадать, действительно ли мои рассказы помогли бы им. Кто знает. Но тем не менее выводы я сделал.
Вернемся к моему тренеру Джошу. После нашей первой видеовстречи я раз в неделю отправлял ему свои отчеты. Придерживаться программы мне удавалось не всегда. И знаете, чего он никогда не делал? Не отчитывал, как ребенка, не обвинял, не отмахивался от меня. Он просто говорил: «Что ж, на следующей неделе постарайся справиться лучше».
Возьмите себе на заметку и пользуйтесь. Не рассчитывайте на то, что все вокруг имеют представление о социальной инженерии. А если у людей нет необходимых знаний, это не значит, что они глупые, тупые и поэтому должны попасться на крючок мошенников. Проявите эмпатию. Скажите: «Что ж, постараемся в следующий раз сделать лучше. Как думаете, что для этого нужно сделать?» Такой подход поможет намного успешнее справиться и со следующим шагом.
Шаг 2: разработать реализуемые и реалистичные правила для сотрудников
Один из первых навыков, которые я освоил благодаря Джошу, заключался в понимании того, как должна выглядеть нормальная порция еды. Он рассказал мне, сколько белков, жиров и углеводов я должен потреблять в течение для. А дальше решение было за мной: можно было съесть все это хоть за один присест — но тогда я бы точно проголодался позже.
Кроме того, Джош научил меня не доверять глазам. Как-то раз он предложил выложить на тарелку то количество еды, которое казалось мне правильным. А затем взвесить ее. Разница между моими представлениями о нормальном размере порции и реальностью оказалась КОЛОССАЛЬНОЙ. Именно требование взвешивать еду перед ее употреблением позволило мне понять, что именно необходимо изменить в своих привычках.
В мире безопасности такие правила превращаются в «политику компании». Это словосочетание обычно имеет какие-то негативные коннотации. Многие руководители ненавидят разрабатывать и внедрять ее, а многие сотрудники не любят ей следовать. По моим наблюдениям, дурная репутация словосочетания связана с тем, что зачастую политика компании по тем или иным вопросам формулируется размыто, непонятно. Или же это настолько строгие правила, что в их исполнении люди видят больше вреда, чем пользы.
Найти необходимый баланс бывает сложно, но это необходимо сделать, если вы хотите создать в своей компании безопасную среду и сформировать культуру осведомленности.
Как же разрешить это противоречие? Как разработать не слишком строгую и реалистичную политику безопасности, которой было бы просто придерживаться? Давайте разберем несколько рекомендаций, которые помогут вам разработать четкие правила для сотрудников и улучшить текущую ситуацию.
Вынесите размышление за пределы уравнения
Многие правила сформулированы слишком обтекаемо и широко. То есть исполнителю приходится делать выводы и даже принимать решения, исходя из собственных соображений. А ведь на месте такого исполнителя вполне может оказаться человек, даже не представляющий, какие формы способна принимать СИ-атака. Я не предлагаю вам относиться к сотрудникам как к дурачкам. Просто запомните: чем меньше исполнитель будет думать о том, что ему нужно сделать, тем лучше. Понятные правила работают эффективнее всего.
Приведу пример из практики. Моя компания проводила вишинг для крупной финансовой организации, и в 80 % случаев мы успешно собирали необходимые персональные данные. Мы делали ставку на эмпатию, доверие и получали желаемое.
Справедливости ради нужно отметить, что в компании работали действительно приятные и добрые люди. Мы не хотели этого менять. Только представьте себе такой совет по минимизации негативных последствий для руководства: «Доведите ваших сотрудников до паранойи, пусть не доверяют никому». Мы, конечно же, такого не советовали. А руководители компании приняли по-настоящему мудрое решение. Они сформулировали новое, простое, выполнимое правило: «Запрещено сообщать какую бы то ни было личную информацию пользователям, не прошедшим процедуру аутентификации».
Но и на этом руководство не остановилось. С сотрудниками провели разъяснительную работу о том, какая информация считается особенно ценной и как правильно организовывать ту самую аутентификацию пользователей. Наконец, «наверху» приняли еще одно решение, которое и определило успех новой политики: лишили сотрудников возможности получения доступа к информации без идентификации пользователя. Это выглядело так.
Атакующий: Добрый день. Меня зовут Джон Смит. Мне нужна информация по моему аккаунту, а я забыл пароль. Могли бы вы помочь мне восстановить его?
Сотрудник: Безусловно. Чтобы это сделать, мне нужно будет подтвердить вашу личность. Скажите, пожалуйста…
Дальше сотрудник должен был задать пользователю ряд вопросов и вводить ответы в специальные графы. Доступ к запрашиваемой информации открывался только после корректного ввода всех необходимых данных.
После внедрения новой политики мы организовали ряд образовательных мероприятий, а затем снова запустили проверку. Благодаря новым правилам и знаниям, которые получили сотрудники, их система безопасности стала непреодолимой. Люди остались такими же добрыми и человечными, здесь ничего не изменилось (в ходе контрольной проверки десятки человек искренне расстраивались, когда не могли мне помочь, хотя действительно делали все возможное). Однако изменения в политике компании и повышение осведомленности персонала позволили устранить сомнения в том, как правильно поступать, чтобы защитить безопасность компании.
