Сегодняшняя заметка навеяна парочкой свежих инцидентов, попавших на радар вашего покорного слуги. Первый — копирование ИТ-подрядчиком большого массива данных из корпоративной БД на рабочий ноутбук (вероятно, безо всякого злого умысла). Второй — несанкционированная установка специалистом техподдержки на свой ПК программы для удалённого администрирования, доступ к которой, похоже, каким-то образом «утёк» за пределы организации.
Предлагаю читателям взять полминуты на раздумья и решить, что из этого серьёзнее и какие меры вы бы приняли к сотрудникам в описанных ситуациях. Проверим, сойдутся ли ваши предсказания с корпоративной реальностью.
Итак, в первом случае специалист получил очень жёсткий (чуть ли не до крика) выговор, с привлечением менеджмента и всех кар небесных. Думаю, я на месте бедолаги как минимум месяц боялся бы компьютер даже включать. Даже просто в розетку. С другой стороны, персонажа из второй истории лишь добродушно пожурили, и всё. Откуда же такая разница в подходах? А разгадка проста: «герой» второй истории — это ИТ-специалист, выделенный для поддержки VIP-пользователей, и всерьёз его отчитывать просто побоялись из-за его потенциальных знакомств.
А вот ещё одна история: в ней ИБшники обнаружили в интернете информацию о внутреннем API компании и пошли предъявлять претензии подрядчику, отвечавшему за разработку этого API. Тот стал разбираться и достоверно выяснил, что утечку допустил не он, а (бывает же!) сотрудник самой команды ИБ. Получился буквально оживший анекдот о самой главной вещи в ходе любого расследования. Дело очень быстро спустили на тормозах…
Причины такой разной реакции вроде бы понятны: спорить с начальством и его приближёнными зачастую просто неразумно, выносить мусор из своей избы (точнее, его там подметать) — неприятно и утомительно. Но должен сказать, что мне как технарю наблюдать за подобным довольно грустно. Злоумышленникам всё равно, чья ошибка или оплошность открыла им ворота в периметр. Более того: если она допущена сотрудником ИБ или высокопривилегированным сотрудником ИТ, ущерб может даже увеличиться.
Какой из всего этого я бы сделал вывод? Политики безопасности в организации должны применяться как законы в по-настоящему правовом государстве: одинаково для всех, с минимумом необходимых исключений. Очень жаль, что и в бытовой, и в корпоративной жизни этот постулат часто не работает, тогда как конечная цена такого беззакония может быть очень и очень велика. Давайте будем стремиться к политике ИБ ровной, не кровожадной, но применяемой одинаково ко всем, включая самих себя. И даже в первую очередь — самих себя.
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)