Недели не проходит без того, чтобы мы не услышали об очередной хакерской атаке, ставшей возможной вследствие пользовательских ошибок. На первый взгляд, действительно, бестолковый пользователь в очередной раз совершил то, чего его просили ни в коем случае не делать. Щелкнул, к примеру, мышью на фишинговом сообщении.
Но всякий раз, слушая эти истории, я задаюсь вопросом: а могла ли организация вести себя как-то по-другому? Почему оказалось так, что все зависело только от пользователя? Достаточно ли хорошо его проинструктировали? Могла ли система выдать соответствующее предупреждение в момент, когда пользователь совершал ошибочные действия? Была ли у системы возможность предотвратить нанесение ущерба? Быть может, атака была разделена на несколько этапов и в момент, когда стало ясно, что потенциальной целью хакеров является пользователь, организация должна была получить соответствующее уведомление? Есть и еще масса вопросов.
Перед специалистами по производственной безопасности вопросы подобного рода ставятся на протяжении многих лет, и за прошедшие годы эти люди сумели добиться невероятных успехов в части уменьшения масштабов потерь. Благодаря их усилиям многим предприятиям удается ежегодно сберегать миллионы долларов, а в крупных организациях счет может идти уже на сотни миллионов долларов. В этом и заключается главное преимущество профессионалов, занимающихся обеспечением производственной безопасности, перед специалистами, отвечающими за осведомленность персонала о правилах безопасности. Потери гораздо очевиднее, и их легко подсчитать. Когда человек получает травму или погибает на рабочем месте в результате несчастного случая, убытки, связанные с требованием страховки, выплатой работникам компенсаций и т. д., понятны.
Обеспечение безопасности — как две стороны одной медали, — с одной стороны, улучшение производственной среды, с другой — повышение осведомленности персонала. И между доведением сведений о правилах как производственной, так и информационной безопасности можно провести параллель. В обоих случаях людям сообщается важная информация в надежде улучшить их поведение или внедряется система премирования, которая должна стимулировать тех, кто хорошо себя ведет. Стоит отметить, что благодаря осведомленности о принятых правилах можно избежать примерно 10% потерь, связанных с безопасностью.
Это означает, что формирование правильной производственной среды позволяет исключить 90% потерь такого рода. Физическое упорядочивание среды и устранение факторов, приводящих к травмам, предотвращает несчастные случаи. Ряд мер помогает устранить наиболее очевидные угрозы физической безопасности или установить над ними контроль. Например, защитные очки и каски спасают людей от летящих и падающих осколков и мусора. Расчерченные на полу линии, ограничивающие безопасную зону прохода и перевозок, удерживают людей от приближения к движущимся механизмам и от попадания на опасные объекты. Линии, проведенные вокруг зон размещения инструментов и оборудования, не только гарантируют, что инструменты не потеряются, но и снижают вероятность падения инструмента или нанесения им травмы тем, кто находится поблизости.
Конечно, какие-то задачи решить проще, а какие-то (например, связанные с анализом и комплексным улучшением труда на большом предприятии) — сложнее. Чаще всего работа предусматривает анализ тысяч отчетов о несчастных случаях, выявление основных источников травм и определение стратегий их предотвращения.
Предположим, что все вопросы, связанные с формированием безопасной производственной среды, решены, а возникающие травмы связаны с несоблюдением работниками принятых политик и процедур и объясняются их беспечностью и невнимательностью. Та же причина лежит и в основе многочисленных нарушений в области информационной безопасности.
Тем, кто отвечает за осведомленность персонала об утвержденных правилах, нельзя забывать и о необходимости формирования надлежащей производственной среды.
Следует признать, что производственная среда традиционно является зоной ответственности тех, кто занимается внедрением технологий. Хороший специалист по подготовке персонала должен постоянно поддерживать связь с техническими специалистами, чтобы выработать рекомендации и определить приоритеты контрмер, которые удерживали бы пользователей от действий, подвергающих организацию риску.
Поскольку сотрудники имеют обыкновение забывать портативные компьютеры в общественных местах, есть смысл снабдить ноутбуки наклейками с указанием способа возврата компьютера владельцу. Информация, хранящаяся на жестких дисках, должна быть зашифрована. На портативном компьютере нужно установить программное обеспечение, позволяющее работать в дистанционном режиме. Необходимо определить и политики, ограничивающие использование ноутбука вне отведенного для него места.
Что касается парольной безопасности, то аппаратные средства аутентификации могли бы значительно уменьшить вероятность компрометации паролей посредством применения методов социальной инженерии, угадывания паролей, обнаружения записей с ними и т. д. В системе должен быть установлен запрет на ввод простых паролей. Нужно определить процедуры, в соответствии с которыми руководители, охранники и прочие уполномоченные лица следили бы за тем, чтобы нигде не встречалось записок с паролями, поскольку в противном случае пароли легко могут быть скомпрометированы.
Одна из героинь американского телевизионного сериала «Женаты... с детьми» (по мотивам этого сериала снят отечественный — «Счастливы вместе») как-то заметила: «Если обезьяне дадут пистолет, а она, выстрелив из него, попадет в кого-то, кого вы станете обвинять — обезьяну или человека, который дал ей оружие?» Конечно, не хочется приравнивать пользователей к обезьянам, но если специалист по безопасности видит, что пользователь делает ошибку, то, прежде чем вешать на него ярлык «бестолкового», следует сначала разобраться, не передал ли ему кто-нибудь неположенное «оружие» своими высказываниями.
Создавая или улучшая программу по обеспечению осведомленности персонала о правилах безопасности, исключите в первую очередь условия, позволяющие пользователям нарушать правила, которые им известны. Вам может показаться, что это вовсе не ваша работа, но, решив указанный вопрос, вы на 90% облегчите себе свою собственную задачу.
- Ira Winkler. Do You Create Stupid Users? CSO. Dec 1, 2014