Computerworld, США
Реакция на недостойное поведение сотрудников — индикатор глубинных процессов, связанных с вопросами безопасности, которые происходят в большинстве организаций
Во любой организации самые серьезные проблемы с безопасностью возникают тогда, когда руководство не реагирует должным образом на сомнительное поведение своих сотрудников, а люди начинают вести себя чересчур самонадеянно. Скандал с недавней утечкой информации в совете директоров компании Hewlett-Packard был вызван недостатками руководства на всех уровнях. Во-первых, один из членов совета директоров выдал журналистам конфиденциальную информацию, несмотря на то, что давал подписку о неразглашении. Другие топ-менеджеры повели себя крайне неэтично, если не сказать преступно. По иронии судьбы среди замеченных в неэтичном поведении оказался директор по корпоративной этике, которого обвинили в обмане, неправильном использовании компьютерных данных и тайном сговоре.
Инциденты, связанные с безопасностью и преступным поведением, редко происходят внезапно. Даже когда расследуются происшествия, затрагивающие национальную безопасность, в конечном итоге мы обнаруживаем, что шпионажем занимались люди, которые уже давно вызывали подозрение. Известно, что отбывающие сегодня наказание за шпионаж Олдрич Эймс, Джонатан Поллард и Роберт Ханссен неоднократно допускали мелкие нарушения и были известны своим сомнительным поведением. Однако никто не обращал на это внимания до тех пор, пока не выяснилось, что их действия носили гораздо более деструктивный характер, чем кто-либо мог подумать, и что люди эти причинили огромный ущерб национальной безопасности.
В корпоративном мире пьяницы всегда представляют собой одну из главных мишеней для промышленных шпионов. Возможно, вы и подозреваете, что ваш коллега не дурак выпить, но, как правило, это не выходит за рамки шуток или сплетен. Да и руководители предпочитают игнорировать происходящее, пока это не коснется их напрямую.
Между тем шпионы пользуются всеми возможными средствами, «обхаживая» в барах свои потенциальные цели. Они высматривают тех, кто регулярно направляется в бар во время обеденного перерыва или после работы. Такими людьми можно попытаться манипулировать или просто поговорить с ними об их работе, выуживая из захмелевшего собеседника конфиденциальную информацию.
Высокомерие тоже порождает вопросы, связанные с безопасностью. В ходе общения с менеджерами по безопасности я понял, что заносчивость — одна из главных проблем, с которыми им приходится сталкиваться. В одном крупном банке, к примеру, после террористической атаки 11 сентября 2001 года, всех служащих заставили прикреплять карточки пропусков к одежде. По словам менеджера, некоторые банковские служащие не хотели портить свои костюмы ценой в тысячу долларов. Затем, после появления альтернативного предложения, предусматривавшего ношение пропусков на шнурке, они «озаботились» вопросами собственной безопасности. Ведь шнурок на шее мог за что-нибудь зацепиться и задушить его владельца. А события 11 сентября ясно продемонстрировали всем важность соблюдения пропускного режима.
Когда в одной из крупных больниц я оценивал соответствие информационной системы учреждения требованиям, предъявляемым американским законом об отчетности и безопасности медицинского страхования (HIPAA), одно из главных осложнений было связано с желанием докторов мгновенно получать доступ ко всей имеющейся информации. Соответственно, все терминалы после регистрации на них пользователя оставались включенными, и любой проходящий мимо мог без труда получить доступ к любым сведениям. Многие осознавали необходимость решения этих вопросов, но никто не хотел создавать докторам неудобства.
Еще одна группа специалистов, пользующаяся буквально неземным почитанием, — маклеры, размещающие на бирже товар и оформляющие финансовые сделки от имени крупных организаций. Никто не хочет с ними ссориться, потому что хороший биржевой маклер пользуется огромным спросом и при желании может без труда сменить работу. Однажды мне довелось оценивать уровень безопасности в компании, где продажи шли очень плохо, а потери измерялись миллионами долларов. Когда я поинтересовался, почему плохие результаты продаж нельзя объяснить просто принятием неверных решений, то услышал в ответ, что маклеры «слишком хороши», для того чтобы допускать подобные ошибки.
В ходе проведенного анализа выяснилось, что компьютерные пароли маклеров записаны прямо на экранах их мониторов. Обходя вечером помещения, я зашел в пустой зал заседаний и увидел, что на столе перед каждым из кресел лежат листы бумаги. На первом же листе были перечислены все сделки, которые планировалось осуществить на следующий день. Обладая такой информацией, на конкурирующих продажах можно без особого труда заработать миллионы. Оказалось, что все эти сведения печатались накануне вечером и раскладывались на столах при подготовке к совещанию, которое проводилось каждое утро.
В своем докладе мы написали, что, несмотря на отсутствие явных улик, выявлен ряд описанных выше проблем, которые необходимо устранить немедленно. В ответ нас поблагодарили за проведенный анализ и заметили, что, невзирая на риск, руководство компании не хочет ничего менять в работе маклеров.
Каждый раз, когда нарушения остаются без внимания, это воспринимается как разрешение продолжать вести себя, как раньше, а нарушения становятся все более серьезными. Специалисты по информационной безопасности и сетевые администраторы вынуждены регулярно заниматься этими вопросами. Для борьбы с подобным явлением необходимо в первую очередь регистрировать те незначительные проступки, которые вы замечаете. Большинство пользователей на первых порах не допускают серьезных нарушений требований к безопасности. Они начинают с мелочей, в дальнейшем же все идет по нарастающей. Учитывая и регистрируя в установленном порядке происходящее, управляя всем этим должным образом, вы можете предотвратить нанесение компании серьезного ущерба.
Ясно, что большинство мелких нарушений происходит непреднамеренно. В таких случаях достаточно ограничиться замечанием. Но собранная вами статистика свидетельствует о недостаточно серьезном отношении некоторых сотрудников к политикам безопасности.
Кроме того, подобными действиями вы можете обезопасить и себя. Ведь ваши полномочия ограниченны. Составив отчет о нарушениях, необходимо убедиться в том, что он попал к человеку, наделенному необходимой властью. Как я уже говорил ранее, руководство может проигнорировать неподобающее поведение отдельных сотрудников, а составленные вами документы свидетельствуют о том, что вы сделали все от вас зависящее. Если руководство компании сквозь пальцы смотрит на дурное или высокомерное поведение подчиненных, оно виновато в возникающих осложнениях не меньше самих нарушителей.
Айра Уинклер — президент ассоциации Internet Security Advisors Group и автор книги «Шпионы среди нас» (Spies Among Us. Wiley, 2005). Работал аналитиком в Агентстве национальной безопасности США