Анастасия Подорожная, генеральный директор компании Лаборатория МИР24
Специалисты по информационной безопасности (ИБ) ежедневно говорят и пишут о защите информации и утечке личных и корпоративных данных. Сеть полна полезными и вредными советами из серии «Кто виноват и что делать». Пользователи социальных сетей публикуют полтора миллиарда русскоязычных сообщений ежемесячно (по данным мониторинга Brand Analytics 2016). Это шквальный информационный поток, в котором трудно отличить полезную информацию от белого шума, поэтому ошибки при работе с корпоративными и личными данными десятилетиями остаются неизменными, а доли случайных и умышленных утечек равны по 44,6% (по данным Info Watch 2014). Расскажу о минимальной защите, так как регулярно сталкиваюсь с нарушением базовых правил.
О бумажных носителях
Аналитики компании ESET провели опрос «Где вы храните PIN-коды банковских карт и пароли онлайн-сервисов». Они узнали, что каждый пятый пользователь записывает пароли на бумаге: стикере, черновике или в блокноте. Но пароли на стикерах появляются тогда, когда офисным работникам приходится принудительно менять пароли якобы в целях безопасности. На деле получается с точностью до наоборот: люди устают запоминать и предпочитают записывать. Тот случай, когда благими намерениями...
Выход из ситуации — менять пароли раз в год. Например, добавим к стойкому паролю «qwertyAnastasiya» +2017. Получим: «qwertyAnastasiya+2017». Легко запомнить. Легко набрать на смартфоне. Взломать брутфорсом невозможно (по данным сайта 2ip.ru).
О бумажных документах
В конце рабочего дня каждый сотрудник освобождает собственный стол. Распечатки из принтера забирает и пересматривает. Нужные бумаги раскладывает по папкам и ящикам. Ненужные — отправляет в шредер. Документы повышенной секретности правильно помечать специальным грифом или печатать на узнаваемых бланках организации, чтобы они выделялись в кипе бумаг, бросались в глаза.
Об электронных носителях
Общедоступную информацию следует хранить в облаках. Информацию, не подлежащую разглашению, на серверах с шифрованием. Так можно отказаться от usb-носителей.
О root-доступе
Глубоко личная тема для каждой компании — системное администрирование. Суперпользователь — царь и бог сети. Он может всё. Он всё видит и знает. И единственное решение задачи «как избавиться от суперпользователя» — самому стать суперпользователем.
Никто, кроме вас, не опишет и не подберет системного администратора в компанию. Сисадмин — главный герой истории о полном доверии. Его сравнивают с альпинистской страховкой. Можно и без страховки, но мы знаем, чем может закончиться. И если по ряду причин вы увольняете системного администратора, то список логинов и паролей должен быть передан заранее. Желательно человеку с таким же уровнем знаний и опыта.
К каждому профилю пользователя привяжите e-mail и телефон. Желательно, чтобы номер телефона для смс никто из коллег и близких не знал. Для банковских операций. Для двухэтапной авторизации. Для подтверждения входа в социальные сети.
О бекапах
Автоматические бекапы обязательны и не обсуждаются. Вопрос лишь в том, когда и как часто делать бекапы и где хранить. О регулярных бекапах позаботится сисадмин. Рекомендованная проверка доступности данных — раз в две недели. Если вы не уверены, с какой периодичностью делаются бекапы в вашей компании, узнайте об этом у сисадмина.
Выводы
Вместе с системным администратором и специалистами по информационной безопасности (это могут быть как сотрудники компании, так и специалисты со стороны) важно составить единый свод правил поведения в сети. Расставить приоритеты и рассказать о них каждому сотруднику в понятной и легкой форме.
К любому процессу в компании можно подойти творчески. Это может быть инфографика, мультипликация, скетчи, комиксы. Запретить флешки, но разрешить хранение информации в облаках. Разрешить общаться ВКонтакте, но при этом обязать сотрудников сделать двойную авторизацию. Провести лекцию о безопасности в социальных сетях, а заодно и лекцию о теории графов. Научить делать бекапы на личных ноутбуках, смартфонах и планшетах.
Нестандартный подход к образованию в области хранения и безопасности данных (по сравнению с угрозами и запретами) даст здоровые и крепкие семена базовых знаний о ИБ. Они легче прорастут, и результат в виде мотивированных сотрудников не заставит себя ждать.
Распространённые ошибки:
1. Мы используем шаблонные пароли: qwerty, 111, 12345 и т.д.
2. Мы записываем пароли на стикерах, в черновиках, блокнотах.
3. Мы делимся паролем входа с коллегами.
4. Мы отключаем хранитель экрана.
5. Мы сохраняем пароли в браузере.
Ошибки по незнанию, которое (как известно) не освобождает от ответственности:
1. Мы не знаем, как быстро придумать сложный пароль.
2. Мы используем один пароль на все случаи жизни.
3. Мы не указываем телефон и резервную почту в профиле пользователя.
4. Мы не чистим кэш и файлы cookie браузера.
5. Мы не пользуемся двойной авторизацией.
О защите данных и гигиене
Защита личных и корпоративных данных похожа на гигиену человеческого тела. Каждый человек в обществе соблюдает правила гигиены. Туристы в походе моются реже и источники воды не выбирают. Хирурги перед операцией соблюдают полную стерильность. Гигиена зависит от ряда факторов, условий внешних и внутренних. Кто-то хрустит свежим снегом в стране вечной мерзлоты, а кто-то в сезон дождей соскребает грязь с сапог.
Когда мы защищаем данные, то ведём себя похожим образом. Открытые данные, например, Wikipedia и Wordpress, доступны каждому. Данные о количестве и качестве оружия в стране — только избранным. Уровень избытка или недостатка защиты колеблется и зависит от ситуации. Но, не углубляясь в дебри ГОСТа, всегда можно сделать пару вещей, простых, как чистка зубов или мытье рук с мылом.
О сложных паролях
Сложный пароль состоит из заглавных и строчных латинских букв, цифр и специальных символов. Пароль «Anastasiya» можно взломать за год (по данным сайта 2ip.ru). Заменим букву «a» на «@», «t» на «+», заглавную букву оставим прежней и превратим пароль «Anastasiya» в «An@s+@siy@» — такую комбинацию путем перебора (брутфорса) можно взломать за двадцать лет.
Пароль «qwerty» можно подобрать за ноль секунд (по данным сайта 2ip.ru). Усложним его добавлением т.н. «соли». Это тайная фраза, которую знаете только вы. Посолим пароль «qwerty» солью «Anastasiya», получим «qwertyAnastasiya». Этот пароль считается более надежным чем «An@s+@siy@», взломать невозможно, а запомнить — просто.
«Но даже если вы принимаете все меры, пароль остается уязвимым, например, для вирусов, которые могут перехватить то, что вы набираете на клавиатуре» (с) Яндекс
Ссылки:
Мониторинг Brand Analytisc https://br-analytics.ru/statistics/
Info Watch https://www.infowatch.ru/presscenter/news/7858
2ip.ru https://2ip.ru/passcheck/
Яндекс https://yandex.ru/support/passport/authorization/twofa.xml