Особый подход: как защитить компанию во времена поколения Z
Багато айтішників думають, що рекомендації стосовно покращення безпеки компанії – то гроші на вітер, бо в сучасному світі, пронизаному технологіями і гаджетами, захищати компанію марно.
Що ж, вірус Petya в 2017 році показав, чи це дійсно так. Зупинився той бізнес, який приділяв недостатньо уваги IT-безпеці. Так, багато компаній і підприємств не помітили нічого дивного і дізнались про атаку вірусу лише з новин, а не зі свого досвіду. Але чи варто покладатись на випадок?
Концепція фізичної безпеки застаріла?
Мантра «заборонити все» більше не ефективна. Нове покоління співробітників (generation Z та generation Y) хочуть працювати віддалено, без прив’язки до конкретного робочого місця, вільно пересуватись офісом, працювати з кав’ярні, кафе чи у міському парку. Тому обмеження підключення до WI-FI, заборона виходу в Інтернет з робочого місця, заборона VPN – прийнятні, мабуть, на режимних об’єктах, але не в приватних компаніях.
Звісно, за умови, що у кожного працівника в кишені потужний смартфон, з безлімітним доступом в інтернет, з потужною камерою, стовідсотково гарантувати відсутність ризику витоку інформації з підприємства неможливо. Але вірогідність зливу інформації не складається тільки з самої можливості зробити витік. Для цього також потрібні три складові: мотив, можливість, відсутність або малоймовірність покарання.
Якщо ми виходимо з того, що у кожного співробітника компанії є можливість злити конфіденційну інформацію, то все одно залишається ще дві складові, на які компанія може впливати.
Це – мотивація і ймовірність покарання. Якщо компанія добре обходиться зі своїми співробітниками, культивує корпоративну культуру, направлену на відповідальність співробітників за безпеку компанії, що напряму дорівнює захищеності самого співробітника, гарантує його добробут і стабільність у роботі, то у працівників не буде базової мотивації до зливу інформації компанії, допоки не будуть задіяні чинники зовнішньої мотивації (підкуп, наприклад).
Ймовірність покарання повністю залежить від компанії. Якщо мотивація співробітників – справа керівництва, та, зокрема, робота департаменту з персоналу, то забезпечення високої ймовірності покарання співробітника, якщо витік інформації станеться – робота підрозділу інформаційної безпеки (далі – ІБ), ІТ-департаменту, департаменту з персоналу, юристів та підрозділу безпеки.
Забезпечивши контроль дій співробітників, мінімально обмеживши їх доступ до інформації, ІБ надає компанії інструмент для своєчасного виявлення спроб витоків даних, а у випадку витоку – можливість притягнути співробітника до відповідальності.
Заборонити не можна контролювати
Пропоную поставити кому після слова “не можна”, і будувати периметр інформаційної безпеки, а не фізичної.
Будь-який менеджмент будь-якої компанії очікує від ІБ аби все було захищено, і безпека не заважала компанії працювати. Звісно ці дві речі – антиподи, досягнення дзену у балансі між безпекою та зручністю – завдання не одного дня. Її досягнення вимагатиме подальших зусиль для підтримки встановленого балансу.
Замінюй і володарюй
Допоки ваші співробітники користуються зовнішніми сервісами, ви не можете на повну контролювати потоки корпоративної інформації. Тому варто направити обробку корпоративної інформації всередину віртуального периметру інформаційної безпеки, де ваша інформація буде під контролем, де б ви в кожний момент часу розуміли, хто працює, з якою інформацію, коли і де.
Перший крок – обмеження запису на зовнішні пристрої, флешки і зовнішні диски. Технічно це реалізується налаштуваннями Windows, Linux чи MacOS систем або використанням DLP. Відсутність можливості передачі інформації через переносні пристрої спонукатиме співробітників використовувати електронні канали передачі інформації – електронну пошту, веб-сервіси.
Передача інформації електронною поштою – ідеальний варіант для безпекаря, тому що завжди можна проаналізувати хто, кому, коли і що передавав. Корпоративні системи електронної пошти мають вбудовані DLP можливості. Для тих, які не мають таких функцій, можна налаштувати зовнішню DLP систему. Але навіть без DLP передача інформації через електронну пошту компанії вже дає великі можливості контролю.
Складніше з передачею інформації через веб-сервіси, такі як Google drive, Dropbox і тому подібні. Просте блокування цих ресурсів обмежує можливості у передачі інформації між співробітниками і зовнішніми контрагентами.
До того ж передача великих файлів через електронну пошту додає навантаження на поштовий сервер та взагалі може бути технічно неможливою. Тому для того, щоб співробітники мали можливість обмінюватись інформацію із зовнішніми контактами, необхідно надати їм корпоративний інструмент.
Є декілька рішень на кшталт nextcloud чи owncloud, які дозволяють розгорнути сервіс, аналогічний за функціоналом до google drive, але при цьому ваша корпоративна інформація буде зберігатись на ресурсах, які ви контролюєте, а не на зовнішніх сервісах, де інформація може банально залишатись після обміну. Наприклад, деякі компанії використовують власне хмарне сховище для обміну з клієнтами.
Ще одна можливість направити передачу корпоративної інформації через корпоративні засоби – використовувати корпоративний месенджер. Звісно, примусити ваших співробітників повністю відмовитись від Viber чи Telegram ви не можете, але цими месенджерами вони користуються на своїх власних смартфонах.
Корпоративним вони можуть користуватись як на власному смартфоні, так і на корпоративному комп’ютері. І якщо у вас побудований ефективний периметр ІБ, то інформація на власному смартфоні у співробітника обмежується тільки тією, до якої він має доступ згідно посадових обов’язків. Ця інформація і так є в його персональному сховищі даних – в голові. Але, по-перше, місце в цьому сховищі обмежене, яким би геніальним не був співробітник.
По-друге, все одно є різниця між кількістю інформації, до якої має доступ кожен працівник і загальною кількістю інформації в мережі компанії. Масштаби потенційного витоку несумірні. Є різні рішення для корпоративного месенджинга, наприклад, Microsoft Skype for business.
Він працює на смартфонах, тому для спілкування з колегами мені не потрібно користуватися іншим месенджером, у мене всі корпоративні контакти є в Skype for business. Зручність – найкраща мотивація слідувати корпоративним правилам обробки інформації.
В корпоративному середовищі є навіть замінники для соціальних мереж, наприклад Yammer. Доступ до внутрішньої соціальної мережі надається тільки співробітникам компанії. У використанні це такий же інструмент як і інші соціальні мережі, пристосований для швидкого обміну думками між великою кількістю людей за інтересами – чи то Інформаційна безпека, чи ІТ, чи аудит, чи Блокчейн.
З кожної теми є групи зацікавлених співробітників, які можуть обговорювати питання з усіх куточків світу. Є інші платформи –той же Google планує запропонувати свою соціальну мережу Google+ для корпоративного сегменту вже в цьому році.
А як же BYOD?
BYOD (Bring Your Own device) передбачає, що співробітник приносить свій пристрій на роботу і працює на ньому. З точку зору ризику витоку інформації рівень його для компанії такий самий, як і при використанні будь-якого переносного корпоративного пристрою. Корпоративний пристрій, як і персональний, може бути втрачений чи викрадений, і інформація з нього може потрапити до зацікавлених осіб.
Різниця між персональним та корпоративним переносним пристроєм тільки у власності. Турбуватись про захист персонального пристрою все одно має компанія, бо делегування цієї функції буде спричиняти додаткові ризики саме для неї.
Контролювати інформаційні потоки компанії в XXI сторіччі можливо. Хоча це і складно.