Что бы вы ни думали об окружении, в котором работают ваши системы, считать безопасность данностью нельзя. Риску подвержены даже изолированные компьютеры, не подключенные к Интернету (хотя очевидно, что они рискуют не так, как компьютеры, соединённые с внешним миром).
Таким образом, крайне важно думать о влиянии на безопасность всего, что вы делаете. Следующий список иллюстрирует, какого рода вопросы вы должны принимать во внимание:
Природа опасностей, потенциально угрожающих вашим системам
Расположение, тип и ценность данных этих систем
Характер и частота авторизованного доступа к системам
Думая о безопасности, не стоит ошибочно полагать, что потенциальные взломщики будут нападать только на ваши компьютеры, расположенные вне сети компании. Очень часто злоумышленниками оказываются сотрудники компаний. Поэтому, проходя по офису в следующий раз, посмотрите на людей вокруг и задайте себе вопрос:
Чтоб произойдёт, если этот сотрудник попытается взломать нашу защиту?
Замечание | |
---|---|
Это не значит, что вы должны относиться к своим сотрудникам, как к преступникам. Это всего лишь значит, что вы должны посмотреть на характер работы, выполняемой этим сотрудником, и определить, каким образом он сможет обойти систему безопасности, если будет в этом заинтересован. |
1.7.1. Угрозы социальной инженерии
Хотя, задумываясь о безопасности, большинство системных администраторов в первую очередь концентрируются на технических вопросах, важно не забывать и о других угрозах. Довольно часто причины уязвимостей в безопасности лежат не в технологиях, а в природе человека.
Люди, желающие взломать систему безопасности, часто пользуются человеческими недостатками и полностью обходят технические средства управления доступом. Это также называется социальной инженерией. Рассмотрим это на примере:
Оператор, работающий во вторую смену, принимает телефонный звонок. Звонящий представляется финансовым директором организации (имя директора и другие сведения он узнал на сайте компании, на странице «Руководство»).
Он заявляет, что находится где-то в другой точке мира (возможно, это просто выдумано или на сайте компании размещено сообщение, в котором упоминается о том, что финансовый директор собирается посетить выставку).
Звонящий рассказывает ужасную историю: его ноутбук украли в аэропорту, сейчас он встречается с важным клиентом, и ему нужен доступ к внутренней сети для проверки состояния счёта этого клиента. Будет ли оператор так любезен, что даст ему все необходимые сведения для доступа к сети?
Уверены ли вы в том, что сделает оператор? Если оператор не получал чётких указаний (в виде правил и процедур), вероятнее всего, вы не можете быть в нём уверены.
Политики и процедуры, как маяки, предназначены для однозначного определения, как нужно себя вести, а как нет. Однако, также как и маяки, политики и процедуры помогают только тогда, когда им следуют. И в этом кроется корень проблемы — маловероятно, что абсолютно все будут придерживаться ваших политик и процедур. На самом деле, в зависимости от типа организации, может быть так, что у вас просто нет полномочий определять политики, и уж тем более требовать их выполнения. Что же делать тогда?
К сожалению, простого ответа на этот вопрос нет. Возможно, поможет обучение пользователей; делайте всё возможное, чтобы пользователи знали о безопасности и угрозах социальной инженерии. Устройте на перерыве презентацию, посвящённую безопасности. Распространяйте в списках рассылки своей организации ссылки на новости по теме безопасности. Вы должны быть открыты для вопросов пользователей о том, что кажется им не совсем правильным.
В общем, постарайтесь предупредить пользователей всем доступными способами.