У сотрудников служб безопасности много дел: и от хакеров
оградиться, и восстановление с резервной копии в случае форс-мажора организовать,
и документы по информационной безопасности разработать, а также внедрить и
проконтролировать их выполнение. И именно с последним обстоятельством связаны
основные сложности: положения и инструкции по ИБ иногда попросту не читают, а
если читают, то не рассматривают, как руководство к действию, и игнорируют все
рекомендации безопасника.
Если же игнорировать не получается (например, в организации
существует ограничение доступа к определенным сайтам), то изобретают множество
способов обхода таких ограничений.
Традиционно подобное отношение к инструкциям считается следствием
низкой ИТ-грамотности и отсутствием понимания последствий пренебрежения
правилами ИБ. Поэтому до сих пор и пишут пароли на стикерах, отправляют на
личную почту документы с целью поработать дома, скачивают с непонятных сайтов
файлы вида muzika_relax.mp3.exe, помогают нигерийским принцам получить
наследство (добрые у нас люди) и с готовностью диктуют по телефону свои пароли
любому, кто представится системным администратором.
Бороться с этим обычно предлагается путем повышения
осведомленности сотрудников в области ИБ. Вот и борются безопасники, повышают
осведомленность, но помогает плохо. Точно также в свое время боролся и я, объяснял
и писал бесконечные памятки, вешал никому, по сути, не нужные плакаты, с такими
же результатами - неудовлетворительными.
Почему так происходит –
было много догадок, но небольшой эпизод из жизни очень быстро расставил все на свои места. Однажды, пообещав подвезти домой коллегу, я подошел к нему и увидел как тот удаляет антивирус с личного ноутбука. На мое негодование я получил обескураживающий ответ – «мешает работать, ничего не случится, я же не хожу по плохим сайтам». Промолчал, садимся в машину, трогаемся. Слышу сигнал о не пристегнутом ремне на сиденье пассажира – и снова получаю схожий с предыдущим случаем ответ – «мешает, ничего не случится, мы же в городе не быстро едем».
было много догадок, но небольшой эпизод из жизни очень быстро расставил все на свои места. Однажды, пообещав подвезти домой коллегу, я подошел к нему и увидел как тот удаляет антивирус с личного ноутбука. На мое негодование я получил обескураживающий ответ – «мешает работать, ничего не случится, я же не хожу по плохим сайтам». Промолчал, садимся в машину, трогаемся. Слышу сигнал о не пристегнутом ремне на сиденье пассажира – и снова получаю схожий с предыдущим случаем ответ – «мешает, ничего не случится, мы же в городе не быстро едем».
После этого случая я уже стал задавать целенаправленные
вопросы людям, у которых больше всего проблем с безопасностью. Угадайте, где
хранит ключи от дачи товарищ, приклеивший стикер с паролем к монитору?
Правильно, под ковриком. Друг, постоянно приносящий компьютер «с зоопарком»,
переходит дорогу не там, где положено, а там, где хочет. У хорошей знакомой
постоянно «уводят» аккаунты в соцсетях и кошельки из сумочки. Похоже, проблема кроется
не в плоскости ИБ, а в отношении людей к жизни. Получается, что некоторые люди
не приучены обеспечивать свою безопасность в целом, и информационную - в том
числе. За них это приходится делать безопасникам, хотя бы в рамках обеспечения ИБ
на работе, методом повышенного внимания (контроля) к таким людям.
Комментариев нет:
Отправить комментарий