Предисловие
Я работаю разработчиком в одном Б о-о-о-большая компания.Проникновение во внутреннюю схему – лакомый кусок для мошенников.
Естественно, в компании есть служба безопасности.
Но то, как работает служба безопасности и эффективность ее работы, вызывает у меня сомнения.
В этой статье я хочу поделиться своими мыслями и призвать к диалогу о том, как должна работать современная служба безопасности и что от нее ожидают.
Дальше СБ - сервис безопасности
Отказ от ответственности Я не хочу обидеть сотрудников СБУ и не испытываю к ним личной неприязни, мести или намерения их очернить.
Более того, я уважаю их труд, считаю его важным и очень ответственным.
Я выражаю свое мнение, которое может быть ошибочным и субъективным
Они и мы
Сотрудники компании обычно относятся к «охране» как к крайне навязчивому отделу, мешающему нормальной работе.Отношение варьируется от безразличия до крайне негативного.
Даже если сотрудник понимает важность СБ , Что СБ все равно будет стоять где-то рядом с ним и «мешать» ему двигаться вперед. Те.
Постоянно происходит разделение на «Они и Мы».
1+1=отрицательный
Попробуем разобраться, почему такое отношение к СБ это складывается?Один
Начнем с самого начала.Работать с СБ еще до того, как вы впервые увидите хотя бы одного сотрудника СБ .
Чтобы вас приняли на работу, вам присылают форму и сообщают, что вам нужно пройти.
СБ .
Вопросы в анкете написаны таким образом, что вам придется разгадывать их как кроссворд, пытаясь понять, что они означают. При этом уже начинает формироваться негативное ощущение, ведь если вы заполните ее неправильно, вам придется переделывать форму.
Логичнее было бы попросить человека подготовить необходимые документы для заполнения формы и заполнить ее либо вместе с сотрудником.СБ , либо с HR, который предварительно пройдет обучение правильному заполнению анкеты.
Еще раз
После заполнения анкеты вам необходимо пройти само собеседование.Большинство сотрудников СБ , если не все, то набираются из МВД, ФСБ, военных и т. д. И видимо у них есть какой-то кодекс поведения, который они неукоснительно соблюдают. Хотя сам я этот код не видел, но наблюдая за ними, я сделал реверс-инжиниринг и вот те моменты из кода, которые мне удалось восстановить:
- все вокруг виноваты, даже если кто-то не виноват.
- тот, кто виноват, тот твой враг
- сотрудник СБ должно быть каменное лицо, чем каменнее лицо, тем лучше
- когда вы с кем-то разговариваете, вам нужно, чтобы собеседник понял, что вы очень важны, заняты и он рад, что вы соизволили с ним поговорить
- С врагами лучше вообще не разговаривать
- максимально унижайте собеседника, тогда он будет вас бояться
- обязательно покажите свою силу, даже если в ней нет необходимости
- Сохраняйте свою речь максимально простой, не используя всего богатства языка.
5 слов на каждое предложение – это максимум, который может себе позволить такой занятой и важный человек, как вы.
- Короткий вопрос должен иметь краткий ответ. Если собеседник попытается подробно ответить на ваш вопрос, обязательно перебейте его.
Это секретная уловка шпионов.
Во-первых, он тратит ваше время, во-вторых, хочет вас запутать, в-третьих, видимо, он не знает ответа, так как не может ответить в двух словах.
Вас встретят так, что вы будете рады поскорее уйти отсюда.
Они обязательно напомнят, что здесь все серьезно, и в игрушки не играют. Они будут задавать вопросы, которые не обязательно задавать, но если вы на них не ответите, значит, вы явно что-то скрываете.
Исповедь священнику — ничто по сравнению с интервью с СБ .
Да, несомненно, задача сотрудника СБ Во время собеседования это чрезвычайно сложно и важно, он должен составить четкую картину и вынести вердикт, надежен человек или нет. Ведь если он согласится нанять афериста/мошенника, то с него спросят в первую очередь, иначе за что он получает зарплату? Никаких глубоких познаний в психологии я, конечно, не имею, но:Не знаю, как в других компаниях, но в тех, в которых мне приходилось иметь дело СБ берет обязательную задержку для принятия решения.Мой главный посыл – собеседование должно проводить грамотный, харизматичный психолог, в непринужденной обстановке, как можно меньше похожей на допрос.
- Может ли человек быть искренним и доверчивым в негативном окружении?
- разве человек, которому предоставлена возможность говорить, не расскажет больше, чем когда ему задают вопросы?
- Вопросы также можно задавать по ходу рассказа собеседника.
Если психолог не является хорошим специалистом в области безопасности, то настоящий специалист может наблюдать за разговором и корректировать разговор через зеркало, через микрофон, через монитор.
да что угодно.
Потенциальному сотруднику, возможно, никогда не придется иметь дело с СБ , разве что на пасовой полосе, и это единственный шанс его победить.
Обычно, хотя я думаю, не всегда, об этом предупреждают после того, как вы пройдете несколько оставшихся собеседований.
И этот лаг установлен одинаковый для всех, видимо, для того, чтобы лишний раз дать вам понять, насколько они заняты, а вы лишь один из многих.
Довольно одинокий
Ну вот наконец-то вы на работе и хотите приступить к выполнению своих обязанностей, и тут упс , все заблокировано, шаг вправо, шаг влево - казнь.Перед вами очень дорогая пишущая машинка, а не рабочий инструмент. Если вам нужен доступ, напишите запрос и обоснуйте свою необходимость.
Если вы хотите подключиться к Wi-Fi, напишите заявку и обоснуйте необходимость.
В зависимости от компании получается, что вам еще нужно провести кучу согласований, чтобы ваше рабочее место было оборудовано.
Ээта проблема относится скорее не к СБ , а к организации процесса в самой компании, которая могла бы уже сделать все необходимые формы и заявления для организации рабочего места еще до того, как человек придет на работу.
И мы идем
А теперь оказывается, что для выполнения своих служебных обязанностей приходится постоянно иметь дело с СБ .Если вы разрабатываете новый функционал, согласитесь с СБ , вы пишете тесты и вам нужно подключиться к базе данных - соглашайтесь с СБ , выкатишься на выпускной -.
ну ты понял.
Конечно, вам придется иметь дело с СБ или нет, зависит от обязанностей и сотрудничества с СБ должен в некоторых случаях быть постоянным, но процесс обычно никак не автоматизируется.Например, когда компания разрабатывает новый функционал и представляет его, сотрудники СБ обязаны присутствовать на нем, вникать в суть и заранее помогать решать проблемы безопасности, а не быть тем, кто после того, как все разработано, рубит все на корню.
Если работа сотрудника требует постоянного общения и контакта с СБ , так почему бы не сделать этот процесс таким, чтобы сами сотрудники СБ подключаются к процессу по необходимости, а не бегущая к ним команда, или хотя бы автоматические уведомления, а не генерация регулярных запросов.
Те.
внедряется новый функционал и СБ получает об этом уведомление, без их одобрения развертывание невозможно, таким образом время на генерацию заявок пропадет. Здесь мое сообщение заключается в том, что сотрудник СБ должны быть частью коллектива, работать одинаково со всеми, тогда они не будут «теми, кто мешает работать», а станут «теми, кто помогает работать».
Люди наконец-то будут знать в лицо тех, кто отвечает за безопасность.
Все в сад
Подход СБ к безопасности очень просто: «Изначально запретить всем все», разрешить только после суда.Нет, конечно, все подписали бумагу о том, что ознакомлены с правилами безопасности и готовы нести ответственность в случае их нарушения.
И правила не были написаны мелким шрифтом посередине десятистраничного договора (хотя это не всегда понятно), и когда я подписывал, меня никто не торопил и не отвлекал.
Но:
- что читалось как требование или для прохождения зачета, по студенческой психологии - сдал и забыл
- Вы пытаетесь быть корректным, но распечатайте квитанцию об оплате ЖКХ, купленный билет, реферат и т. д. Это все равно необходимо - ведь за это вас не уволят, правда?
- а потом оказывается, что ты не один такой, другие тоже так делают, а ты не хуже? – Психология толпы
Естественно, такой подход чрезвычайно эффективен, когда существует тоталитарное государство и существует суровое наказание за «преступление», но он не работает в корпоративной среде.Есть компании, где приходя на работу, вы сдаете все свои гаджеты и вам приходится носить с собой обычный телефон.
Но, если компания хочет, чтобы там работали молодые специалисты, ее придется очень мотивировать, чтобы уговорить их расстаться со своими гаджетами.
Но это следует использовать только на высокочувствительных военных объектах или на объектах, где хакерство представляет угрозу для жизни человека, таких как атомная электростанция.
И даже тогда этот подход лучше работает на бумаге.
У меня есть один знакомый, который служил в армии на секретных объектах и до сих пор говорит, что на это закрывают глаза.
Вот пример Вирус Стакснет Думать СБ надо действовать, не запрещая все, чтобы люди не думали о том, как обойти запреты для достижения желаемого комфорта в работе, и чтобы люди не думали, что им нужно что-то преодолеть и их можно за это наказать.
Установите правила, которые подходят всем.
Подробнее об этом я напишу ниже.
Сколько классов вы прошли?
Естественно, не только и не столько виноват СБ , сколько сотрудников.Банальная неграмотность людей в сфере безопасности (как кибер-, так и обычной) допускает большинство ошибок.
Многие люди даже не задумываются, что гаджеты, которые они носят с собой, — это очень мощные компьютеры, за которые еще 15 лет назад люди могли получить целое состояние.
Всеобщая компьютеризация и повсеместная доступность вошли в нашу жизнь чрезвычайно быстрыми темпами.
Уже выросло поколение людей, которые даже не задумываются о том, что этого никогда не было.
Что уж говорить о гаджетах? Вокруг появляются умные дома и Интернет вещей, через которые можно осуществить проникновение.
Вот один из примеров: WannaCry через кофемашины .
Более того, поверьте, есть люди, которые на полном серьёзе считают, что хакеры – это вымысел и страшилка из ТВ.
Конечно, компании проводят обучение для устранения информационной неграмотности среди сотрудников; и такая работа формально проводится, но, к сожалению, настолько формальна, что фактически ее не существует. Даже в очень крупной компании, предоставляющей финансовые услуги, для которой информационная безопасность является главным приоритетом, дела обстоят очень плохо.Вы думаете, что только домохозяйки, секретари и бухгалтеры неграмотны в кибербезопасности? Увы, даже среди программистов есть люди, которые об этом вообще не думают. Если бы это было не так, то истории о взломах появлялись бы не так часто.По моим наблюдениям, небольшие компании относятся к этому строже, иногда заходя слишком далеко.
Мне пришлось работать в одной компании по производству детских игрушек и без прохождения полиграфа меня не взяли на работу в эту компанию.
Детские игрушки, Карл! Видимо руководство мерило всех по себе, боялось промышленного шпионажа, да и о самой компании не без оснований ходили слухи о том, откуда у них те или иные новинки.
Иногда за безопасность приложения отвечает один отдел или группа, а другие программисты развиваются, полагая, что они в безопасности.И речь идет не только о сотрудниках; хакерам зачастую проще взломать систему партнеров интересующей их компании, которая посредственно относится к своей безопасности.Так сказать, они находятся на другом уровне приложения.
В принципе, такой подход может быть в какой-то степени оправдан, если ваше приложение небольшое и риски взлома приемлемы.
Но все же лично я считаю, что сотрудник СБ должен, как минимум, быть рецензентом каждого выпуска.
Но комплексно, я считаю, что должен быть совершенно другой подход. Каждый программист должен не только уметь хорошо разбираться и проходить тесты/курсы по безопасности и, как минимум, знать все наиболее популярные методы взлома, которые используются на его языке программирования, но и сама компания должна регулярно проводить митапы и тренинги.
и не допускать развития того, кто не имеет установленного минимума.
Хакерская группа Cobalt Лох не мамонт, лох не вымрет Согласно результатам исследований, самым популярным и успешным методом взлома по-прежнему является человек, а не система.
Обмануть неподготовленного человека гораздо проще, чем взломать систему, разработанную специалистами.
Огласите весь список, пожалуйста!
Так что же происходит?- СБ в компаниях стоит настолько «в стороне», что с ними хочется иметь как можно меньше дел, даже если понимаешь всю необходимость, полезность и важность работы СБ Сами сотрудники и процесс с ними построены так, что это вызывает сплошной негатив.
- Большинство людей просто не знают о безопасности.
- процесс обучения безопасности построен настолько формально, что практически бесполезен
Через сто метров поверните направо
Как правильно выстроить процесс корпоративной безопасности?Во-первых
Необходимо провести ребрендинг СБ чтобы они были частью компании, чтобы каждый мог подойти к человеку со стороны СБ , сидя где-нибудь рядом, и попросить его помочь разобраться с непонятным письмом или проконсультировать по волнующим вопросам безопасности, не писать запросы, а после общения с ними не чувствовать себя униженно.
Во-вторых
Требуется регулярное обучение технике безопасности внутри компании для всех сотрудников с учетом их должности и обязанностей.Естественно, программисту, находящемуся на пике цифровых технологий, требуется принципиально иной подход к обучению, чем секретарю.
Третий
Обучение должно быть как можно менее формальным, обучение должно быть интересным, в интерактивной форме, чтобы хотелось поделиться полученными знаниями с другими, а не сделать и забыть.
Четвертый
Необходимо не запрещать, а находить способы добровольного участия сотрудников в процессе создания безопасности компании.Так, например, компания может просто предложить оплатить антивирусное ПО на всех используемых внутри компании гаджетах и системах, на которых осуществляется работа сотрудника.
Если сотрудник подключается к сети через VPN, нужно убедиться, что у него «чистое» рабочее место.
Если рабочие станции имеют доступ к Интернету, доступ должен быть открытым и прозрачным, но осуществляться в безопасной среде.
Итак, внутри компании, где я работаю, есть такое понятие, как безопасный Интернет, специально разработанный браузер, который запускается на удаленной машине и, если что-то пойдет не так, на рабочей машине его не будет. Я считаю, что такой подход очень перспективен, но работать через такой браузер в текущей реализации крайне неудобно.
Заключение
В современном мире обеспечение безопасности посредством запретов является крайне неэффективным способом.Нужен совершенно другой подход, основанный на обучении сотрудников и совместном взаимодействии каждого сотрудника с СБ Поскольку самой большой уязвимостью является человеческая глупость, только компания, которая сможет разработать и внедрить систему ликвидации неграмотности, сможет добиться эффективного метода защиты.
При разработке уровня безопасности необходимо учитывать комфортные условия труда сотрудников.
Если человеку необходим доступ к социальным сетям, то стоит думать не о том, как запретить ему это делать, а о том, как предоставить ему возможность безопасно ими пользоваться.
Проще обучить сотрудника, чем продолжать раздувать штат СБ .
Я бы тоже подумал, как можно организовать охрану, но статья получилась слишком длинной.
Возможно, я продолжу в другой статье, если эта статья будет читать популярный.
Полезные ссылки по теме:
- Подкаст, который попался мне на момент написания этой статьи и мне очень помог Силикон дал.
Василий Дягилев (Check Point Security)
- WannaCry через кофемашины
- Хакерская группа Cobalt
- Хакер Журнал
-
Множество Модификаций — Usb Еще Не Идеален!
19 Oct, 24 -
Rest Api — Что Такое Hateoas?
19 Oct, 24 -
Рейд В Тылы: Атака На Sony Ericsson
19 Oct, 24 -
Линчевание Стартапа Successstory
19 Oct, 24 -
Востро, Через Нетбук
19 Oct, 24 -
Открытый Медиаплеер Вконтакте
19 Oct, 24
