Общение — Меня Обманули, Заставив Ввести Пароль В Виде Открытого Текста Во Время Сеанса Чата Slack.

Я работал в жестко регулируемой отрасли и в компании, устойчивой к изменениям. Недавно у нас появился Slack, и все в нашей команде разработчиков уже к нему привыкли.

Со смайликами было сделано несколько шуток, одно повлекло за собой другое, и в итоге кто-то сказал что-то, что Slack достаточно безопасен, чтобы по умолчанию шифровать учетные данные. Несколько других пользователей, похоже, вводили свои пароли, и это подвергалось цензуре.

Поэтому по какой-то странной причине я решил ввести свой пароль в чат, чтобы проверить, правдив ли он.

Я знаю, что это было глупо, но я прошу прощения, мне было очень любопытно. В течение следующих нескольких часов из этого ничего не вышло, но внезапно мне позвонила команда ИТ-безопасности, которая лихорадочно что-то бормотала, но мне удалось его успокоить, и я вроде как бросил свою команду под автобус.

Теперь из-за меня им придется пройти недельное обучение «научению использовать Slack» и обучение по вопросам сексуальных домогательств (я не знаю, почему это было включено). Я чувствую себя крайне глупым и прошу прощения у всех, кому из-за моих действий придется пройти дополнительное обучение.

Учитывая, что подобные вещи в конечном итоге случаются с людьми, как бы это ни было неловко, могу ли я что-нибудь сделать, чтобы предотвратить подобные несчастные случаи?

#коммуникации #политика компании #безопасность

Если я правильно понял ваш вопрос — кто-то (не вы) шутил на канале Slack о том, что там можно вводить пароли. А потом вы раскрыли свой пароль.

Сейчас я не знаю подробностей того, как вы бросили их под автобус, но, если вы придерживаетесь фактов, вы правильно сделали, что сообщили об инциденте в службу информационной безопасности. Вы должны были сообщить об этом, и для дальнейшего использования – в некоторых отраслях вы можете понести ответственность, если не сообщите об этом как можно скорее. Если вы в конечном итоге будете работать на правительство (или проекты, связанные с правительством), медицинские проекты, финансы и банковское дело, энергетику и так далее. В будущем всегда сообщайте обо всем, что выглядит как нарушение информационной безопасности, мошенничество и т. д.

Хотя ваш коллега в данный момент может быть раздражен на вас — ему действительно нужны дополнительные часы обучения информационной безопасности, и вы, вероятно, спасли им жизнь, потому что у них могут возникнуть серьезные проблемы, если они продолжат эти шалости в будущем. Не могу комментировать отслеживание сексуальных домогательств, но это не должно повредить.

В будущем, если у вас возникнут подозрения, что ваш пароль взломан, измените его и немедленно сообщите об этом. Если похоже, что кто-то выманивает пароли в вашей организации, сознательно или неосознанно, попросите их прекратить и действовать в соответствии с Политикой информационной безопасности вашей компании. В идеале попросить их сообщить о случившемся самостоятельно и решить эту проблему самостоятельно с помощью отдела информационной безопасности, но это зависит от организации и отрасли.

Учитывая, что такие вещи в конечном итоге случаются с людьми

Я работаю в этой отрасли более 17 лет и никогда раньше не слышал об этом, ни из первых рук, ни из вторых рук, ни от друга, ни от друга, ни от друга. К сожалению, вы первый, и я думаю, вы, ребята, очень легко отделались. Я знаю, это может показаться оскорбительным, но я чувствую, что мне нужно прояснить, насколько это может быть серьезно.

Могу ли я что-нибудь сделать, чтобы предотвратить подобные несчастные случаи?

Да, пройдите тренировку еще раз, как было предложено, и постарайтесь придерживаться полученных знаний.

Добавлю: как бы ни было заманчиво совершить какую-нибудь глупость, используя ресурсы компании, и опробовать новые функции которые потенциально могут привести к нарушению информационной безопасности или нарушению соглашения о неразглашении, вам не следует этого делать. В большинстве контрактов/соглашений о работе упоминается этот пункт:

Ресурс компании предназначен только для бизнеса компании.,

Это не для веселье и изучение новых вещей не связанный с работой. Воздержитесь от использования ресурсов компании (включая данные учетной записи компании) в качестве личных.

Да, и немедленно смените пароль, если вы еще этого не сделали.

Я подумал: человек, просящий людей ввести пароль, на самом деле работает в компании или передал его сотруднику службы безопасности. Моя компания регулярно рассылает электронные письма, телефонные звонки и т. д., чтобы побудить людей нажимать на ссылки или пароли. Как только вы это сделаете, наступит время тренировки. Сначала это была простая целевая страница с объяснением того, как переходить по ссылкам и все такое, но в следующий раз они нападут на вашего менеджера.

С учетом вышесказанного, я думаю, что каждый член вашей команды должен пройти тест, кто был в этом чате. Вам также следует пересдать тест и принять его как урок. Ваша команда потерпела неудачу, потому что они должны были уведомить всех, чтобы они не вводили пароль, и заблокировать человека, запрашивающего его (даже если это, казалось бы, товарищ по команде). Вы потерпели неудачу, потому что должны были знать, что это трюк, и не очень хороший.

Большинство хороших систем даже не будут знать ваш пароль. Даже реализация такой функции для блокировки вашего пароля сама по себе была бы недостатком безопасности. Ему придется хешировать весь ваш чат, сравнивать его с хешем в базе данных, а затем определять, какие символы следует заблокировать в тексте. Все, что нужно сделать, — это тщательно разработать социальную схему, позволяющую задавать общие вопросы, чтобы выяснить чей-то пароль, поскольку ответ будет автоматически скрыт. Поэтому в следующий раз, когда вы увидите электронное письмо, телефон или сообщение с просьбой о чем-либо, связанном с безопасностью, не отвечайте на него и сообщите об этом как можно скорее. Просто спросите себя: «Неужели этому человеку действительно нужно это знать?»

Учитывая, что такие вещи в конечном итоге случаются с людьми

Нет, не делают, это было крайне непрофессионально. Особенно для инженеров.

Но теперь ты ничего не можешь сделать, кроме как смириться с этим. Вы причинили немного горя, и сексуальное домогательство, вероятно, добавлено в качестве наказания.

Так что не пытайтесь оправдать или рационализировать это, как вы это сделали в своем вопросе. Усвойте урок, на самом деле это было довольно дешево. Я видел, как людей увольняли за то, что они разглашали свои пароли в условиях строгого режима безопасности. Скорее всего, это компромисс между тем, кого кто-то сильно ударил, например, и командой, проходящей некоторую подготовку.

Мне не хватает некоторой информации, чтобы понять, что именно здесь произошло. Некоторые вопросы, которые у меня остались:

• Почему ИТ-безопасность позвонила вам? Им нужно было как-то это выяснить, но есть несколько способов сделать это, каждый из которых сильно меняет контекст. Например., возможно, сотрудники службы безопасности имеют доступ к каналу и видели эти учетные данные. Возможно, ваша команда сообщила об учетных данных, находящихся в Slack, или о ком-то еще, имеющем доступ к каналу. Однако также возможно, что кто-то вошел в одну из учетных записей вашей компании, используя эту информацию, которая могла быть зарегистрирована ИТ-службой. Хотя это мог быть кто-то, имеющий доступ к каналу Slack, это все же явное нарушение.
• Как вам удалось успокоить ИТ-специалиста? Ты сказал, что не понимаешь, что это такое. бормотание, но вы, похоже, поняли достаточно, чтобы их успокоить и возложить вину. Поэтому – что они говорили?

• Почему курс о сексуальных домогательствах? Единственный способ объяснить это — если ваш пол или сексуальность отличаются от пола или сексуальности большинства членов инженерной команды. Из этого можно было бы сделать вывод, что эту шутку спровоцировали ваши коллеги за ваш (а в конечном итоге и за свой) счет, потому что вашего пола или сексуальной ориентации, и в этом случае сексуальное домогательство оправдано. Однако, исходя только из того, что я знаю из этого поста: вас зовут Джейми, на самом деле это мужское имя в англоязычной стране, да? Команды инженеров, в которых большинство составляют женщины, также встречаются реже в отрасли просто из-за преобладания инженеров-мужчин, но, тем не менее, этот сценарий может быть (пусть и отдаленным) возможным.

  В любом случае, я пытаюсь представить, как эта ситуация может привести к ситуации сексуального домогательства, и вы уже видите, насколько надуман мой пример - поэтому я снова склонен думать, что здесь отсутствует информация.

Еще один момент, касающийся игры с обвинениями. Как я это вижу лично:

• Вы разбираетесь в технологиях? Ожидается ли от вас наличия опыта использования технологий? Вы разработчик? Даже технический директор? Если да, то я ожидаю, что вы изучите используемый API, прежде чем вводить свои учетные данные. Вы должны понимать самые основные проблемы безопасности и иметь возможность проводить исследования самостоятельно. твоя вина.
• Вы не разбираетесь в технике? Если, с другой стороны, от вас не ожидается, что вы хорошо разбираетесь в таких вопросах, как ИТ-безопасность, проводите собственные исследования API, работаете с инструментами, принадлежащими к большинству современных технологических стеков и так далее, например если вы занимаетесь деловой стороной дела, например, бухгалтерским учетом или маркетингом, то я бы сказал, что ваши технически подкованные коллеги-инженеры использовали эти знания, чтобы подшутить над вами. Они знали, они, как эксперты в области технологий, могли использовать свой опыт, который, как вы знаете, у них есть, чтобы убедить вас в том, что, как они знают, является ложным. Если это то, что произошло - их вина.

Согласится ли ваше начальство с моей оценкой, я не могу сказать.