Предисловие
Я работаю разработчиком в одной Бо-о-о-ольшой компании. Проникновение во внутренний контур – лакомый кусочек для мошенников. В компании, естественно, существует служба безопасности. Но, то, как работает служба безопасности и эффективность её работы у меня вызывает сомнения.
В этой статье я хочу поделиться своими размышлениями и призвать к диалогу на тему того, как должна работать современная служба безопасности и чего от нее ждут.
далее СБ – служба безопасности
Отказ от ответсвенности
Я не хочу обидеть сотрудников СБ, и у меня нет к ним личной неприязни, мести и умысла очернить их. Более того, я уважаю их работу, считаю её важной и очень ответственной. Я выражаю свое мнение, которое может быть ошибочным и субъективным
Они и Мы
К “безопасникам” служащие компании обычно относятся как к крайне назойливому и мешающему нормальной работе отделу. Отношение распределяется от пофигистического до крайне негативного. Даже если сотрудник понимает важность СБ, то СБ все равно будет стоять для него где-то там и “мешать” двигаться вперед. Т.е. идет постоянное разделение на “Они и Мы”.
1+1=негатив
Давайте попробуем разобраться, почему такое отношение к СБ складывается?
Одын
Начнем с самого начала. Работать с СБ приходится ещё до того, как ты первый раз увидишь хоть одного сотрудника СБ. Для того, чтобы приняли на работу, пересылают анкету и говорят, что нужно пройти СБ. Вопросы в анкете составлены так, что приходится разгадывать их как кроссворд, пытаясь понять, что они означают. При этом уже начинает формироваться негатив, ведь если не так заполнишь, то придется переделывать анкету.
Было бы логичнее попросить человека подготовить необходимые документы для заполнения анкеты и заполнить её либо с сотрудником СБ, либо с HR, который предварительно будет обучен, как правильно заполнять анкету.
Ещё одын
После того, как заполнил анкету, нужно пройти само собеседование. Большинство сотрудников СБ, если не все, набираются из МВД, ФСБ, военных и т.д. И видимо у них есть некоторый кодекс поведения, который они свято блюдут. Хотя сам я этот кодекс не видел, но наблюдая за ними, я сделал реверс инженеринг и вот какие пункты из кодекса мне получилось восстановить:
- все кругом виноваты, даже если кто-то не виноват.
- кто виноват, тот твой враг
- сотрудник СБ должен иметь каменную морду, чем каменнее морда, тем лучше
- когда с кем-то говоришь, то нужно чтобы собеседник понимал, что ты очень важный, занятой и его счастье, что ты соизволил с ним поговорить
- с врагами вообще лучше не говорить
- унизь собеседника как можно больше, тогда он будет тебя бояться
- обязательно показывай свою власть, даже если в этом нет никакой необходимости
- речь строй как можно проще, не использую все богатство языка. 5 слов на каждое предложение это максимум, который может себе позволить такой занятой и важный человек как ты.
- на короткий вопрос должен быть короткий ответ. Если собеседник на твой вопрос пытается ответить развернуто, обязательно его перебивай. Это тайная уловка шпионов. Во-первых, он тратит твое время, во-вторых, он хочет тебя запутать, в-третьих, видимо, он не знает ответа, раз не может ответить двумя словами.
Соответсвенно этому кодексу, даже если приходишь к назначенному времени, то будешь ждать. Тебя встретят так, что будешь рад поскорее отсюда уйти. Обязательно напомнят, что тут все серьезно, а не в игрушки играют. Будут задавать такие вопросы, которые совсем не обязательно задавать, но если на них не ответишь, то явно что-то скрываешь. Исповедь перед священником – это ничто по сравнению с собеседованием с СБ.
Да, несомненно, задача сотрудника СБ при собеседовании крайне сложна и важна, он должен составить четкое представление и выдать вердикт, надежный человек или нет. Ведь если он даст согласие на прием на работу афериста/мошенника, то спрашивать будут в первую очередь с него, иначе за что он зарплату получает?
Конечно у меня нет каких-то глубоких знаний в психологии, но:
- разве человек может быть искренен и доверчив в негативной обстановке?
- разве человек, которому дать возможность говорить, не расскажет больше, чем когда ему задают вопросы?
- вопросы можно задавать и по ходу рассказа собеседника.
Главный мой посыл в том, что собеседование должен проводить грамотный психолог, харизматичный, в непринужденной обстановке, как можно менее похожей на допрос.
Если психолог не является хорошим специалистом в области безопасности, то за беседой может наблюдать настоящий специалист и корректировать беседу через зеркало, через микрофон, через монитор … да как угодно.
Возможно, потенциальный сотрудник больше никогда не будет сталкиваться с СБ, кроме как на проходной, и это единственный шанс расположить его к себе.
Не знаю как в других компаниях, но в тех, в которых приходилось сталкиваться с СБ берет обязательный лаг, для того, чтобы принять решение. Об этом обычно, хотя думаю не всегда, предупреждают уже после того, как ты прошёл остальные несколько собеседований. И этот лаг устанавливается для всех одинаковый, видимо для того, чтобы опять дать тебе понять, насколько они заняты, а ты всего лишь один из многих.
Совсем одын
Ну, наконец, ты на работе и хочешь приступить к выполнению обязанностей и тут опаньки, все заблокировано, шаг вправо, шаг влево – расстрел. Перед тобой стоит очень дорогая печатная машинка, а не рабочий инструмент. Нужен доступ, пиши заявку и обоснуй необходимость. Хочешь подключится к Wi-Fi, пиши заявку и обоснуй необходимость.
В зависимости от компании оказывается, что ещё нужно провести кучу согласований для того, чтобы у тебя было настроено рабочее место.
Эта проблема относится скорее, не к СБ, а к организации процесса в самой компании, которая могла бы уже сделать все необходимые формы, заявки для организации рабочего места, до того, как человек придёт на работу.
И понеслась
А теперь оказывается, что для того, чтобы выполнять свои служебные обязанности, тебе приходится постоянно иметь дело с СБ. Разрабатываешь новый функционал – согласуй с СБ, пишешь тесты и нужно подключится к БД – согласуй с СБ, выкатываешь на пром –… ну вы поняли.
Конечно, придется сталкиваться с СБ или нет, зависит от обязанностей, и сотрудничество с СБ должно быть в некоторых случаях постоянным, но при этом процесс обычно никак не автоматизирован.
Например, когда бизнес разрабатывает новый фунционал, презентует его, то сотрудники СБ обязаны присутствовать на нем, вникать в суть и заранее помогать решать проблемы с безопасностью, а не быть тем, кто после того, как все разработано, рубить все на корню.
Если работа сотрудника подразумевает постоянную связь и контакт с СБ, так почему бы не сделать этот процесс таким, чтобы сами сотрудники СБ подключались к процессу по мере необходимости, а не команда бегала к ним, или по крайне мере автоматические уведомления, а не формирование очередных заявок. Т.е. выкатывается новый функционал и СБ получает об этом уведомление, без их одобрения выкатить нельзя, таким образом время на формирование заявок исчезнет.
Тут мой посыл такой, что сотрудник СБ должен быть частью команды, работать наравне со всеми, тогда это не будут “те, кто мешает работать”, а станут “те, кто помогает работать”. Люди наконец будут знать в лицо тех, кто отвечает за безопасность.
Все в сад
Подход СБ к безопасности очень прост: "Первоначально всё всем запретить", разрешать только после разбирательства.
Нет, безусловно, каждый подписывал бумагу о том, что ознакомился с правилами безопасности и готов нести ответственность в случае их нарушения. И правила то были написаны не мелким шрифтом в середине десятистраничного договора (хотя не всегда понятно), и когда подписывал, наверняка никто не торопил и не отвлекал. Но:
- что было прочитано как обязаловка или для сдачи теста, по психологии студента – сдал и забыл
- пытаешься быть правильным, но распечатать квитанцию об оплате ЖКХ, купленный билет, реферат и т.д. все таки нужно – тебя же за это не уволят, правда?
- а потом оказывается, что ты не один такой, другие ведь тоже так делают, а ты ведь не хуже? – Психология толпы
Естественно, такой подход крайне эффективен, когда существует тоталитарное государство и за “преступление” идёт суровое наказание, но в корпоративной среде оно не работает.
Есть компании, в которых приходя на работу, ты сдаешь все гаджеты и должен ходить с обычным телефоном. Но, если компания хочет, чтобы там работали молодые специалисты, придется очень сильно мотивировать их, чтобы уговорить их расстаться со своими гаджетами. Но, такое должно применяться только на крайне секретных военных объектах или на объектах, взлом которых представляет угрозу жизни человека, например на атомной электростанции. Да и то, такой подход больше работает на бумаге. Есть у меня один знакомый, который служил в армии на секретных объектах и все равно говорит, что там глаза на это закрывают. Вот вам пример Вирус Stuxnet
Думаю СБ должна действовать не запрещая всё, чтобы люди не думали о том, как обойти запреты для достижения желаемого комфорта в работе, а так, чтобы люди не задумывались о том, что им нужно что-то преодолевать и их могут за это наказать. Установить такие правила, которые устроят всех. Более подробно об этом я напишу ниже.
Сколько классов вы закончили?
Естественно виновата не только и не столько СБ, сколько сотрудники. Банальная неграмотность людей в области безопасности (как кибер, так и обычной) совершает большинство ошибок.
Многие даже не задумываются, что те гаджеты, которые они носят, это очень производительные компьютеры, за которые всего-то 15 лет назад люди могли бы получить состояние. Общая компьютеризация и повсеместная доступность вошла в нашу жизнь крайне быстрыми темпами. Уже выросло поколение людей, которые даже не задумываются о том, что когда-то такого не было.
Да что там говорить про гаджеты. Кругом появляются умные дома и интернет вещей, через которые можно совершать проникновение. Вот один из примеров: WannaCry через кофемашины.
Более того, поверьте мне, существуют люди, которые на полном серьезе считают, что хакеры – это выдумка и страшилка из телевизора.
Конечно, компании проводят тренинги, чтобы устранять информационную неграмотность среди сотрудников; и такая работа формально проводится, но, к сожалению, настолько формально, что по факту её нет. Даже в очень крупной компании, работающей с финансами, для которой информационная безопасность это дело высшего приоритета, дела очень плохи. По моему наблюдению, в маленьких компаниях к этому относятся более строго, порою перегибая палку.
Мне приходилось работать в одной компании, которая занимается производством детских игрушек и без прохождения полиграфа, в эту компанию не брали. Детских игрушек, Карл! Видимо руководство мерило всех по себе, боялись промышленного шпионажа, а о самой компании не без основания ходили слухи о том, откуда у них появляются те или иные новинки.
Вы думаете, что только домохозяйки, секретари и бухгалтера неграмотны в кибер безопасности? Увы, и среди программистов встречаются такие люди, которые совсем не думают об этом. Если бы это было не так, то и историй о взломе не появлялось бы так часто.
Иногда за безопасность приложения отвечает какой-то один отдел или команда, а другие программисты разрабатывают, полагаясь на то, что они защищены. Так сказать, находятся на другом слое приложения. В принципе такой подход в какой-то мере и может быть оправдан, если приложение у вас небольшое и риски взлома приемлемы. Но все равно лично я считаю, что сотрудник СБ должен как минимуму стоять ревьювером каждого релиза.
Но комплексно, я считаю, что должен быть совершенно иной подход. Каждый программист должен не только уметь хорошо разбираться и пройти тесты/курсы по безопасности и, как минимум, знать все самые популярные способы взлома, которые применяются на его языке программирования, но и сама компания должна проводить митапы и тренинги на регулярной основе и не допускать к разработке того, кто не обладает установленным минимумом.
И дело не только в сотрудниках, хакерам зачастую проще взломать систему партнеров интересующей их компании, которая к своей безопасности относится посредственно. Хакерская группировка Cobalt
Лох не мамонт, лох не вымрет
Согласно результатам исследований, самым популярным и успешным способом взлома по прежнему остается человек, а не система. Намного проще обмануть недоученного человека, чем взламывать систему, которую разрабатывали специалисты. Журнал Хакер
Огласите весь список, пожалуйста!
Итак, что же получается?
- СБ в компаниях стоит настолько "в стороне", что с ними хочется иметь как можно меньше дел, при этом даже если понимаешь всю необходимость, полезность и важность работы СБ сами сотрудники и процесс с ними строится так, что вызывает сплошной негатив.
- большинство людей обладает банальной безграмотностью в области безопасности
- процесс обучения безопасности построен настолько формально, что толку от него практически нет
Через сто метров поверните направо
Как-же правильно выстроить процесс корпоративной безопасности?
Во-первых
Нужно сделать ребрендеринг СБ так, чтобы они были частью компании, чтобы каждый мог подходить к человеку из СБ, сидящему где-то недалеко, и попросить его помочь разобраться с непонятным письмом или проконсультироваться по волнующим вопросам безопасности без необходимости писать заявки, и после общения с ними не чувствовать себя униженным.
Во-вторых
Нужно регулярное обучение безопасности внутри компании всех сотрудников, с учетом занимаемой должности и выполняемых обязанностей.
Естественно, что для программиста, который находится на пике цифровых технологий, нужно принципиально другой подход к обучению, чем для секретаря.
В-третьих
Обучение должно быть как можно менее формальным, обучение должно быть интересным, в интерактивной форме, чтобы получившими знаниями хотелось поделится с другими, а не выполнить и забыть.
В-четвертых
Нужно не запрещать, а находить способы, чтобы сотрудники добровольно участвовали в процессе формирования безопасности компании.
Так, например, компания может примитивно предлагать оплачивать антивирусное обеспечение на всех используемых внутри компании гаджетах и системах, на которых выполняется работа сотрудника. Если сотрудник подключается по VPN к сети, так нужно убедиться, что у него "чистое" рабочее место.
Если выход в интернет есть на рабочих станциях, так доступ должен быть открыт и прозрачен, но выполняться в защищенной среде. Так, внутри компании, в которой я работаю, есть такая вещь, как безопасный интернет, специально разработанный браузер, который запускается на удаленной машине и, если что-то пройдет не так, то это будет не на рабочей машине. Я считаю, что такой подход очень перспективный, но работать через такой браузер в текущей реализации крайне неудобно.
Заключение
В современном мире обеспечивать безопасность через запрещение, это крайне неэффективный способ.
Необходим совершенно другой подход, основанный на воспитании сотрудников и совместном взаимодействии каждого сотрудника с СБ
Так как самая большая уязвимость- это человеческая глупость, то только та компания, которая сможет разработать и внедрить систему устранения безграмотности, сможет добиться эффективного способа защиты.
При разработке уровня безопасности, нужно обязательно учитывать комфортные условия работы сотрудников. Если человеку нужен доступ к социальным сетям, то стоит думать не над тем, как запретить ему это делать, а над тем, как предоставить ему возможность безопасно использовать их. Проще обучить сотрудника, чем продолжать раздувать кадры СБ.
Я бы ещё поразмышлял на тему того, как можно организовывать безопасность, но только статья и так получилась слишком большой. Возможно, я продолжу в другой статье, если эта статья будет прочитана популярна.
Полезные ссылки на тему:
- Подкаст, который попался мне под руку в момент написания статьи и очень помог мне Силиконовые дали. Василий Дягилев (Check Point Security)
- WannaCry через кофемашины
- Хакерская группировка Cobalt
- Журнал Хакер
