Однако разделение денег еще никому не повредило, а в контексте современных киберугроз еще и помогло многим хоть как-то остаться «на плаву». Ведь злоумышленники, промышляющие скамом, охотятся не только за обычными гражданами: их в конечном счете интересуют только деньги, а откуда их снять – вопрос семнадцатый. Поэтому на фоне происшествий, массово описываемых в Сети, лучше всего разделять средства по разным расчетным счетам, не допуская смешивания всех наличествующих сумм.
Исполин третий – доступ к информации. Многие компании, особенно малых и средних размеров, практикуют совмещение нескольких должностей для одного человека. Отчасти это хорошо для бизнеса – экономия зарплаты нескольких сотрудников еще никогда не вредила прибыли. Но совмещение должностей часто вредит бизнесу – во-первых, сотрудник больше устает, а значит, чаще ошибается. И именно такие ошибки, по статистике, являются самой частой причиной большинства утечек данных на предприятии – занятый на нескольких должностях сотрудник не может сфокусироваться на каком-то определенном задании, куда ему еще и о кибербезопасности думать?
Чтобы избежать этого, я предлагаю читателям, которые заботятся о безопасности данных компании, взять на вооружение принципы управления мафиозными кланами. Нет, я не предлагаю собрать вокруг себя «семью» и жестко подавлять все попытки утечек информации – в мафиозных кланах, по свидетельствам их бывших членов, существует целая иерархия, каждая ступень которой открывает новые возможности и доступы. К примеру, «солдат» (самая низшая ступень в иерархии) знает совсем немного и, кроме своего непосредственного руководителя и сотрудников, занятых в команде, не знает никого. Соответственно, и информации о том, как все устроено, имеет самый минимум. Чем выше его положение в «семье» – капо, консильери, дон, – тем больше информации он со временем получает.
Таким же образом необходимо выстраивать и доступы к информации – к примеру, рядовой сотрудник имеет самый малый объем знаний о конторе и самый низкий уровень доступа к документации (а лучше всего вообще не имеет никакого доступа). Руководитель отдела знает и получает информации уже больше, руководитель направления может обладать доступом к некой информации, в теории способной навредить компании, а директорат – к критически важной информации. Единственным, кто может иметь доступ к любым данным, я могу назвать лишь системного администратора или руководителя службы безопасности компании – остальным я предпочитаю оставлять лишь доступ к данным, которые необходимы им по работе. Да и то с оглядкой на различные политики безопасности и системы запретов на копирование и перемещение данных.
Вот вам реальный случай. Давным-давно, когда облачные решения еще не были популярны, на одной из фирм со мной работала юная девушка. И вот ее друг однажды попросил у нее, по ее же словам, пустую базу 1С-бухгалтерии. Она сумела скопировать на флеш-карту базу предприятия… вместе со всей документацией! Совершить непоправимое не дали сотрудники IT-отдела – вовремя заметив подозрительную нагрузку на сервер с данными, они быстро выявили источник нагрузки и предотвратили хищение данных. К сожалению, девушку, ставшую своеобразной заложницей ситуации – ведь, по ее словам, она всего лишь хотела помочь другу, – руководство компании решило уволить по статье.
А теперь давайте представим, что никто не заметил бы копирования данных, а саму флешку девушка передала бы своему другу. Она бы фактически передала цифровую «бомбу», которая в умелых руках стала бы началом конца той конторы, а некоторым сотрудникам еще и грозила бы длительным тюремным заключением. Поэтому соблюдать правило разделения доступов и считается верным решением, ведь, не обладая полной информацией, злоумышленник не сможет нанести компании серьезного вреда.
Исполин четвертый – принцип «нет безопасных данных». Этот принцип придуман как раз для тех людей, которые любят разделить данные на опасные и безопасные. К первым они блокируют любой несанкционированный доступ, данные прячут где придется, данные дублируют для предотвращения их утери и т. д. Второй тип данных, например мелкие служебные записки, какие-то незначительные пометки и прочее, они попросту предпочитают игнорировать. Дескать, ну есть и есть – кому интересно, например, сколько списано в мусор грамм крупы, погрызенной различными паразитами на складе продуктового магазина?
На самом деле в среде кибербезопасности нет понятия «неопасные данные» – любая информация, которая существует на планете Земля, имеет свое значение и свою цену. Иногда из-за крошечного файлика-заметки огромные компании несут серьезные убытки. Такое было с одной из российских компаний,когда сотрудник передал другу флеш-карту, на которой был записан пиратский фильм, а рядом с ним был крошечный файлик в формате. txt, где были записаны логины и пароли от учетных записей сотрудников на сервере компании. Друг в шутку решил залезть на сервер (благо он был доступен посредством веб-сайта) и посмотреть, что там – в итоге сумел здорово продать украденную информацию, косвенно повлиять на закрытие компании и впоследствии получить за все это тюремный срок.
Сокрытие информации в бизнес-среде, таким образом, является главным залогом цифровой безопасности предприятия, ведь никто не знает, в чьи руки попадут данные в случае утечки. В любом случае для предприятия, особенно находящегося в частных руках, это практически всегда означает смерть – утечками промышляют, как правило, в конкурентных целях и лишь в случае крупных и особо крупных компаний данные используют для получения некой иной выгоды. И уже одно это должно стать если не главной, то близкой к этому причиной, по которой к информации следует относиться очень бережно – временами даже бережней, чем к своему собственному здоровью.
Выработка привычки ограждать приватную информацию
Основным способом сохранить свою анонимность в Сети есть выработанная привычка ограждать персональную приватную информацию от внешнего доступа. И главную роль в формировании этой привычки играют методичность и последовательность в действиях. Прививаемые самому себе, эти навыки являются своего рода цементирующей структурой, которая будет скреплять все уловки и ухищрения человека, решившего выстроить вокруг себя в Сети защитный барьер, не позволяющий посторонним влезть в хранилище конфиденциальных данных.
В современном мире необходимо начинать вырабатывать такие привычки уже с малых лет, начиная с привычных «не разговаривай с тем дядей», «не рассказывай бабушке про…» и так далее. Да, вы не ошиблись – техники и навыки социальной инженерии могут встречаться не только в цифровой, но и в реальной жизни. Ведь мы учимся манипулировать и противостоять манипуляциям с малых лет, во всяком случае, так говорят именитые психологи.
Но вернемся к цифровому миру, о котором мы говорим, – в нем царят практически те же законы безопасности, что и в реальной жизни. Не нужно рассказывать всем о том, чем вы занимаетесь, в какой компании работаете (конечно, если это не связано напрямую с вашей профессиональной деятельностью и должностными обязанностями) или с кем вы встречаетесь, общаетесь. Причем не стоит рассказывать об этом, даже общаясь с закрытого профиля, где находятся только доверенные и «проверенные» люди – в интернете царит правило «что знает один человек, знают миллионы». Именно поэтому даже на закрытых от посторонних страницах следует следить за тем, что публикуется – будь то радость от победы в каком-то конкурсе, семейное событие или объявление о новой работе.
Нет, я не призываю читателя удалить аккаунт в социальных сетях или удалить из него всех друзей, ведь тогда потеряется весь смысл существования таких средств связи в интернете. Я всего лишь призываю трижды, а то и четырежды думать над тем, что вы размещаете на этих страницах – безобидные вроде бы мемы тоже могут стать причиной серьезных разбирательств, в том числе и с правоохранительными органами. Достаточно вспомнить многочисленные плакаты с цитатами из знаменитых произведений, размещенные на страницах личных аккаунтов «не сообразно ситуации» – на территории СНГ этот факт послужил началом не одного десятка следственных мероприятий. Согласитесь, такой перспективы вам не нужно?
Но самая опасная перспектива основана на том, что не каждый пользователь Сети подкован в перипетиях цифровой жизни. И злоумышленники становятся не менее изобретательными; если поставили себе цель получить о вас информацию, то они это сделают. Для этого они могут применять техники социальной инженерии, а в некоторых случаях и попросту клонируют аккаунт – это способ старый как мир, но до сих пор действенный. Причем клонируют, не только своровав несколько фотографий и скопировав анкету – при необходимости даже могут синтезировать голос вашего знакомого, используя нейросети. Именно поэтому нельзя расслабляться в Сети ни на миг – в любую минуту можно нарваться на злоумышленника, причем не только в социальных сетях. Даже на торговых площадках кишмя кишат различного рода трояны, скамеры, дрейнеры и так далее. И здесь я вновь повторюсь – я не несу цели запугать, этой книгой я всего лишь отражаю текущую действительность цифрового мира.
«Большой Брат следит за тобой!» – цитата из знаменитого произведения Оруэлла как нельзя лучше описывает современный цифровой мир. Только вместо полумифического Большого Брата существуют несколько десятков различных поисково-фильтрующих систем, основанных на «просеивании» интернет-трафика (только АНБ имеет минимум четыре десятка различных поисковых и контролирующих многие сферы цифровой жизни подсистем), а контролем его могут заниматься еще несколько десятков организаций по всему миру. Причем им даже не нужно будет совершать лишние телодвижения, чтобы прочитать вашу стену в социальных сетях или получить полный финансовый отчет о вашей персоне. Достаточно будет лишь ввести соответствующую команду – и ваш цифровой слепок будет готов в считаные минуты.