Регламентация безопасности
Как я уже неоднократно говорил, обеспечение цифровой безопасности есть целый комплекс мер, каждая из которых направлена в первую очередь на защиту данных. Ранее в книге этот вопрос уже поднимался, но с уклоном в частный сектор, а сейчас пришло время поговорить об этом в разрезе безопасности сетевой и дата-инфраструктуры юридических образований – различного рода организаций. Сообразно некоему армейскому механизму, методика защиты данных представляет собой единый биотехнологический организм, это такой условный киборг – антивирусное ПО выполняет роль внешней защитной оболочки, различные средства маскировки компьютера позволяют становиться невидимым в Сети, а человеческий разум (который суть неотъемлемая часть работоспособного механизма) есть главный управляющий орган всей системы.
Но есть в этом механизме еще одна роль – своеобразная иммунная система, главная задача которой заключается в недопущении заражения всего организма, даже если вирус прорвал внешнюю защиту и каким-то образом проник в недра организма. Роль иммунной системы в сфере цифровой безопасности выполняют политики безопасности сетевых протоколов и операционной системы в целом.
Грамотная настройка политик безопасности операционной системы, особенно в корпоративной среде, есть немалая часть от создания полноценной системы защиты данных как в Сети, так и на локальном компьютере.
Итак, представьте, что вы создали и настроили сеть с максимально доступным вам уровнем конфиденциальности, надежно защитили ее от внешних и внутренних атак, но теперь нужно и минимизировать риски утечек на самом важном и одновременно опасном уровне – на уровне конкретного пользователя. Существует множество аспектов, на которые необходимо обратить внимание при выстраивании политики безопасности в компании. Выглядит этот список следующим образом.
1. Допустимое использование операционных систем. За этим сухим канцеляризмом уже скрывается целый список мер: ограничение пользовательских учетных записей, обучение правильному использованию компьютера и операционной системы и т. д.
2. Настройка учетных записей – пользователь корпоративной сети должен получать полностью работоспособный компьютер, отвечающий всем требованиям работодателя. Иными словами, работник не должен сам или с чьей-то помощью модернизировать компьютер или операционную систему, если это не продиктовано служебной необходимостью. Поэтому учетную запись следует настроить так, чтобы пользователь не мог ничего установить или запустить из того, что не нужно ему для работы, равно как и удалить то, что, по мнению пользователя, ему не нужно.
3. Антивирусное ПО. Как бы вы ни настраивали политики безопасности в сети или на локальном компьютере, без антивируса в современном мире обойтись не получится. Антивирус должен быть надежным, уметь сканировать систему сразу в нескольких направлениях, а также регулярно получать все необходимые обновления сигнатур вирусов. А регулярно получают такие сигнатуры лишь лицензионные программные продукты. Да, и еще пользователь не должен получать доступ к настройкам антивируса, чтобы ни отключить программу, ни отменить запланированную проверку не получилось. Сотрудникам, конечно же, нужно доверять, но есть золотое правило: «Доверяй, но проверяй!», иначе в кибербезопасности нельзя.
4. Безопасность электронного документооборота. Этот пункт следует заучить как «Отче наш» каждому администратору технопарка предприятия. Жизнь любого предприятия зависит в том числе и от количества утечек данных; чем ниже возможность утечки данных, тем выше безопасность предприятия. Итак, ни один пользователь не должен получать безграничный доступ к документации, и уж тем более никто из них не должен иметь возможность скопировать документ на внешний носитель или отправить его по электронной почте или мессенджеру. И лучшим выбором для безопасности будет доступ к документации лишь для чтения на сервере.
5. Безопасность электронного общения. Необходимо проводить постоянные разъяснения о рациональном использовании электронных средств коммуникации – в рабочее время только по работе, – а также о запрете перехода по любым ссылкам без уведомления об этом специалистов по цифровой безопасности. И уж тем более о запрете скачивания любых файлов, находящихся по указанным ссылкам или в сообщениях. Все это чревато хищением информации, что в наше время означает фактическую гибель предприятия.
6. Утилизация устаревших накопителей и компьютеров. Не секрет, что в наши дни практически с любого накопителя, даже отформатированного, можно восстановить информацию – именно поэтому некоторые злоумышленники промышляют сбором выброшенных на свалку накопителей информации в надежде выбрать оттуда что-нибудь интересное. Именно поэтому многие опытные администраторы корпоративных IT-парков предпочитают уничтожать утилизируемое оборудование на физическом уровне – ломать CD- и DVD-диски, повреждать USB-накопители, а жесткие диски и вовсе разбирать и приводить блины в негодность любыми способами. Я встречал весьма экзотический способ уничтожить информацию: один мой знакомый, который работал на химическом производстве, предпочитал блины жестких дисков бросать в концентрированный раствор кислоты, чтобы их поверхность подверглась серьезной деформации и съем информации с них был невозможен в принципе.
7. Политика реагирования на инциденты. Если хотя бы один из компьютеров подвергся вирусной атаке или попал в фишинговые сети, необходимо об этом сообщить. Ведь компьютерная сеть должна функционировать как живой организм, только вместо тока энергий между его частями должен происходить обмен трафиком – и здесь самое важное становится самым опасным. Ведь один-единственный зараженный компьютер вполне может стать источником опасности для всех остальных узлов в сети, а значит, уже может стать источником всех проблем. Поэтому необходимо работать с коллективом, нивелируя в сотрудниках страх перед подобными «залетами» – но обязательно с сохранением или воспитанием ответственности по методу «один за всех – все за одного».
8. Закупка IT-продукции. При работе с корпоративным клиентом необходимо трезво оценивать свои возможности по обеспечению безопасности, например, исходя из бюджета выбирать наилучший продукт. Если речь зашла об антивирусном ПО, необходимо выбрать лучший из них по защите, а также по всем остальным параметрам. Такие же требования необходимо соблюдать и при покупке «железа», нужно выбирать не только по параметрам оборудования, но и по комплектному ПО. Ведь неоднократно было такое, что драйвера могли положить всю систему, а то и сеть. Взять хотя бы недавний случай, когда обновление Windows 11 напрочь ломало драйвера AMD для встроенных в процессор видеоядер – уже прецедент, а мы же ставим себе задачу собрать надежный компьютерный парк, ведь так?
9. Политика ограничения доступа в интернет применяется там, где работодатель ставит своим сотрудникам задачу работать, а не просиживать на работе от звонка до звонка. Настоятельно рекомендую проводить все политики на основе выработки взаимопонимания, например, разрешать пользователям сидеть в социальных сетях, но только после выполнения всех рабочих задач. Конечно, есть работодатели, принудительно ограничивающие сетевой трафик до определенных узлов в интернете, но это приводит лишь к тому, что сотрудники перестанут выполнять и основные рабочие задачи. Хочу сказать, что любой вопрос с коллективом лучше всего решать на основе разговоров, где не ставится жесткое навязывание целей и идеалов, а учитывается мнение конечного исполнителя – это лишь поднимет авторитет компании в глазах сотрудника. Но вернемся к началу – ограничение трафика в виде блокировки различных сетевых узлов и служб может принести пользу в виде дополнительной защиты от различного вредоносного ПО. Но гораздо лучше, если это ограничение будет лишь в голове сотрудников.
10. Анализ журналов событий с компьютеров в сети считается еще одним способом повысить общую безопасность компьютерного парка компании. Ведь журнал событий позволяет с большой точностью выявлять самые слабые в плане защиты узлы, а также самых безответственных пользователей. Основываясь на полученных данных, администраторы могут разработать целый ряд действий, направленных на повышение защиты не только конкретного компьютера, но и всего технического парка компании.
11. Безопасность доступа по сети. С этим системные администраторы столкнулись в период карантинных ограничений. Многие сотрудники, вынужденные работать на удаленке, попросту не заботились о безопасности соединений. Это вылилось во множество фактов хищений данных, когда киберпреступники использовали компьютеры работников для доступа к серверам компаний и похищали конфиденциальную информацию. Поэтому, если у вас работают удаленщики, важно обеспечить безопасность соединений по всему маршруту – VPN, анонимайзеры и прокси-серверы здесь будут как никогда актуальны.[45]
12. Необходимо также следить и за сменой паролей: из-за того что у многих пользователей слишком мало опыта в цифровой безопасности, пароли часто компрометируются – злоумышленники могут получать их, копируя данные автозаполнения, куки-файлы или базы паролей из веб-браузеров. Именно поэтому необходимо не только часто менять пароли, но и делать по ним привязку компьютера пользователя, используя для этого МАС-адрес сетевой платы конкретного компьютера или ноутбука.
13. Не менее важен и контроль обновлений операционной системы и сопутствующего софта. В последнее время, к сожалению, стали нередкими случаи, когда из-за ошибок при создании пакетов патчей операционные системы выходят из строя. А это значит, что на какое-то время (откат операционной системы или восстановление ее из бэкапа) компьютер с плохо севшим или кривым обновлением будет выведен из строя. Поэтому важно соблюдать некий карантин после выхода обновлений ПО, дабы администратор смог быстро проверить их безопасность (хотя бы по форумам) и принять решение о необходимости их установки.