Информационная безопасность на малом предприятии

У многих при словосочетании «информационная безопасность» воображение рисует 40-этажный офис напичканный серверами, которые пытаются взломать зловещие хакеры. Этот стереотип нам навязали. На самом деле информационная безопасность - это не категория больших организаций, этот термин уместен для любой организации насчитывающей более одного сотрудника. Смекаете о чем я? Нет? Давайте разберем все на трех простых примерах.

Поскольку, в процессе работы над сайтами, очень часто с некоторыми заказчики мы продолжаем довольно близко общаться и после выполнения заказов, очень часто они делятся своими проблемами. Среди этих проблем очень много проблем именно касаемо информационной безопасности. Я не знаю насколько уместно это словосочетание в контексте описанных ниже случаев, но я позволил себе отнести их именно к этой области.

Для начала стоит отметить тот факт, что информационная безопасность - это не только про то, чтобы не дать злоумышленникам получить несанкционированный доступ к конфиденциальной информации, но это и про то, чтобы самим не потерять к ней доступ.

Случай первый: Использование публичной почты в качестве корпоративной

Этот случай произошел несколько лет назад и его я описал в одной из своих статей, где ставил цель объяснить насколько важно иметь корпоративную почту и там же представлена инструкция по настройке всех необходимых аспектов, которые требуются для полноценного функционирования. Важно учесть все моменты, что избавит письма с ваших корпоративных ящиков от попадания в спам.

На небольшом предприятии «N», в котором трудится чуть больше 20 человек, работала одна сотрудница, назовем её Петрова Ирина Ивановна. Ирина Ивановна работала с оптовыми клиентами. Работала она несколько лет и никто не подозревал что все это время Ирина Ивановна подворовывала. Мне не известно на чем она спалилась, но это и не важно.

С клиентами переписка велась с почты, которая была зарегистрирована на Яндексе, то есть вида login@yandex.ru и принадлежала по сути самой Ирине Ивановне, хоть и имела в логине название организации. После того, как все вскрылось и она была уволена, оптовики начали жаловаться на то, что с того мыла их откровенно пытаются переманить на работу с другим поставщиком. Не получив желаемого эффекта, Ирина Ивановна решила уже откровенно «нагадить» и начала рассылать письма с компрометирующим предприятие «N» содержимым. Доступ к почтовому ящику заполучить было невозможно и руководству не оставалось ничего другого, как оповестить оптовиков о сложившейся ситуации. Репутации был нанесен довольно сильный удар. Если обрисовать простым языком, то вместе с почтой ушла и база клиентов, которая по сути «висела» на этом почтовом ящике.

Можно ли было избежать этой неприятной ситуации? Насчет защиты от воровства продукции, не знаю. Но что касаемо того же почтового ящика, то проблема решалась бы элементарно в случае если бы почта была бы на домене, вида login@company-name.ru. То есть если бы предприятие обзавелась бы почтой для домена на том же Яндексе, то решение проблемы заключалось бы в простом удалении почтового ящика. В случае если клиенты продолжали отправлять письма на несуществующий ящик сотрудника, то при соответствующих настройках(указывается емейл для сбора писем, которые приходят на несуществующие почтовые ящики), подобные письма уходили бы на почту, к примеру, секретаря. Таким образом убивается два зайца: 1) сотрудник теряет доступ. 2) письма клиентов, с которым работал сотрудник, не теряются.

Случай второй: История одного маркетолога-идиота

Одна организация, которая была по сути небольшой сетью салонов по продаже дверей, долгое время искала маркетолога. Поскольку фирма находится в небольшом провинциальном городке, то особого выбора из претендентов не было. Откликнулся всего один. Оставим личные качества соискателя за скобками, его уровень личности обозначен в подзаголовке.

Все что умел этот гражданин - это грамотно чесать по ушам. Я не знаю чего начесал этот чувак, но ему прощали все. Прогулял день, не вопрос, зато специалист шикарный. Бухой приперся, ну все люди с «золотыми» руками иногда бухнуть норовят. Клиентов внаглую сливал конкурентам, наговоры завистливых сотрудников. Косячит по работе - начальство виновато, работой завалило. Начальника у него было два, назовем их Галя и Света. Если на маркетологва наезжала Света, тот пенял на Галю, мол та его завалила работой. Если наезжала Галя, то крайней была Света.

Когда от «инновационных» нововведений в области маркетинга, выручка упала донельзя. Руководство начало подозревать что маркетолог им попался неправильный. Спустя год было принято решение уволить мерзавца к чертям собачьим и отобрать у него пароль от корпоративного почтового ящика, благо доступ к сайту отобрали ещё раньше. На просьбу дать пароль к ящику, маркетолог ответил отказом, мол на этот ящик у него завязаны соцсети и какая-то карта QIWI.

Казалось бы, чего тут думать. Берем браузер, заходим под аккаунтом админа и либо грохаем ящик, либо меняем пароль или просто блокируем. Но проблема в том, что никто не знает у кого доступ к почте домена и на каком аккаунте висит почта. Ситуевина свежая и разворачивается прямо вот сейчас, чем все закончится, пока не известно.

Случай третий: Безалаберное отношение к сайту

В отличии от организации в первом случае, у организации «S» была корпоративная почта и подобных проблем не было. Как только сотрудник увольнялся, его мыло либо прибивали, либо меняли пароль и отдавали новому сотруднику. На предприятии трудится свыше 400 сотрудников и оно уже не такое уж и малое, а основной поток клиентов этого предприятия приходился на сайт, которому уделялось крайне пристальное внимание. Внимание уделялось содержимому, что тоже правильно, но вот на чем работал сайт, где он физически находился - никто не заморачивался. Приходили счета, бухгалтерия их оплачивала, сайт работал.

Одним «прекрасным» утром сайт исчез, вместо него появилось уведомление о том, что аккаунт заблокирован. Все начали в панике бегать и кричать «Ааааа!!!» и только генеральный кричал «Аааа!! С@каааа!!!!» понимая в какой адской жопой грозит простой сайта. Телефон студии, которая была простым ИП и состояла двух сотрудников, не отвечал. Когда к проблеме подключился я, сайт не работал уже 4-й день.

Получив информацию, я, мягко говоря, приофигел. Практически все, де юре и де факто принадлежало этой, с позволения сказать, студии. Когда я узнал что домен принадлежит все-таки не студии, а сотруднику, который давно уже не работает, я офигел ещё больше. В общем доступ к домену заполучить удалось, сайт восстановили из вебархива. Он утратил свою динамичность, но это лучше чем оповещение о заблокированном аккаунте.

С тех пор, в кабинете директора лежит красная папка, в которой собрана вся информация об информационных ресурсах, которые имеют отношение к организации, на какие емейлы-номера они привязаны и на каких сотрудников завязаны.

Резюмируя

Любой ресурс, с которым работает сотрудник - это инвестиции и собственность организации. Ни в коем случае нельзя допускать регистрации на сотрудников или привязки к их личным телефонным номерам и личным почтовым ящикам. Все, за что платит ваша организация, должно быть юридически оформлено на организацию или её владельца.

Отдавая все на откуп отдельным людям, нужно понимать одну вещь: человек может пересмотреть свои взгляды и потребовать выкуп за ресурс, который оформлен на него. Также он может утратить доступ, сменив номер мобильного или забыв пароль от емейла, которым не пользовался сто лет. И самое печальное, сотрудник может погибнуть унеся все с собой на тот свет, как это было в случае с сайтом, описанным чуть выше.

88
7 комментариев

Из всех историй напрашивается вывод,кадры решают все,потом информационная безопасность.

1
Ответить

Комментарий недоступен

1
Ответить

Не всем нужен свой Exchange сервер (его администрирование это тоже своя иголка в попе), хотя многие могут обойтись стандартными возможностями Outlook по корпоративной лицензии.

Ответить

Первые две истории вообще какие-то прохладные. Всё решается при наличии в штате системного администратора. Первая история полностью прохладная. Как можно иметь бизнес и не иметь нормальной корпоративной почты - загадка. На худой конец малые компании подключают Гапсы, чтобы не возиться с лицензиями и почтовыми серверами. Вторая история вообще чушь, администраторам корпоративного домена почты никогда не требуется с паяльником выуживать пароль от корпоративного ящика в их домене.

Собственно такой же бред и третья история. В компании 400 сотрудников и нет штатного системного администратора. Разброд и шатания: одни не следят, вторые оплачивают не смотря и никто никого не контролирует. Это опуская моменты вообще с IT-инфраструктурой в компании.

Ответить

По первой истории. Дохрена таких, которые до сих пор присылают свою почту в виде company@mail.ru и никому в голову не приходит, что надо вида mail@company.ru. По третьему аналогично. Есть компании и поболее, у которых даже сисадмина нет.

Ответить

Обзор правил информационной безопасности на предприятии неполный. Дополню:
- не сообщайте никому пароль от почтового ящика
- не называйте CVV код от корпоративной карты
- не давайте доступ в Интернет-банк всем сотрудникам организации

Не благодарите

Ответить