Знаете, как в США умудряются сажать хакеров из СНГ? В очень общих чертах вся история выглядит так. Сидят себе какие-нибудь ботаны где-нибудь в новосибирском академгородке и от избытка чувств и энергии, а порой и из сугубо корыстных побуждений, ломают сайты заокеанских компаний. Те, естественно, пишут заявления в компетентные органы, занимающиеся кибер-преступлениями. Компетентные органы проводят расследования, в ходе которых выясняют, что компьютеры, с которых были осуществлены взломы, стоят в общаге в новосибирском академгородке. Естественно, Джеймса Бонда (да-да, я знаю, что он британец) или группу захвата SWAT, чтобы поймать и привлечь негодяйствующих ботаников, никто в Новосибирск командировать не будет. Американские компетентные органы поступают проще: пишут ботаникам письмо, в котором восхищаются их мастерством, и предлагают поработать на них. Визы и билеты прилагаются, все честно. Радостные ботаники, думая, что пакость им вот так вот сойдет с рук, сломя голову несутся в США, благо визы и билеты прилагаются. А дальше начинается проза. Едва они сходят с трапа самолета, как компетентные органы принимают их, утрамбовывают в автозак, и отправляются ботаники гондурасить на американскую зону.
Такая вот присказка. А суть истории в том, что сегодня информационной безопасности вашей компании нужно уделять такое же внимание, как и основной деятельности. Потому что без первого второе может просто встать. Вот вам реальный пример из практики специалистов по безопасности одной из отечественных фирм, работающих на этом поприще. У крупного холдинга начались серьезные неприятности – постоянно проигрываемые тендеры, потерянные заказы и многое другое.
Еще не начав толком проверку, проведя лишь первичное знакомство с IT-инфраструктурой компании, специалисты смогли получить все данные на владельцев и руководителей компании, в том числе сканированные копии удостоверений, РНН, паспортов, и прочие личные документы топ-менеджмента. Список всех сотрудников холдинга, с указанием заработной платы. Данные по бюджету каждого отдела и подразделения. И это информация, которую удалось получить только при «первом контакте». А представьте, что тогда было доступно конкурентам нашего холдинга при такой-то организации систем безопасности?
К слову сказать, информационная безопасность не ограничивается непосредственно защитой компьютерных сетей. Очень большую роль в деле утечки информации играет и пресловутый «человеческий фактор». Это, конечно, может звучать несколько параноидально, но промышленные шпионы, работающие на ваших конкурентов, могут представиться клиентами, журналистами, родственниками сотрудников и даже сотрудниками – кем угодно, лишь бы добыть необходимые сведения.
Хочу привести вам пример бдительности сотрудника. Я только-только устроился работать в одну крупную компанию и еще не успел познакомиться со всеми коллегами из подразделений, с которыми по рабочим вопросам нужно было постоянно контактировать. И понадобилась мне от такого вот подразделения некоего рода информация. Я звоню по телефону, говорю: так и так, здравствуйте, я у вас новенький, мне нужно то-то и то-то. Так вот женщина на том конце провода, разговаривая со мной впервые, прежде чем предоставить мне искомую информацию не поленилась и позвонила в отдел кадров, чтобы удостовериться – а правда ли я сотрудник? Вот это я называю бдительностью! Ну и не стоит оставлять пустые кабинеты открытыми, важные документы на видных местах и компьютер не заблокированным в свое отсутствие.
А вообще, лучше в этом деле довериться специалистам, которые проведут полную ревизию всех ваших систем безопасности и по ее результатам дадут свои рекомендации и, в случае необходимости, окажут квалифицированную помощь. Благо, далеко ходить не надо, и сегодня на казахстанском рынке такие уникальные специалисты присутствуют.