Искусство обмана

Предотвращение обмана

Один из наиболее мощных трюков социального инженера включает «перевод стрелок». Это именно то, что вы видели в этой главе. Социальный инженер создает проблему, а потом чудесным образом ее решает, обманом заставляя жертву предоставить доступ к самым охраняемым секретам компании. А ваши сотрудники попадутся на эту уловку? А вы позаботились о создании и применении специальных правил безопасности, которые могли бы предотвратить такое?

Учиться, учиться и еще раз учиться

Есть старая история о туристе в Нью‑Йорке, который остановил мужчину на улице и спросил: «Как пройти к Carnegie hall»? Мужчина ответил: «Тренироваться, тренироваться, тренироваться». Все уязвимы к атакам социальных инженеров, и единственная эффективная система защиты компании – обучать и тренировать людей, давая им необходимые навыки для распознавания социального инженера. А потом постоянно напоминать людям о том, что они выучили на тренировке, но способны забыть.

Все в организации должны быть обучены проявлять некоторую долю подозрения при общении с людьми, которых они не знают лично, особенно когда кто‑либо просит любой вид доступа к компьютеру или сети. Это естественно для человека – стремиться доверять другим, но как говорят японцы, бизнес это война. Ваш бизнес не может позволить себе ослабить защиту. Корпоративная техника безопасности должна четко отделять положенное и не положенное поведение.

Безопасность – не «один размер на всех». Персонал в бизнесе обычно разделяет роли и обязанности, и у каждой должности есть свои уязвимости. Должен быть базовый уровень обучения, который надо пройти всем в компании, но кроме того каждый сотрудник должен быть обучен в соответствии со своим профилем работы придерживаться некоторых процедур, которые уменьшают вероятность возникновения упомянутых в этой главе проблем. Люди, которые работают с важной информацией или поставлены на места, требующие доверия, должны получить особое специализированное обучение.

Безопасное хранение важной информации

Когда к людям подходит незнакомец и предлагает свою помощь, как описано в историях в этой главе, работники должны опираться на технику безопасности компании, которая создана в соответствии с нуждами бизнеса, размером и видом вашей компании.

Заметка

Лично я не считаю, что бизнес должен разрешать любой обмен паролями. Гораздо проще выработать жесткое правило, которое запретит персоналу использовать общий пароль или обмениваться ими. Так безопасней. Но каждый бизнес должен учитывать его специфику и соответствующие меры безопасности.