Недавно в первой части статьи, мы рассказали, что были удивлены, как мало компаний считают отсутствие двухфакторной аутентификации серьезной угрозой информационной безопасности.
Чтобы понять причины, мы составили четыре описания лиц принимающих решения — двух директоров и двух руководителей ИТ-отделов, по одному для крупной и средней компаний. С помощью этих психологических портретов мы и попытаемся понять причину легкомысленного отношения к ИБ компании.
В прошлый раз мы рассмотрели директора ИТ-департамента НПЗ «ФлайТек», а сегодня пришла пора познакомиться с его руководителем (и остальными двумя персонажами).
Константин
Компания
Нефтеперерабатывающий завод ФлайТек, часть крупного нефтяного холдинга ФлайОйл. Всего на НПЗ работает более 3 тыс. человек, но с вычислительной техникой связано около тысячи. Это как вспомогательные подразделения (управленцы, бухгалтерия, логистика, служба сбыта, маркетинг), так и производственники, работающие с АСУ ТП через терминалы на Microsoft Windows.
Должность
Генеральный директор.
За что отвечает
- За бесперебойную работу НПЗ в целом.
- За эффективную координацию подразделений — финансового, коммерческого, производственного, транспортного, СБ и ИТ.
Грубо говоря, каждый день на НПЗ должна поступать нефть по железной дороге и нефтепроводу, нефть должна перерабатываться в бензин, керосин, мазут и пр., все это должно складироваться, продаваться, транспортироваться с помощью привлеченного и собственного железнодорожного и автомобильного транспорта, территория должна охраняться, сотрудники должны получать зарплату, компьютеры должны работать и обслуживать сотрудников и производство. За каждую функцию по отдельности отвечает руководитель отдела, за все сразу — Константин. - За предложения совету директоров и руководителям холдинга по стратегическому развитию завода.
За что не отвечает
- За ежедневную работу вышеперечисленных подразделений — это обязанность их руководителей. Если на производстве авария, не пропарили цистерны, деньги от заказчика не пришли, произошла попытка взлома сети — со всем этим должны разбираться начальники департаментов, поскольку именно они обладают необходимыми навыками, информацией и инструментами для решения этих проблем.
- За работу всего холдинга.
Профессиональное мировоззрение
Со стороны кажется, что НПЗ — далеко не самое крупное из возможных предприятий, а производство хотя и достаточно опасное, но всё таки не АЭС. Но если посмотреть сверху, то будет видно, что НПЗ — это фактически город, со своими офисами, заводами внутри заводов, трубопроводами, столовыми, пожарными, охраной и тысячами сотрудников.
И если этом городом плохо управлять, плохо координировать службы, то последствия могут быть любыми, вплоть до остановки производства, а то и такой аварии, что мало не покажется. А это поставит под угрозу обеспечение топливом целого региона.
Поэтому у Константина каждый день много рутинной и нервной работы по поддержанию работоспособности предприятия. Для этой работы ему требуются такое количество специальных знаний и навыков, что не остается сил и времени разбираться в специфичных областях, таких как тонкости финансового учета или внедрения SOC. Максимум его знаний и опыта находится в области производства, сбыта и транспортировки. И это нормально — много ли ИТ-шников хотя бы в общих чертах знают технологию крекинга или базовые принципы нефтеперегонки?
Из угроз в ИТ Константин знает вирусы и шифровальщики (он не настолько хорошо разбирается, чтобы знать, что шифровальщики фактически есть те же самые вирусы, но с определенной симптоматикой).
Он считает, что вся ответственность на предотвращении всех угроз лежит на Федоре, поскольку тот имеет соответствующее образование и опыт. Глубоко вникать в проблему у него нет никакого желания, ни возможности. Все попытки рассказать ему о проблемах в ИТ вызывают у него отторжение. Всех, кто рассказывает ему об ИТ-угрозах, он переадресует к Федору.
Если «пугалка» запала Константину в душу, то он просит Федора сделать для него доклад о вероятности возникновения риска и потенциальном его влиянии на работу НПЗ, но объективность оценки Федора, конечно же, никогда не проверяет.
Текущее отношение к 2FA
- Константин знает, что аутентификация выполняется на ПК, всеми ПК занимается Федор, а значит вся оценка необходимости внедрения 2FA должна идти от Федора.
- Константин не понимает, что 2FA относится к тем проблемам, которые формально попадают в смежные зоны ответственности, но фактически каждая из сторон считает, что ответственность за кражу паролей должны нести другие службы.
- Константин не понимает связи между непонятным для него 2FA и понятными для него угрозами (в которые он верит) — заражение вирусами и вымогателями.
Вот теперь у нас и начала вырисовываться гипотеза о причине отсутствия двухфакторной аутентификации на НПЗ «ФлайТек». Возможно дело в том, что Константин и Федор считают 2F заботой друг друга и не осознают, что в случае кражи пароля или слива данных это станет общей проблемой. В результате Константин считает, что раз Федор не сигнализирует о проблемах в ИТ, значит их нет. А Федор думает, что сохранность паролей скорее административная задача, и раз Константин не акцентирует на ней внимание, то эта проблема не является серьезной.
Чтобы подтвердить или опровергнуть эту гипотезу, давайте посмотрим на еще на двух персонажей.
Поскольку с двухфакторной аутентификацией в крупных корпорациях мы разобрались, то пришла пора выяснить как обстоит дела в средних. Для этого мы придумали транспортную компанию «Традекс» и описали её генерального директора (и одновременно владельца) и начальника ИТ-отдела. С него, пожалуй и начнем.
Петр
Компания
Транспортная компания «Традэкс». Осуществляет грузовые перевозки по России, СНГ, Китаю и Турции. Обладает собственным и привлеченным парком вагонов и грузовиков, а также собственным складским комплексом. Осуществляет ВЭД (внешнеэкономическую деятельность), участвует в электронных торгах.
Должность
Начальник ИТ-отдела. Руководит командой из трех человек, где один сотрудник имеет достаточно неплохие знания в настройке сетевого оборудования и программного обеспечения, а двое других — начинающие «эникейщики».
За что отвечает
За все, что связано с компьютерами. При этом не прописаны ни политики работы, ни приоритеты. Таким образом, восстановление Windows на компьютере директора может оказаться более важным, нежели отражения DDoS атаки на сайт компании.
При этом Петр уверен, что большинство пробоем можно решить по факту их возникновения, а к остальным проблемам начальство отнесется философски. То есть:
- данные из CRM / 1C уничтожены — плохо, CRM / 1C один день не работает — терпимо;
- ПК директора не работает — плохо, ПК рядового менеджера не работал в течение дня — терпимо;
- не работает клиент-банк — плохо, не работает электронная почта — терпимо.
За что не отвечает
За права и политики доступа к данным и сервисам. Сказал начальник отдела дать доступ сотруднику к рабочему столу по удаленке — настроили VPN и RDP. Может ли сотрудник «слить» данные — это уже проблема генерального директора и начальника отдела.
За повышенную готовность к различным типам рисков. У Традэкса нет денег покупать запасные ноутбуки на случай, если сотрудник вдруг разобьет свой. Вот если разобьет, то будем думать, что с этим делать. При этом, конечно же, наиболее вероятные риски учитываются — такие как резервный канал связи офиса.
Профессиональное мировоззрение
«Работает — не трогай». За излишнее рвение директор Петра вряд ли похвалит, а вот если тот в процессе улучшения испортит (или хотя бы на время приведет в нерабочее состояние) работающие сервисы, то Петр окажется виноватым. Поэтому Петр не любит экспериментов. Каждый раз обдумывая не внедрить ли что-то новое, он оценивает — действительно ли отсутствие этих возможностей грозит компании проблемами, в которых его могут обвинить. И не приведет ли внедрение к проблемам, в которых его обвинят.
Текущее отношение к 2FA
Петр про это слышал, но уверен, что это не про их компанию. Большинство сотрудников находятся на виду, а если кто-то и попытается слить данные с чужим паролем, то пусть этим займется СБ или сам директор. Хотя если Петр поверит в реальность такой угрозы, то директору расскажет обязательно — чтобы не оказаться крайним в случае чего.
Как видите, Пётр отвечает за все проблемы в ИТ, причем даже больше, чем его коллега Фёдор из первой части. Потому что средняя компания — не крупная, тут нет выделенной службы безопасности (по крайней мере компетентной в вопросах ИТ). Пётр не может сослаться на чужую зону ответственности, или на служебные инструкции.
И напоследок представляем вашему вниманию начальника Петра — Павла, директора и собственника Традэкса.
Павел
Компания
Транспортная компания «Традэкс». Осуществляет грузовые перевозки по России, СНГ, Китаю и Турции. Обладает собственным и привлеченным парком вагонов и грузовиков, а также собственным складским комплексом. Осуществляет ВЭД (внешнеэкономическую деятельность), участвует в электронных торгах.
Должность
Генеральный директор и собственник в одном лице.
За что отвечает
За всё. Просто в некоторых вещах он разбирается и полностью их контролирует, а остальные делегирует исполнителям. В том, что он не разбирается, директору необходимо отсутствие проблем и своевременная реакция на происходящие изменения. То есть, Павел не знает слова «шифровальщик», но если все ПК в компании вдруг окажутся заблокированными, то он будет разбираться с начальником ИТ-отдела. А если водители неожиданно уйдут в запой, то он посадит за руль начальника транспортного отдела.
За что не отвечает
Как уже говорилось, за знание деталей определенных процессов.
Профессиональное мировоззрение
Это компания Павла, поэтому ему хочется верить, что он полностью контролирует все её процессы. Он периодически встречается с руководителями отделов и те подробно рассказывают ему о текущем состоянии, о потенциальных угрозах и новинках (и это касается ИТ далеко не в первую очередь — например, Павла очень интересовало влияние внедрения системы Платон на уровень доходов).
Павел любит ходить на разнообразные отраслевые конференции, это подчеркивает статус и дает возможность узнать что-то действительно важное. Если там рассказывают что-то, что его заинтересовало, но из той области где он не является специалистом, то Павел передает информацию руководителю соответствующего отдела, просит разобраться и доложить ему.
Текущее отношение к 2FA
Павел про 2FA ничего не знает. На профильных конференциях эти вопросы не затрагиваются, Петр ему про это не рассказывает. Если бы ему грамотно рассказали про потенциальный риск, то он потребовал бы Петра разобраться и доложить о том, насколько он критичен и вероятен в их компании. И если Петр скажет, что 2FA им не нужен, то Павел потребует гарантировать, что без внедрения данной технологии безопасность Традэкса не пострадает. И тогда уже Павлу будет проще внедрить 2FA, чем брать на себя ответственность.
Выводы
Здесь должны быть умные выводы о причинах, почему четыре умных человека, искренне озабоченные в том числе и безопасностью своих компаний, знают об эффективной и хорошо зарекомендовавшей себя технологии двухфакторной аутентификации, но не внедряют её у себя. При том, что внедрение сложно и не критично по стоимости и временным затратам.
Но выводы оказались весьма просты. Нужно больше рассказывать об опасности паролей и пользе 2FA, причем не только ИТ-шникам, но и генеральным директорам — и количество внедрений 2FA увеличится в разы.
Не согласны? Буду рад подискутировать в комментариях!
Автор: AI4