Читаем Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании полностью

Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей – чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем.

Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности. Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты.

И наконец, последний удар под дых. Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, – к личному банковскому счету, сети компании или чему-то еще. Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства.

Еще несколько важных уроков

Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой – там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее.

В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого – удаление из списка администраторов людей, чья работа больше не связана с текущими проектами.

Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят – даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля – таких как облачные сервисы, например, – мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена.

Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу. В дополнение к мерам, описанным выше, мы задаем следующие вопросы:

 Как вы обрабатываете личную информацию?

 Какую технологию вы используете? (На основе ответов мы проводим оценку уязвимости).

 Как работает ваша система управления доступом?

 Какие сторонние инструменты можно подключить к вашей платформе, чтобы автоматизировать откат контента, необходимый после взлома?

 Каков алгоритм возвращения взломанного хакерами аккаунта под контроль?

 Какого соглашения об уровне реагирования на атаку и возвращения клиенту контента в том виде, каким он был до взлома, вы придерживаетесь?

Чья это вина?

Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов – не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей.

Но обратите внимание: главу я назвала «Как я испортила Пасху». Нет, я не взламывала корпоративную страницу McAfee. Не я предоставила такую возможность злоумышленнику. И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее. Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды. И мы не выполнили свой долг – не приняли разумных мер для ее сохранности.

Личная ответственность – вещь неприятная. Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая. Уклонение – гораздо более нормальная человеческая реакция. Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества.