Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение.
Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро. Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей. Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности.
Примечание. Я не буду называть конкретный инструмент по двум причинам. Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них – свое время. Иными словами, в период запуска инструмент может быть очень эффективным – до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую.
Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру. Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу. Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать.
Вернемся к урокам, которые мы вынесли.
Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее – до размещения корпоративных страниц на других сайтах.
Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей – чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем.
Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности. Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты.
И наконец, последний удар под дых. Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, – к личному банковскому счету, сети компании или чему-то еще. Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства.
Еще несколько важных уроков
Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой – там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее.
В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого – удаление из списка администраторов людей, чья работа больше не связана с текущими проектами.
Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят – даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля – таких как облачные сервисы, например, – мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена.
Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу. В дополнение к мерам, описанным выше, мы задаем следующие вопросы:
? Как вы обрабатываете личную информацию?
? Какую технологию вы используете? (На основе ответов мы проводим оценку уязвимости).
? Как работает ваша система управления доступом?
? Какие сторонние инструменты можно подключить к вашей платформе, чтобы автоматизировать откат контента, необходимый после взлома?
? Каков алгоритм возвращения взломанного хакерами аккаунта под контроль?
? Какого соглашения об уровне реагирования на атаку и возвращения клиенту контента в том виде, каким он был до взлома, вы придерживаетесь?
Чья это вина?
Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов – не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей.
Но обратите внимание: главу я назвала «Как я испортила Пасху». Нет, я не взламывала корпоративную страницу McAfee. Не я предоставила такую возможность злоумышленнику. И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее. Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды. И мы не выполнили свой долг – не приняли разумных мер для ее сохранности.
Личная ответственность – вещь неприятная. Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая. Уклонение – гораздо более нормальная человеческая реакция. Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества.
Слишком долго кибербезопасность была «чьей-то там» проблемой. Слишком многие считают кибербезопасность мутной темой, не заслуживающей их личного времени, не говоря уже об ответственности. Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники – и, в конечном итоге, защитники – наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять?
Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему. Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно. Гораздо чаще они просто не знают, как это делать.
Кибербезопасность – это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту.
Помните о важном факторе
Еще один важный элемент, позволяющий минимизировать киберугрозу, – честность. Я определенно выхожу из зоны комфорта, начиная книгу со своим именем на обложке с описания досадного сбоя в системе безопасности, произошедшего у меня под носом. Могло ли быть хуже? Конечно. Этого никогда не должно было произойти? Конечно.
Могли ли вы оказаться на моем месте? И снова – конечно.
Рассказывая эту историю, я хочу задать тон честности, который необходим и в вашем бизнесе, нацеленном на сопротивление плохим парням. Вам необходимо развить культуру безопасности, которая позволит людям не только помогать друг другу, но и быть взаимно честными при обнаружении подозрительных действий. И честность эта – без гнева, обвинений или возмездия – позволит культуре работать.
Кроме того, я описываю взлом нашей страницы, чтобы вы сразу учли наши уроки и применили полученные знания, чтобы устранить щели в броне вашей безопасности.
Почему я?
На рынке не наблюдается недостатка в книгах по кибербезопасности от заслуживающих доверия талантливых авторов с самым разным опытом. Вы можете прочитать расследования журналистов, проанализировавших самые знаменитые взломы в истории. Можете ознакомиться с авторитетным мнением корифеев – основателей отрасли. Еще больше информации вы найдете у технических экспертов, которые весьма подробно разбирают сложные элементы кибербезопасности.
Однако же в то время, когда я это печатаю, найдется крайне мало книг по кибербезопасности, написанных маркетологами. А уж маркетологами, проработавшими в сфере всего несколько лет, – и того меньше. Так зачем доверять такому автору в столь серьезном вопросе?
Считайте мою книгу чем-то вроде гибрида маркетинга и технологий. Всю свою карьеру я переводила технические концепции на обычный язык. Я изучала взаимодействие работы и технологий, чтобы понять, как меняется корпоративная культура.
Так что если вы в целом не разбираетесь в технологиях, будьте уверены: моя цель – дать вам достаточно знаний для понимания нюансов этой сложной темы, не загружая техническими деталями. Но если вы технологически подкованнее меня, уверяю: я не собираюсь все упрощать. Просто предложу рецепты, которые каждый сотрудник – как технический, так и любой другой – может применить для защиты своей организации. И, наконец, если вы один из моих собратьев по кибербезопасности, надеюсь, вы с удовольствием прочитаете эту книгу, восприняв ее как возможность дать другим заглянуть в наш мир. А после – передадите коллегам, не связанным с киберзащитой, чтобы они тоже вступили в наши ряды борцов за безопасность.
Почему вы?
Вы можете считать себя человеком, которому нечего привнести в сферу киберзащиты. В конце концов, как могут сотрудники, менеджеры, руководители и члены совета директоров, работа которых не связана с данной сферой, сыграть значимую роль в игре, правил которой, возможно, даже не понимают?
И здесь я обращусь за вдохновением к миру профессионального спорта – он дает нам много примеров успеха командной работы. Я не фанат спорта, но питаю слабость к американскому футболу. У меня остались очень теплые воспоминания из раннего детства: мы с отцом сидим на диване в гостиной и смотрим игру его любимой команды Dallas Cowboys.
Как и миллионы других болельщиков, в мире профессионального спорта я всего лишь зритель. Просмотр игры – это самое короткое расстояние, на которое большинство из нас может к ней приблизиться. Зрители практически не влияют на исход игры. Эта роль возложена на гораздо более важные персоны – спортсменов и тренеров, – чьи талант, упорство и командная работа в конечном счете определяют, одержат ли они победу.
Раньше я верила в это. Но потом узнала о 12-м игроке Seattle Seahawks – американской профессиональной футбольной команды. Во время любого матча на поле выходят по 11 футболистов от каждой команды. Но Seahawks признают 12-го игрока – не менее важную толпу зрителей.
Со временем я поняла, что мы с папой не желали встречи наших «ковбоев» с Seattle Seahawks на их поле. На их стадионе соперников не ожидает теплый прием. Уровень шума, создаваемый «двенадцатым игроком» команды, всего на пару децибел ниже, чем на летной палубе авианосца. И, как оказалось, поддержка зрителей существенно повлияла на исход нескольких игр. За три сезона Seahawks на своем поле одержали 26 побед против двух поражений. «Двенадцатый игрок» дважды установил мировой рекорд по шуму, создаваемому толпой, и даже спровоцировал как минимум одно небольшое землетрясение.
Эта заслуженная футбольная команда знает, насколько важны зрители. 15 декабря 1984 года из уважения к своим болельщикам они изъяли из обращения 12-й номер. Гигантский флагшток с цифрой 12 гордо реет над их стадионом. А когда команда вышла на поле перед игрой в Супербоуле, шествие возглавлял человек с флагом – также с изображением заветного числа.
Неужели «12» (как называют фанатов Seahawks) действительно такие громкие? В целом – да. Но оказалось, что их стадион был специально спроектирован так, чтобы усиливать шум. В отличие от других полей под открытым небом, где шум рассеивается естественным образом, на стадионе Seahawks есть своего рода вторая палуба и навес, которые направляют шум вниз, создавая какофонию, когда болельщики кричат[1 - Louise Bien, "What Makes Seattle's 12th Man So Special?" SB Nation, January 22, 2015, https://www.sbnation.com/nfl 2015/1/22/7871519/seattle-seahawks-12th-man-super-bowl-patriots./seattle-seahawks-12th-man-super-bowl-patriots (https://www.sbnation.com/nfl/2015/1/22/7871519/seattle-seahawks-12th-man-super-bowl-patriots./seattle-seahawks-12th-man-super-bowl-patriots).]. Руководство команды приложило немало усилий, чтобы сделать «двенадцатого игрока» полноправным участником матчей и прибавить его коллективную мощь к своей.
История о двенадцатом игроке учит нас тому, что зрители могут влиять на исход. Но для этого их нужно вовлекать. Они должны быть полноправными участниками происходящего. И вот теперь – ваш выход. Я написала эту книгу, чтобы каждый осознал важность собственного участия в непрекращающемся соревновании за кибербезопасность. Никто не обвинит вас в том, что вы не надели форму раньше. Но после прочтения этой книги никто не сможет оправдать вашего отказа от ответственности.
В этой книге я хочу продолжить диалог с того места, на котором заканчивалось так много других текстов: дать новичкам в сфере бизнеса план действий, который они могут немедленно воплотить в жизнь, чтобы стать частью борьбы за кибербезопасность. Если вы все еще сомневаетесь, стоит ли вступать в битву, знайте: вы уже в ней. Киберпреступники надеются на равнодушие и отстраненность сотрудников – так им будет проще наносить удары. Если вы не активный игрок, выступающий за свою компанию, вероятно, вы пешка в руках врага. Если вы цените онлайн-свободу, если вам важно, чтобы данные, которые вы используете для принятия решений, не были скомпрометированы, если хотите, чтобы ваши девайсы использовались во благо, а не во вред, то вы уже разделяете миссию профессионалов сферы кибербезопасности. У вас больше общего с нами, чем вы могли себе представить.
W.I.S.D.O.M.
Руководство McAfee серьезно относится к развитию. Каждый квартал мы собираемся вместе, чтобы снова и снова превращать просто «работу» в «командную работу». Мы учимся у коллег, делимся личными историями о наших профессиональных буднях и даем обещание быть более искренними друг с другом и с нашими сотрудниками. В конце этих встреч мы практикуем инструмент W.I.S.D.O.M. (аббревиатура, складывающаяся в англ. слово «мудрость» – Прим. пер.), о котором узнали от группы компаний AIP, нашего партнера по развитию лидерства. Расшифровывается аббревиатура так: What I'll Say (and do) Differently On Monday – «Что я скажу (и сделаю) иначе в понедельник». Каждый из нас берет на себя обязательство проработать одну из ключевых областей развития, которые мы обсудили.
Позвольте мне и вас вооружить такой же «мудростью». В конце каждой главы вы найдете советы о том, что можете сделать в понедельник для повышения уровня кибербезопасности вашей организации. Некоторые из них на первый взгляд очевидны, но могут существенно повлиять на ваш успех. Другие потребуют больше работы, но, скажем так: вид стоит того, чтобы забраться на гору. Советов каждый раз будет не более пяти, так как я верю: 20 % усилий дают 80 % результатов.
Рекомендации, которые вы найдете на этих страницах, можно применить на очень широком спектре предприятий. McAfee обслуживает сотни миллионов потребителей по всему миру. Мы работаем с крупнейшими правительственными и корпоративными организациями. Наши решения защищают и задние дворы, и залы заседаний. Мы действительно вас понимаем.
Использовать советы смогут люди, занимающие различные позиции, – от членов совета директоров крупных компаний до рядовых сотрудников. Кибербезопасность слишком важна, чтобы оставлять ее в ведении специалистов узкого технического профиля. Каждый сотрудник, каждое заинтересованное лицо играет свою роль. Эта книга содержит основы, которые помогут вам применить те или иные техники в организации.
Готовясь к выпуску этой книги, в 2017 году McAfee проинтервьюировала 50 руководителей с различным функционалом (включая генеральных директоров, финансовых директоров, ИТ-директоров, директоров по маркетингу и т. д.), – чтобы проверить уровень кибербезопасности их подразделений. Для этой же цели мы провели этнографическое онлайн-исследование, в котором приняли участие 69 сотрудников компаний (можете считать это своеобразной онлайн-фокус-группой). Мы задавали им вопросы, а также давали упражнения, которые подразумевали сотрудничество на протяжении нескольких дней. В начале каждой главы приведены цитаты этих респондентов, которые помогут более четко сформулировать тему обсуждения и рекомендации.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию (https://www.litres.ru/ellison-serra/kiberbezopasnost-pravila-igry-kak-rukovoditeli-i-sotrudniki/?lfrom=174836202) на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.
notes
Сноски
1
Louise Bien, "What Makes Seattle's 12th Man So Special?" SB Nation, January 22, 2015, https://www.sbnation.com/nfl 2015/1/22/7871519/seattle-seahawks-12th-man-super-bowl-patriots./seattle-seahawks-12th-man-super-bowl-patriots (https://www.sbnation.com/nfl/2015/1/22/7871519/seattle-seahawks-12th-man-super-bowl-patriots./seattle-seahawks-12th-man-super-bowl-patriots).
