 |
 |
 |
 |
|
 |
 |
И еще один ключ к последней уловке: Крэйг сначала относился безответственно и
незаинтересованно к требованиям Стива, а потом изменил интонации, будто он пытается
помочь Стиву завершить его работу. В большинстве случаев, если жертва верит, что ей
пытаются помочь или оказать услугу, то расстанется с конфиденциальной информацией,
которую она защищала бы в другом случае.
Предотвращение обмана
Один из наиболее мощных трюков социального инженера включает «перевод стрелок».
Это именно то, что вы видели в этой главе. Социальный инженер создает проблему, а потом
чудесным образом ее решает, обманом заставляя жертву предоставить доступ к самым
охраняемым секретам компании. А ваши сотрудники попадутся на эту уловку? А вы
позаботились о создании и применении специальных правил безопасности, которые могли
бы предотвратить такое?
Учиться, учиться и еще раз учиться
Есть старая история о туристе в Нью-Йорке, который остановил мужчину на улице и
спросил: «Как пройти к Carnegie hall»? Мужчина ответил: «Тренироваться, тренироваться,
тренироваться». Все уязвимы к атакам социальных инженеров, и единственная эффективная
система защиты компании – обучать и тренировать людей, давая им необходимые навыки
для распознавания социального инженера. А потом постоянно напоминать людям о том, что
они выучили на тренировке, но способны забыть.
Все в организации должны быть обучены проявлять некоторую долю подозрения при
общении с людьми, которых они не знают лично, особенно когда кто-либо просит любой вид
доступа к компьютеру или сети. Это естественно для человека – стремиться доверять
другим, но как говорят японцы, бизнес это война. Ваш бизнес не может позволить себе
ослабить защиту. Корпоративная техника безопасности должна четко отделять положенное и
не положенное поведение.
Безопасность – не «один размер на всех». Персонал в бизнесе обычно разделяет роли и
обязанности, и у каждой должности есть свои уязвимости. Должен быть базовый уровень
обучения, который надо пройти всем в компании, но кроме того каждый сотрудник должен
быть обучен в соответствии со своим профилем работы придерживаться некоторых
процедур, которые уменьшают вероятность возникновения упомянутых в этой главе
проблем. Люди, которые работают с важной информацией или поставлены на места,
требующие доверия, должны получить особое специализированное обучение.
Безопасное хранение важной информации
Когда к людям подходит незнакомец и предлагает свою помощь, как описано в
историях в этой главе, работники должны опираться на технику безопасности компании,
которая создана в соответствии с нуждами бизнеса, размером и видом вашей компании.
Заметка
Лично я не считаю, что бизнес должен разрешать любой обмен паролями. Гораздо
проще выработать жесткое правило, которое запретит персоналу использовать общий пароль
или обмениваться ими. Так безопасней. Но каждый бизнес должен учитывать его специфику
и соответствующие меры безопасности.
Никогда не сотрудничайте с незнакомцем, который просит вас посмотреть
информацию, набрать незнакомые команды на компьютере, изменить настройки ПО, или,
самое разрушительное из всего – открыть приложение к письму или скачать непроверенную
программу. Любая программа, даже та, которая, на ваш взгляд, ничего не делает, может не
быть настолько невинной, как кажется.
Есть некоторые процедуры, о которых, независимо от качества нашего обучения, мы
часто имеем тенденцию забывать через определенное время. Часто мы забываем наше
обучение в то время, когда оно нам как раз нужно. Вы можете подумать, что о том, что
нельзя выдавать свое имя пользователя и пароль знают все(или должны знать) и практически
