И еще один ключ к последней уловке: Крэйг сначала относился безответственно и
незаинтересованно к требованиям Стива, а потом изменил интонации, будто он пытается
помочь Стиву завершить его работу. В большинстве случаев, если жертва верит, что ей
пытаются помочь или оказать услугу, то расстанется с конфиденциальной информацией,
которую она защищала бы в другом случае.
Предотвращение обмана
Один из наиболее мощных трюков социального инженера включает «перевод стрелок».
Это именно то, что вы видели в этой главе. Социальный инженер создает проблему, а потом
чудесным образом ее решает, обманом заставляя жертву предоставить доступ к самым
охраняемым секретам компании. А ваши сотрудники попадутся на эту уловку? А вы
позаботились о создании и применении специальных правил безопасности, которые могли
бы предотвратить такое?
Учиться, учиться и еще раз учиться
Есть старая история о туристе в Нью-Йорке, который остановил мужчину на улице и
спросил: «Как пройти к Carnegie hall»? Мужчина ответил: «Тренироваться, тренироваться,
тренироваться». Все уязвимы к атакам социальных инженеров, и единственная эффективная
система защиты компании обучать и тренировать людей, давая им необходимые навыки
для распознавания социального инженера. А потом постоянно напоминать людям о том, что
они выучили на тренировке, но способны забыть.
Все в организации должны быть обучены проявлять некоторую долю подозрения при
общении с людьми, которых они не знают лично, особенно когда кто-либо просит любой вид
доступа к компьютеру или сети. Это естественно для человека стремиться доверять
другим, но как говорят японцы, бизнес это война. Ваш бизнес не может позволить себе
ослабить защиту. Корпоративная техника безопасности должна четко отделять положенное и
не положенное поведение.
Безопасность не «один размер на всех». Персонал в бизнесе обычно разделяет роли и
обязанности, и у каждой должности есть свои уязвимости. Должен быть базовый уровень
обучения, который надо пройти всем в компании, но кроме того каждый сотрудник должен
быть обучен в соответствии со своим профилем работы придерживаться некоторых
процедур, которые уменьшают вероятность возникновения упомянутых в этой главе
проблем. Люди, которые работают с важной информацией или поставлены на места,
требующие доверия, должны получить особое специализированное обучение.
Безопасное хранение важной информации
Когда к людям подходит незнакомец и предлагает свою помощь, как описано в
историях в этой главе, работники должны опираться на технику безопасности компании,
которая создана в соответствии с нуждами бизнеса, размером и видом вашей компании.
Заметка
Лично я не считаю, что бизнес должен разрешать любой обмен паролями. Гораздо
проще выработать жесткое правило, которое запретит персоналу использовать общий пароль
или обмениваться ими. Так безопасней. Но каждый бизнес должен учитывать его специфику
и соответствующие меры безопасности.
Никогда не сотрудничайте с незнакомцем, который просит вас посмотреть
информацию, набрать незнакомые команды на компьютере, изменить настройки ПО, или,
самое разрушительное из всего открыть приложение к письму или скачать непроверенную
программу. Любая программа, даже та, которая, на ваш взгляд, ничего не делает, может не
быть настолько невинной, как кажется.
Есть некоторые процедуры, о которых, независимо от качества нашего обучения, мы
часто имеем тенденцию забывать через определенное время. Часто мы забываем наше
обучение в то время, когда оно нам как раз нужно. Вы можете подумать, что о том, что
нельзя выдавать свое имя пользователя и пароль знают все(или должны знать) и практически
|