Najbardziej wrażliwy. Jak top-menedżera chronić się przed ransomware

0
25


Fot. Getty Images

Menedżerowie najczęściej ignorują zasady bezpieczeństwa informacyjnego. Zastanówcie się, 81% członków rad nadzorczych przechowywać zamkniętą i kosztownego informacje na swoich telefonach. To krepujące i dla nich, i dla kierowanych przez nich firm

Na dniach biznes-świat podekscytowany wiadomością o tym, że dwóch najlepszych menedżerów firmy Pathé e-mailem выманили €19 mln Wstrząsa i wielkość utraconej kwoty, i ta łatwość, z jaką została провернута oszustwo.

Top-management — jedna z najbardziej “ciekawostki” cele i w korporacjach, jak i w małych firmach. I jeśli przywódcy natknąć się na przynętę oszustów, to szkody dla organizacji lub dla nich osobiście zawsze poważny.

W tym samym czasie menedżerowie najczęściej omijają lub w ogóle ignorują ogólne zasady bezpieczeństwa informacyjnego. We wrześniu PwC opowiedziała o wynikach ankiety przywódców rosyjskich firm. Okazało się, że 81% członków rad nadzorczych przechowują na swoich telefonach zamkniętą i drogie informacje. Ponadto 29% respondentów wolą komunikować się z innymi członkami rad nadzorczych za pomocą prywatnych wiadomości e-mail.

Jak to możliwe, że zagrożenie dla firmy stawia jej własny szef? Służba bezpieczeństwa mogła w porę powstrzymać niebezpieczeństwo, ale często ona w ogóle nie ma dostępu do KOMPUTERA i innych urządzeń przywódców. Oznacza to, że służby bezpieczeństwa po prostu nie ma technicznej możliwości, aby aktywować ochronną politykę.

Główny motyw w takiej sytuacji: menedżerowie mają dostęp do poufnych informacji, które IB-specjalistów wiedzieć nie można. Wszystko jest logiczne, ale problem został rozwiązany w bardzo prosty. Na przykład, u nas w firmie realizowane dwa obwody bezpieczeństwa: jeden dla szeregowych pracowników, drugi — dla kierownictwa. Do drugiego obiegu mają dostęp tylko dwie zaufane osoby.

Drugi powód, dlaczego dział IB przychodzi wskazówka całkowicie wykluczyć urządzenia kierownictwa z monitoringu, jest związana z komfortem. Specjalne oprogramowanie, które analizuje zagrożenia, może w pewnym momencie spowolnić operacji z urządzeniem. W takiej sytuacji zamiast iść na dialog z technicznych lub IB-podział i zmienić ustawienia, z góry ściągają rozkaz całkowicie wyłączyć funkcje zabezpieczeń.

Konfrontacja zarządzania i służby bezpieczeństwa — to jest główny problem. Menedżerowie uważają, że służba bezpieczeństwa czuwa nad nimi z nieufności. W rzeczywistości, to jest po prostu praca z jedynym celem — pomóc firmie. Wychodzi na to, że top-management, który odrzuca regulaminy i wykorzystuje w pracy bez zabezpieczenia sprzęt z ważnej informacji, sam stwarza problemy dla siebie i firmy.

Jakie jest ryzyko?

Jeśli top-management będzie ignorować ogólne zasady bezpieczeństwa, a jakiegoś atakującej przyjdzie do głowy uzyskać informacje na temat firmy, wystarczy mu ukraść lub włamać jedno urządzenie mobilne — należy do przełożonego, — i ma w rękach znajdą się krytycznie ważne dostępy i korespondencji. Osobisty e-mail również włamać się znacznie łatwiejsze, niż firmową pocztę. To prezent dla oszustów, bo działać przeciwko jednej osoby łatwiejsze i tańsze, niż próbować zabrać na pokład bezpiecznej sieci firmy.

Oto przykład. W czerwcu przestępcy zrobili kopię karty SIM moskiewskiego biznesmena, aby uzyskać kontrolę nad aplikacjami bankowymi. Bez problemu wystartował 26 mln rubli z jego osobistego konta i z konta organizacji, który został подвязан do tej samej komórce.

Na rozprawie teraz inna podobna historia — młody haker ukradł ponad $1 mln IT-bossów w dolinie Krzemowej. Wszystko to zrobił za pomocą inżynierii społecznej, gromadzenie danych o ofiarach i fałszowaniem kart SIM. Sprawa IB-specjalistów w porę informować o wystąpieniu zagrożenia.

W sytuacji z kierownictwem Pathé również mogła interweniować służby bezpieczeństwa. “Tajne tłumaczenia” kilka milionów euro w każdym przypadku byłyby w ich polu widzenia.

Oszust może zdobyć jego zaufanie kierownika wszędzie. Mój szef służby bezpieczeństwa dzielił się walizką w temacie. Podczas lotu jeden z jego znajomych kierowników zobaczył, że sąsiad z fotela z айпадом w ręku śledzi kursy monet. On sam odezwał się z rozmówcą, zgodzili się spotkać, aby omówić możliwości inwestowania. Transakcja odbyła się, biznesmen zainwestował w stworzenie własnej криптовалюты około $300 000. Niestety, z nikim biznesmen ofertę nie omawiał i nie poradził. W końcu rozmówca okazał się oszustem i zniknął z pieniędzmi. Już później top-menedżer sobie sprawę, że takie zbiegi okoliczności się nie zdarzają, to wyraźnie nie był w projektowaniu i pasażer znalazł się z nim w jednym samolocie nie przypadkowo.

Historii w duchu filmu “11 ocean ‘ s eleven” zdarzają się w życiu. Fałszywy “rockefeller” Christopher Роканкурт, który jest uważany za jeden z największych oszustów wieku, прикрывался przyjaźni z Mickey Rourke ‘ a i Jean-Claude Van Даммом. Tak pod “inwestowanie w кинобизнес” zebrał ponad $40 mln.

Wyciągamy wnioski?

Dla większości top-menedżerów charakteryzuje poczucie kontroli nad sytuacją. Działają i podejmują decyzje w trybie bardzo ograniczony czas i musieli zadowolić się powierzchownej informacji. Otrzymują ją z zaufanego dość wąskiego grona osób, ale kredyt zaufania u tego okręgu ogromny. Czasami w ten krąg trafiają się oszuści, którzy wiedzą, na co naciskać. Tutaj po prostu trzeba trzeźwo patrzeć zawodowego cóż — specjalista ds. bezpieczeństwa. A topy, korzystając z korporacyjnej władzy, wręcz przeciwnie, budują między służbą bezpieczeństwa i sobie trzy metrowe ogrodzenia.

Korzystać z możliwości, które same idą w ręce, szybko podejmować decyzje i nie poddawać je w wątpliwość, to siła i jednocześnie słabość tych, którzy pewnego dnia stanął na drogę przedsiębiorczości. Ale skoro podejmujecie decyzje o tym, jakimi zasadami powinien kierować pracownicy i starają się maksymalnie chronić firmę, dziwne uważać się za “mądrzejszego” i robić wyjątki. Zasady dla kadry kierowniczej powinny być nawet wyższe, niż dla zwykłych pracowników. Przecież u nich w rękach bardziej ważne informacje i polują na nią znacznie bardziej przygotowani ludzie.