Сейчас повсеместно рассказывают о важности защиты информации. В интернете в свободном доступе масса информации о правилах защиты, законодательные акты также легко найти и изучить. Уж не говорим о том, что учебных пособий вроде «Информационная безопасность для чайников» в сети тоже достаточно.
И все же заблуждений, ошибок и предрассудков остается достаточно. В статье приводим примеры от сотрудников нашей компании.
Лицензия решает
Артем, директор по информационной безопасности ООО «Рубикон»:
«Очень частое заблуждение заказчиков это, что использование лицензионных продуктов достаточно для обеспечения ИБ в целом. То есть, купив лицензию на ОС и офисный пакет мы получаем отлично и безопасно работающую систему. Тратить время на ее обслуживание и какие-то дополнительные меры по защите нет необходимости.»
Действительно, это одна из самых частых ошибок. Лицензия на ПО не дает гарантий защищенности. Лицензия всего лишь дает право на использование продукта официально и получение актуальных обновлений.
«Было несколько объектов, где не были установлены обновления ПО. Продемонстрировали эксплуатацию уязвимостей заказчику: первой реакцией было недоверие и удивление, затем уже согласие на построение адекватной системы защиты.»
Отказ от антивирусной защиты
Не совсем понятно откуда пошел миф, что без антивирусной защиты можно обойтись. Во-первых, это – база для защиты информации от компьютерных атак. Во – вторых, современные антивирусные средства обладают широким спектром функций, вплоть до защиты платежных операций.
Артем, директор по информационной безопасности ООО «Рубикон»:
«Еще одним заблуждением, причем, к сожалению, и на уровне системных администраторов является мнение, что средства антивирусной защиты только мешают работе. Но эта ситуация очень быстро исправляется, когда кто-то из пользователей открывает вредоносный файл, полученный по электронной почте и файл-сервер, доступный с рабочего места на утро оказывается зашифрованным. В этом случае системный администратор переходит в разряд тех, кто «теперь делает резервные копии» и уже под другим углом смотрит на применение средств защиты информации.»
Страх бумажной волокиты
Количество различной документации, проходящей внутри организации, порой зашкаливает, даже несмотря на век автоматизации. Это и порождает желание избежать лишней волокиты, пренебрегая при этом безопасностью данных.
Владимир, начальник технического отдела защиты информации ООО «Рубикон»:
«Также является неправильным мнение, что инструкции по информационной безопасности пишутся только для системных администраторов, а рядовым пользователям нет необходимости соблюдать их. Например, необходимость пользователям знать свои логины и пароли, а не возлагать это на администратора. Незнание данных для авторизации приводит к тому, что такая информация начинает сохраняться на рабочем месте (в сохраненных паролях в браузере или на приклеенных стикерах на монитор) и может привести к утечке данных через скомпрометированную учетную запись. Или же нежелание пользователя информировать администраторов о каких-то сообщениях средств защиты информации, установленных на рабочем месте — игнорирование таких сообщений приводит к тому, что когда администратор узнает о проблеме, то уже поздно принимать какие-то действия.»
Наши пожелания во избежание подобных ошибок
Взвешивайте риски пренебрежительного отношения к данным. Изучайте «базу» защиты данных. Также важно помнить, что всегда возможна квалифицированная помощь. При возникновении каких-либо вопросов обращайтесь к специалистам вашей компании для разъяснения правил и действий. К руководителям тоже есть пожелание – не экономьте на квалифицированных специалистах (ИБ- и ИТ-специалисты, системные администраторы).