Журнал "Information Security/ Информационная безопасность" #5, 2021

Вместо того чтобы ска- зать специалистам по информационной безопас- ности о подозрении, что на компьютере завелся вирус, запуганный пользователь промолчит: вдруг за этим последует выговор, штраф или на него просто повысят голос. В Даркнете успешно предлагаются услуги по пересборке вредоносного кода таким образом, чтобы он не детектировался боль- шинством антивирусов и песочниц. и умение вести себя в нем так же важно, как знание правил дорожного движения для пеше- ходов: переходить дорогу необходимо на зеленый свет, а на красный – стоять. Если правильно преподнести сотрудникам информацию о киберосознанности, правильно мотивировать, проверять их знания и постоянно совершенствовать их киберкультуру соответственно меняющейся реальности, то они перестанут допускать ошибки, а также начнут правильно реагировать на события кибербезопасности. И антивирус станет не нужным. Казнить нельзя помиловать В среде безопасников суще- ствуют два больших заблужде- ния: l пользователи не хотят раз- бираться в ИТ-технологиях; l пользователей надо наказы- вать за ошибки. Эти два тезиса находятся в прямом противоречии друг с другом, ведь если исходить из того, что пользователи не хотят учиться киберосознанно- сти, выходит, что их нужно заставлять это делать. Кроме того, раз пользователей посто- янно наказывают за ошибки, это влечет за собой и другие серьезные последствия – поль- зователи начинают замалчивать проблемы. Вместо того чтобы сказать специалистам по информационной безопасности о подозрении, что на компью- тере завелся вирус, запуганный пользователь промолчит: вдруг за этим последует выговор, штраф или на него просто повы- сят голос. Все это неприятно психологически, а иногда и финансово, и люди будут избегать подобных ситуаций. Таким образом, пользователь начинает видеть в сотрудниках отдела информационной без- опасности карательный орган, от которого надо скрываться. Кроме молчунов появляется и второй тип сопротивления – бунтари. В ответ на давление они начинают сознательно обходить правила безопасно- сти. Такое часто бывает у выходцев из ИТ, так сложи- лось, что ИТ-специалисты недо- любливают ИБ-отдел и наобо- рот. Хотя не стоит забывать, что согласно ITIL (IT Infrastruc- ture Library) информационная безопасность должна поддер- живать ИТ, а ИТ, в свою оче- редь, – поддерживать бизнес. Безопасность – важная часть корпоративной жизни, но всего лишь ее часть, и специалисты по информационной безопас- ности всегда живут в инфра- структуре, которую подготови- ли ИТ-специалисты. Поэтому если безопасность начинает действовать жестоко и ее начи- нают бояться, то появляются бунтари со стороны ИТ, кото- рые постараются в знак проте- ста обойти все заведенные пра- вила в угоду удобству повсе- дневной работы. Да, специалисты по ИБ, с одной стороны, должны обна- руживать таких бунтарей, но повторю, что безопасность работает в среде, которую под- готовили ИТ-специалисты, и кое-что можно скрыть. Я знаю компании, где люди с очень высоким уровнем доступа прямо на серверах компании держали гигантские торрент- обменники и это никем не обна- руживалось годами, да и до сих пор не обнаружено, я уве- рен. Поэтому антивирус не нужен, если у сотрудников есть высокая киберосознанность, они не видят опасности в ИБ, идут навстречу, не боятся лишний раз проконсультироваться, пообщаться, и ИБ в ответ станет другом и товарищем. Все это создаст обстановку, которая даст возможность предотвращать атаки на максимально ранних этапах. Влияние SOC Важно понимать, что при наличии SOC (Security Opera- tions Center) или хотя бы про- стого процесса расследования инцидентов антивирус уже ока- жется не нужен. Штатными средствами, которые обнаружат недопустимые активности, должны стать системы, контро- лирующие сетевой и почтовый трафик, а также агенты неанти- вирусного характера, установ- ленные на рабочих станциях, например DLP- и EDR-агенты. В результате, если пользова- тель будет действовать осо- знанно, соблюдая правила информационной безопасности, системы контроля развернуты грамотно, а процесс реагиро- вания на инциденты налажен, необходимость в антивирусе отпадает. Да, антивирус не нужен, можно работать без него. Но при этом обязательно должны присутствовать грамотные ИБ-специалисты и процесс расследования инцидентов, но самое главное – высокая осознанность поведения сотрудников в киберсреде. Заключение Подход к информационной безопасности сейчас сильно меняется, и люди уже сегодня важнее любой системы без- опасности. Примером может служить перевод большей части сотрудников в домашние офисы, при этом далеко не всем выдали корпоративные ноутбуки и люди вынужденно работали с домашних устройств. И в такой ситуации сохранность информации ком- пании напрямую зависит от осо- знанности действий каждого сотрудника. l • 39 УПРАВЛЕНИЕ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "ФИШМАН" см. стр. 56 NM Реклама