Эллисон Сэрра - Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании

Тут можно читать онлайн Эллисон Сэрра - Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании - бесплатно ознакомительный отрывок. Жанр: Самосовершенствование, год 2022. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании
Автор:

Эллисон Сэрра
Жанр:

Самосовершенствование
Издательство:

неизвестно
Год:

2022
Город:

Москва
ISBN:

978-5-9075-3443-8
Рейтинг:

4/5. Голосов: 11
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
80

1

2

3

4

5

Эллисон Сэрра - Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании краткое содержание

Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании - описание и краткое содержание, автор Эллисон Сэрра, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

В апреле 2021 года данные более полумиллиарда пользователей Facebook оказались в открытом доступе. В том числе на одном из хакерских форумов опубликовали телефонный номер Марка Цукерберга. Защищал ли основатель одной из крупнейших социальных сетей свои данные, соблюдал ли меры кибербезопасности? Конечно. Но когда речь идет о киберпреступности, даже самой лучшей защиты бывает недостаточно.
По результатам исследования Verizon об утечке данных 2018 года, сотрудники прямо или косвенно ответственны за четверть всех взломов компаний. Повысив уровень кибергигиены персонала и подготовив их к возможным информационным угрозам, можно значительно снизить риск утечки данных компании и сохранить репутацию, если это все же произойдет.
Эллисон Серра, старший вице-президент и директор по маркетингу McAfee, написала книгу «Кибербезопасность: правила игры» для людей, которые хотят подготовить компанию к возможным атакам со стороны киберпреступного мира.
Книга полна легко применимых советов о том, как обеспечить максимальную безопасность компании: научить сотрудников правильно обращаться с личными и корпоративными данными, найти недостающих специалистов по информационной безопасности, подключить к обсуждению этих вопросов совет директоров, встраивать инструменты защиты на этапе разработки продукта и своевременно и грамотно реагировать на взломы. Если сделать кибербезопасность частью культуры организации, вероятность того, что компания пострадает от информационной атаки, станет гораздо ниже.

Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании - читать онлайн бесплатно ознакомительный отрывок

Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Эллисон Сэрра

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Распространенная вещь в хакерском сообществе – «украшать» взломанные сайты непристойными рисунками, чтобы пометить тех, кто был, как говорят на сленге, «унижен», кого «хакнули». Хакер уже знал, что мы заблокированы и ситуация под его контролем; он повесил пошлую картинку вместо нашего нового логотипа просто так, на всякий случай.

Моя команда максимально вовлекла службу поддержки социальной сети в решение проблемы. Но… в праздники все происходит дольше. Поскольку был уже поздний вечер, нас перевели на сотрудников группы, работающей в Азиатско-Тихоокеанском регионе. Создавалось впечатление, что время физически преодолевало океан, разделяющий нас и службу поддержки. Минуты ползли со скоростью улитки.

Казалось, ожидание длилось целую вечность. Взломали не наши сервера, и у меня не было возможности подключить команду специалистов из McAfee к решению сторонней проблемы. Мы могли лишь каждые несколько минут связываться со службой поддержки, чтобы снова получать ответ: «Мы работаем над этим».

Примерно через полчаса они сообщили, что заблокировали всех администраторов нашей корпоративной страницы, и доступ к ней остался только у них. Это были хорошие новости: по крайней мере, большего вреда нанесено не будет.

А что насчет плохих новостей? Они не могли просто откатить страницу до версии 30-минутной давности. Согласно протоколу, страницу заблокировали, чтобы никто больше не мог изменять ее, а затем должны были последовать процедуры проверки и анализа. В ходе первой они должны были удостовериться, что мы действительно те, за кого себя выдаем, а не хакер, только притворяющийся McAfee (какая ирония!). Анализ же призван был определить степень взлома – и только затем можно было предпринимать дальнейшие действия.

Но как быть с непристойным аватаром? Он все еще висел на нашей корпоративной странице. Хуже того: платформа работала таким образом, что в личных профилях всех сотрудников McAfee в социальной сети вместо логотипа компании также отображалась эта пошлая картинка.

И в моем тоже.

Когда мы снова связались со службой поддержки, нам сообщили, что «процедуры» еще не закончены. Если следовать их логике, выходило, что единственный шанс откатить страницу – реактивировать, то есть разблокировать аккаунт, но они не сделают этого до тех пор, пока не закончат проверку безопасности.

Серьезно? Как это вообще возможно? С нашей страницей ничего нельзя было сделать до окончания проверки. Мы были в полной их власти. Все, что могли предпринять наши сотрудники, – удалить любое упоминание о McAfee из собственных профилей. Те, кто был в курсе происходящего, так и сделали.

Но этого было недостаточно. Я продолжила портить другим пасхальное воскресенье – сообщила о происшествии команде руководителей. Мы позаботились о безопасности серверов компании, но это не означало, что McAfee не будет атакован в других социальных каналах. И, конечно, мы не знали, станут ли следующей мишенью злоумышленников наши руководители – или их профили в соцсетях.

Я разослала руководителям письма и сообщения с просьбой немедленно включить в личных профилях всех социальных сетей многофакторную аутентификацию (подробнее о ней – чуть позже).

Последовав собственному совету, я начала судорожно укреплять безопасность в личных профилях – пока одна очень популярная социальная сеть не завела меня в тупик. Не знаю, что это было: то ли мое тело полностью перешло в режим мобилизации «бей или беги» (когда организм перенаправляет кровоток к основным группам мышц, чтобы скрыться от угрозы или подготовиться к бою – иными словами, уводит подальше от мозга), то ли соцсети стоило сделать настройки безопасности более очевидными. Скорее всего, и то, и другое. Как бы там ни было, я запаниковала и прибегла к отчаянной мере: полностью удалила оттуда личный профиль – и всю его историю.

Час ожидания превратился в два, затем в три, а потом и в четыре. Я регулярно звонила генеральному директору с необходимыми, но раздражающими новостями об «униженном и оскорбленном» профиле нашей компании. Диалоги сводились к следующему:

– Крис, мы все еще работаем с ними. Они не завершили проверку безопасности. Надеемся, все закончится в течение получаса.

Как в том анекдоте про программиста: «намылить, смыть, повторить» – снова и снова, каждые полчаса.

Во время очередного звонка руководитель вытащил козырь из рукава.

– Эллисон, я устал ждать, пока они нами займутся. Я знаю кое-кого из владельцев этой соцсети. Звоню ему.

– Отлично, Крис. Мы пока продолжим подгонять службу поддержки.

Крис связался со своим знакомым и рассказал о нашем случае. Через 30 минут после звонка страницу восстановили в исходном виде. Доподлинно неизвестно, повлиял ли звонок Криса или они просто закончили проверку, но я знала, что теперь ситуация под контролем.

Утром понедельника мы выпустили статью в интранете, чтобы все сотрудники узнали о случившемся в выходные. Помните, я говорила про одну из важных ценностей McAfee – всеобъемлющую открытость и прозрачность? Мы были обязаны объяснить людям, что случилось, особенно учитывая, что публикация отвратительной картинки вместо лого нашей компании затронула их личные страницы. Быть открытым и честным в неловких ситуациях очень сложно, но совершенно необходимо, чтобы жить в соответствии с ценностями.

* * *

Я рассказала эту историю не только потому, что она интересная, и не для того, чтобы вы подумали: «О, лучше уж она, чем я!» В ней заключается краткое содержание всего, о чем пойдет речь в этой книге, потому я и начала с нее.

Чтобы вы почувствовали, как покупка этой книги начала оправдывать себя с первой же главы, я расскажу вам, как произошел взлом и что мы делали после. И самое главное – я опишу действия, которые вы можете предпринять утром следующего рабочего дня , чтобы с вами этого не случилось.

Наученные горьким опытом

Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения.

Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ (назовем ее Джули), которая больше не работала в компании. Ее учетные данные были украдены подростком, связанным с крупным киберпреступным синдикатом. Джули допустила ошибку, которую совершали многие до нее: проигнорировав правила цифровой гигиены, установила слишком простой пароль. Она использовала один и тот же код для доступа к нескольким учетным записям, включая профиль в этой социальной сети. И поскольку она была авторизованным администратором корпоративной страницы, ее личные учетные данные открывали доступ не только к ее профилю, но и к нашему. И когда злоумышленники взломали один из ее аккаунтов и продали данные в даркнет, хакеры просто опробовали этот пароль и в других социальных сетях. После этого они нанесли удар по корпоративной странице McAfee через административный доступ Джули. Остальное было детской забавой.