Обман неосторожных
Я уже подчеркивал, как важно инструктировать сотрудников, чтобы они никогда не выполняли просьб незнакомого посетителя. Все сотрудники также должны понимать опасность выполнения просьб сделать что-либо на чужом компьютере. Политика компании должны запрещать подобные действия за исключением тех случаев, когда они одобрены руководством. Вот в каких ситуациях подобные действия допустимы:
·
когда просьба исходит от хорошо известного вам человека, причем сделана она в личной беседе или по телефону;
· когда вы точно установили личность говорящего при помощи методов утвержденных руководством;
· когда действия одобрены руководством, непосредственно знакомым с человеком, сделавшим запрос.
Сотрудники компании никогда не должны помогать человеку, с которым они лично не знакомы, даже если тот представляется одним из руководителей компании. После того, как политики, обеспечивающие безопасность и касающиеся проверки личности определены, надо убедить сотрудников следовать им, даже если для этого придется вступить в конфликт с представителями руководства, когда они попросят обойти политику безопасности.
Во всех компаниях должны быть четко определены правила действий на тот случай, если к сотрудникам обратятся с просьбой предпринять те или иные действия с компьютерами или компьютерным оборудованием. В рассказанной выше истории про издательский дом социальный инженер использовал новичка, который еще не был обучен процедурам и политикам в сфере информационной безопасности. Чтобы избежать подобных атак, каждый сотрудник, а особенно новички должны выполнять одно простое правило: никогда не выполняйте просьб посетителей, если эти просьбы связаны с компьютерами.
Запомните, что любым сотрудником, имеющим физический или электронный доступ к компьютеру или компьютерному оборудованию могут манипулировать таким образом, чтобы он предпринял некие действия по указке атакующего.
Сотрудники компании, а особенно - персонал департамента информационных технологий, должны осознать, что предоставление чужому человеку доступа в компьютерную сеть компании ничем не отличается от оглашения номера вашего банковского счета или кредитной карты с экрана телевизора.
Сотрудники должны всегда тщательно продумывать - не приведет ли выполнение подобной просьбы к раскрытию важной информации или взлому корпоративной компьютерной сети.
Сотрудники ИТ-департамента должны также очень осторожно относиться к тому, что визитеры или люди, звонящие по телефону, представляются как поставщики оборудования. Лучше всего назначить в компании специальных людей, ответственных за общение с каждым из поставщиков конкретного оборудования, и запретить всем остальным сотрудникам отвечать на любые запросы поставщиков об изменениях в составе оборудования или внутренних корпоративных телефонов. В таком случае назначенные сотрудники компании лично знакомятся с представителями поставщиков оборудования, и их будет труднее обмануть постороннему человеку. Если звонит представитель поставщика оборудования, с которым у компании нет никаких связей, это с самого начала должно вызывать подозрения.
Все сотрудники компании должны хорошо осознавать существующие угрозы для информационной безопасности и уязвимости в системе ее защиты. Все охранники должны проходить специальные тренинги не только по обеспечению безопасности компании, но и по обеспечению ее информационной безопасности. Поскольку охранники чаще всего имеют доступ ко всем помещениям компании, они должны быть знакомы со всеми видами атак социальных инженеров, которые те могут предпринять для проникновения в эти помещения.
