Искусство обмана - [100]

Один из первых навыков, которые я освоил благодаря Джошу, заключался в понимании того, как должна выглядеть нормальная порция еды. Он рассказал мне, сколько белков, жиров и углеводов я должен потреблять в течение для. А дальше решение было за мной: можно было съесть все это хоть за один присест — но тогда я бы точно проголодался позже.

Кроме того, Джош научил меня не доверять глазам. Как-то раз он предложил выложить на тарелку то количество еды, которое казалось мне правильным. А затем взвесить ее. Разница между моими представлениями о нормальном размере порции и реальностью оказалась КОЛОССАЛЬНОЙ. Именно требование взвешивать еду перед ее употреблением позволило мне понять, что именно необходимо изменить в своих привычках.

В мире безопасности такие правила превращаются в «политику компании». Это словосочетание обычно имеет какие-то негативные коннотации. Многие руководители ненавидят разрабатывать и внедрять ее, а многие сотрудники не любят ей следовать. По моим наблюдениям, дурная репутация словосочетания связана с тем, что зачастую политика компании по тем или иным вопросам формулируется размыто, непонятно. Или же это настолько строгие правила, что в их исполнении люди видят больше вреда, чем пользы.

Найти необходимый баланс бывает сложно, но это необходимо сделать, если вы хотите создать в своей компании безопасную среду и сформировать культуру осведомленности.

Как же разрешить это противоречие? Как разработать не слишком строгую и реалистичную политику безопасности, которой было бы просто придерживаться? Давайте разберем несколько рекомендаций, которые помогут вам разработать четкие правила для сотрудников и улучшить текущую ситуацию.

Многие правила сформулированы слишком обтекаемо и широко. То есть исполнителю приходится делать выводы и даже принимать решения, исходя из собственных соображений. А ведь на месте такого исполнителя вполне может оказаться человек, даже не представляющий, какие формы способна принимать СИ-атака. Я не предлагаю вам относиться к сотрудникам как к дурачкам. Просто запомните: чем меньше исполнитель будет думать о том, что ему нужно сделать, тем лучше. Понятные правила работают эффективнее всего.

Приведу пример из практики. Моя компания проводила вишинг для крупной финансовой организации, и в 80 % случаев мы успешно собирали необходимые персональные данные. Мы делали ставку на эмпатию, доверие и получали желаемое.

Справедливости ради нужно отметить, что в компании работали действительно приятные и добрые люди. Мы не хотели этого менять. Только представьте себе такой совет по минимизации негативных последствий для руководства: «Доведите ваших сотрудников до паранойи, пусть не доверяют никому». Мы, конечно же, такого не советовали. А руководители компании приняли по-настоящему мудрое решение. Они сформулировали новое, простое, выполнимое правило: «Запрещено сообщать какую бы то ни было личную информацию пользователям, не прошедшим процедуру аутентификации».

Но и на этом руководство не остановилось. С сотрудниками провели разъяснительную работу о том, какая информация считается особенно ценной и как правильно организовывать ту самую аутентификацию пользователей. Наконец, «наверху» приняли еще одно решение, которое и определило успех новой политики: лишили сотрудников возможности получения доступа к информации без идентификации пользователя. Это выглядело так.

Атакующий: Добрый день. Меня зовут Джон Смит. Мне нужна информация по моему аккаунту, а я забыл пароль. Могли бы вы помочь мне восстановить его?

Сотрудник: Безусловно. Чтобы это сделать, мне нужно будет подтвердить вашу личность. Скажите, пожалуйста…

Дальше сотрудник должен был задать пользователю ряд вопросов и вводить ответы в специальные графы. Доступ к запрашиваемой информации открывался только после корректного ввода всех необходимых данных.

После внедрения новой политики мы организовали ряд образовательных мероприятий, а затем снова запустили проверку. Благодаря новым правилам и знаниям, которые получили сотрудники, их система безопасности стала непреодолимой. Люди остались такими же добрыми и человечными, здесь ничего не изменилось (в ходе контрольной проверки десятки человек искренне расстраивались, когда не могли мне помочь, хотя действительно делали все возможное). Однако изменения в политике компании и повышение осведомленности персонала позволили устранить сомнения в том, как правильно поступать, чтобы защитить безопасность компании.

Обратите внимание: это не совет «избавиться от эмпатии». Я бы такого никогда не предложил. Речь идет о том, что сотрудникам нельзя игнорировать корпоративные правила, руководствуясь эмпатией.

У меня в Англии есть хорошая подруга, Шерон Конхэди. На позднем сроке беременности ей довелось проводить проверку безопасности. И она использовала свое положение как способ пробудить в объектах воздействия эмпатию.

Она взяла коробку, наполненную разным хламом, чтобы та выглядела тяжелой, и поволокла ее прямо ко входу. Мужчины, обращавшие внимание на ее страдания, тут же бросались на помощь. Они заносили эту коробку в здание и провожали Шерон прямо в серверную. Ни один не попросил показать бейджик или пропуск: ведь преступники не беременеют, верно?