Как уже описывалось не единожды — человеческий фактор является самым актуальным фактором риска информационной безопасности предприятия. И в данном случае речь идет не об атаках инсайдеров, и не о наивных «записанных паролях» приклеенных в «безопасном месте»

А о иных манипуляциях, направленных на получение информационной базы конкурентов.

Являясь специалистами аудита системы безопасности предприятий наши работники могут привести три традиционных метода получения доступа к самым секретным данным компании — без применения каких бы то ни было сложных технических средств.

Данные тесты не единожды помогали нашей компании выявить слабые места, казалось бы, непробиваемой системы защиты. И тем самым защищали наших клиентов от многомиллионных потерь. Вот три простейших метода получения доступа в систему:

1. Возле выхода с завода или офиса предприятия неожиданно появляется «представитель» некой известной компании, предлагающий выходящим сотрудникам недорогой сувенир, или участие в какой-либо лотерее, для получения данной возможности необходимо совершить малость — вспомнить свой рабочий пароль входа в систему. Любой работодатель будет потрясен, узнав, что на подобную «замечательную возможность» с радостью откликаются в среднем — 63% его сотрудников, при этом ещё 17% искренне не могут вспомнить пароль, хотя пытаются. И лишь оставшиеся 20% отказываются от подобного участия в «акции» - хотя стоит отметить, что не всегда по причине соблюдения правил безопасности.
2. Опять же недалеко от места работы сотрудник «неожиданно» находит флэш-накопитель, приличного вида — хотя и маленького объёма памяти. Радостно приходя на рабочее место, сотрудник, исполненный желания выяснить — что же там на этой «флешке» запускает её на рабочем компьютере. Тем самым впуская в систему десятки, а порой и сотни троянских коней и червей, настроенных на самоактивацию. Учитывая, что чаще всего «счастливый» обладатель находки не один — а человек 20 -то система защиты не выдерживает подобного напора.
3. Последний метод, по сути своей, конечно не является вопросом непосредственно безопасности ИТ-инфраструктуры предприятия, однако весьма и весьма актуален. Это вопрос уничтожения секретной документации. Имели место случаи, когда специалисты Сигира, нанятые для аудита системы безопасности даже не успев начать непосредственную работу над ИТ-инфраструктурой, уже имели на руках такие документы как, например, годовой отчет. Поскольку копия данного отчета не была уничтожена, а была выброшена в мусорный контейнер за пределами предприятия.

Подобного рода варианты нарушения системы безопасности не менее, а часто и более актуальны, нежели хакерские атаки на систему сетевого обеспечения предприятия.

Человеческий фактор — самый сложный и самый труднопредсказуемый из влияющих на всю систему безопасности, и о нем ни в коем случае нельзя забывать, при проверке информационной безопасности.

На данный момент специалисты Сигира имеют возможность провести необходимый инструктаж рабочего персонала, что позволяет снижать риск атаки на систему, используя неосведомленность или некомпетентность работников предприятия.