Как добиться от сотрудников серьезного отношения к хранению ключей и паролей

Как добиться от сотрудников серьезного отношения к хранению ключей и паролей

Андрей Куприянов, эксперт группы компаний "Антивирусный Центр"

РУКОВОДСТВО практически каждой компании в один прекрасный момент начинает задумываться о том, что информация, которой оно владеет, имеет определенную ценность. Это означает необходимость контроля за тем, кто к этой информации имеет доступ и как она используется. Наконец, принимается революционное решение ввести разграничение доступа к корпоративной информации. Сначала системному администратору поручают настроить персональные компьютеры сотрудников так, чтобы вход в них был возможен исключительно по паролю. Операционная система позволяет легко выполнить это требование. Каждому сотруднику предлагается придумать себе пароль. Однако вместо того, чтобы выбрать надежный безопасный пароль, они используют название фирмы, свои имена, а чтобы его не забыть, приклеивают на мониторы, обратную сторону клавиатуры.

В итоге получается, что формально требование руководства выполнено: доступ ко всем рабочим станциям возможен только по логину/паролю, однако данное нововведение неэффективно. Информация по-прежнему осталась доступна любому желающему. Необходимо заметить, что на данном этапе убеждение не действует, а принуждение малоэффективно и не имеет под собой никакой правовой базы. В таком случае стимулом для соблюдения требований безопасности может стать лишь сильная внутренняя мотивация: если, например, сотрудник осознает, что ущерб, понесенный компанией от пропажи данных, существенно затронет и его интересы, либо если он хранит на рабочем компьютере собственные наработки, данные, личную переписку. Насколько последний пример соответствует корпоративным стандартам, видимо, стоит оставить за рамками настоящего обсуждения.

Ситуация становится интереснее, когда руководство компании, следя за развитием рынка информационной безопасности, принимает решение о внедрении усиленной защиты и ставит задачу на приобретение USB-ключей или смарт-карт. Создание такой системы подразумевает значительные денежные расходы, которые должны быть еще и целесообразными. Заметим, что далеко не всегда сотрудники компании и системные администраторы обладают опытом работы с USB-ключами или смарт-картами. Однако зачастую руководитель по-суворовски принимает решение "вступить в бой" и решает проблемы по мере их возникновения.

Иногда все проходит гладко, а иногда, несмотря даже на внедрение сложной системы аутентификации, утечки информации все равно остаются. Через некоторое время руководство понимает, что причиной этого становятся сотрудники, которые всячески препятствуют нововведению, причем далеко не всегда из злого умысла. Дело в том, что, как правило, в любых нововведениях руководства работники видят покушение на свою свободу. Кроме того, в ежедневные действия сотрудника добавляется ряд новых задач: подсоединить дополнительное устройство (USB-ключ или смарт-карту), вспомнить ПИН-код и ввести его, перед уходом отсоединить ключ. К тому же нужно еще не потерять его по дороге, не забыть дома в другой сумке, кармане и т.п. И хотя данное препятствие кажется малозначительным, универсального средства для его преодоления не существует.

Очевидно, что необходимо разъяснять сотрудникам цели и задачи новых требований. Определенным категориям работников потребуется пройти обучение. Понятно, что раз сотруднику выделены дополнительные материальные ценности, то он должен с момента их получения нести ответственность, в том числе за их сохранность и использование в соответствии с утвержденными документами. Необходимо также разъяснять сотрудникам ценность основного ресурса, которым они владеют - информации.

Каждая организация должна создавать собственные документы (внутренние инструкции), определяющие порядок действий, требования к их исполнению, ответственность за неисполнение. Как правило, контроль над внедрением и соблюдением такой инструкции возлагается на сотрудника, должность которого зачастую называется "офицер по безопасности". Однако сложность заключается в том, что с самого начала он начинает испытывать на себе давление отдельных сотрудников, которые стараются получить для себя особые права в виде исключения из общих правил. Также введение такой должности воспринимается работниками как недоверие со стороны руководства, попытка ограничить их свободу.

Поэтому далеко не всегда деятельность офицера по безопасности оказывается эффективной.

Размышления, которые озвучены в данной статье, не окончательны и носят дискуссионный характер. Приглашаем вас к обсуждению данной проблемы. Хотелось бы узнать ваше мнение по поводу того, каким образом сделать внедренную систему аутентификации эффективной? Как мотивировать сотрудников серьезно относиться к хранению как ключей, так и паролей? Возможно ли сделать это только лишь силой убеждения или необходимо прибегнуть к принуждению и введению материальной ответственности?

Высказывайтесь.

Комментарии экспертов

Дмитрий Горелов, коммерческий директор компании "Актив"

Как мотивировать сотрудников серьезно относиться к хранению ключевой информации? В первую очередь нужно сделать так, чтобы внедрение системы аутентификации не создавало для сотрудников новых проблем, и система безопасности не нарушала бы бизнес-процессы. Использование обыкновенных паролей - наиболее дешевый способ, но в нем масса недостатков.

Для решения организационных и технических проблем лучше сразу внедрять аппаратную аутентификацию на основе смарт-карт технологий. Выбор собственно устройств аутентификации невелик - смарт-карты и usb-токены. И в России, и в мире внедряется все больше проектов с использованием последних (usb-токенов). Причин этому несколько: удобство, цена, универсальность. Для доступа в корпоративную сеть нужно подключить токен к usb-порту компьютера и ввести простой PIN-код.

Применение токенов с RFID-метками позволяет еще более надежно решить проблему, связанную с тем, что сотрудники оставляют незабло-кированную рабочую сессию и уходят на перекур или обед. Если для выхода из помещения человек должен предъявить usb-токен, то он просто физически не сможет уйти, не отсоединив его от рабочей станции, при этом сессия автоматически блокируется. Токены имеют большой срок службы, устойчивы к механическим воздействиям.

Для того чтобы попасть домой, необходимо открыть дверь ключом. Для того чтобы получить доступ к информационной сети предприятия, нужно предъявить usb-токен.
Но никакие технические средства не спасут, если перед их внедрением не будет проделан большой объем организационных мероприятий: информирование, объяснение их необходимости, создание подробной таблицы прав доступа, согласование, тестирование, доработка таблицы прав.

Алексей Задонский, ведущий менеджер проектов, Oracle CIS, Россия

Рано или поздно большинство организаций приходят к необходимости разграничения прав и контроля доступа пользователей (и я бы добавил администраторов). Но, как практически в любом IT-про-екте, сами по себе технические средства не дадут хорошего результата без серьезных организационных мер. При этом инициатива и контроль за ходом выполнения проекта должны исходить именно от бизнес-руководства. Только в этом случае можно избежать препятствий типа "человеческого фактора" в виде ленивых пользователей или администраторов, не желающих делиться своими правами.

С точки зрения технических решений есть средства борьбы за строгую аутентификацию. Это:

• строгая парольная политика на контроллере домена и рабочих станциях (с использованием словарей);
• программы автоматического подбора паролей для выявления "простых" паролей;
• внедрение усиленной двухфакторной аутентификации, включающей не только пароль, но и биометрию. При этом, на мой взгляд, система "пароль плюс смарт-карта или ключ" не так эффективна ввиду того, что ленивые пользователи будут оставлять пароли там же, где и сам ключ (например, в ящике рабочего стола).

Для крупных организаций потребуются дополнительные средства, такие как:

• внедрение корпоративной системы идентификации (Identity & Access Management), при которой всегда можно сказать, кто именно и какой доступ имеет к любой IT-системе, а также кто из администраторов и когда давал соответствующие права;
• внедрение решения типа корпоративной системы аутентификации (Single SignOn);
• контроль действий администраторов разных уровней (введение таких ролей в организации, как аудиторы и офицеры безопасности). Технические решения для решения этой задачи существуют, но инициаторами введения таких средств не должны быть сами администраторы;
• средства контроля активности пользователей как на рабочих местах, так и сетевые.