Должен ли бизнес заботиться о Dark Web?

Опубликовано: 6 Апреля, 2023
Должен ли бизнес заботиться о Dark Web?

Изображение 10359 Когда я впервые услышал термин «Темная паутина», я сразу же был заинтригован. Мой разум вызывал в воображении образы персонажей в теневых тонах и существ, похожих на воронов, скрывающихся за каменными зданиями, в которые по какой-то причине можно попасть только через глухие переулки. Мой мозг немедленно начал оценивать потенциальное влияние или ответственность Даркнета для бизнеса. Что еще более важно, каковы обязательства владельцев бизнеса и руководителей по управлению влиянием этой новой реальности на акционеров, сотрудников, советы директоров и клиентуру? Особенно в деловом мире сегодня, когда лидеры, руководители и лица с профессиональным назначением становятся более ответственными за действия сотрудников и их влияние на итоговый результат. Должны ли предприятия заботиться обо всем, что окрашено в черный цвет Интернета?

Даркнет, глубокая паутина, даркнет, темный интернет. Список можно расширить на весь этот абзац и, возможно, на большее количество терминов, терминов, определений и описаний. Что касается английского языка, у всех нас, похоже, есть склонность придумывать собственные определения, основанные на личной точке зрения. Я давно перестал спорить об этом. Тем не менее, для ясности, я собираюсь говорить о том, что я называю Темной паутиной, и я собираюсь использовать оба слова с большой буквы, потому что это выглядит более зловеще. Простое объяснение того, что здесь обсуждается, — это те веб-сайты, которые некоторые люди вынуждены исследовать, но недоступные для традиционных веб-браузеров. Цель этой статьи не в том, как получить доступ к этим веб-сайтам, поскольку существует множество исследований и документации, доступных по этой теме, с использованием любого веб-браузера в качестве руководства.

Как только вы начнете исследовать информацию обо всем вышеперечисленном, вы, скорее всего, запутаетесь в терминологии так же, как и я. Я поделюсь с вами тем, чем делюсь с проектными командами. Не позволяйте терминологии взять верх над вами. Просто убедитесь, что вы ясно представляете себе, своей команде и своей компании то, о чем вы говорите. Определите это. Фактический ярлык может иметь не такое большое значение, как наличие общего понимания в вашей группе относительно определения и того, почему существует интерес и беспокойство для организации. О чем нам нужно беспокоиться, так это о поведении сотрудников и влиянии этого поведения.

Подумайте о вещах, которые люди любят делать (много) и не попадаются на этом. Возможные ответы даже не нужно рассматривать здесь. Мысли, которые только что пришли вам в голову, — это именно те вещи, которые вы хотите гарантировать, что они не повлияют на ваш бизнес. В нижней части шкалы, если ваши сотрудники решат проводить время, преследуя личные интересы в Интернете или Даркнете, это будет стоить вашей организации. Эти затраты проявятся через потерянное или непродуктивное время. Хотя это трудно измерить, вы можете быть уверены, что это потерянное или непродуктивное время действительно существует. Затем мы переходим к верхнему концу шкалы. Рассмотрите корпоративные ресурсы, которые используются для незаконной деятельности. Дискуссия не является одним из последствий. Есть последствия.

Обязанностью организаций является минимизация риска. При измерении риска необходимо учитывать два аспекта. Во-первых, какова вероятность возникновения риска. Во-вторых, если риск реализуется, каковы будут последствия для организации. Затем те, чья работа заключается в использовании ресурсов компании, принимают решение о том, будут ли инвестиции в предотвращение большей ценности, чем затраты, если риск будет реализован.

Имейте в виду, что если ваша организация не является RCMP, или ФБР, или даже Интерполом, вы не обязаны пытаться выполнять их работу. Но каждый обязан не поощрять и не поощрять незаконную деятельность. И важно защищать наилучшие интересы вашей организации, делая все возможное, чтобы управлять возможностями и способностями сотрудников или, возможно, даже клиентуры вести ненадлежащую или незаконную деятельность с использованием корпоративных ресурсов и/или корпоративного времени.

Чтобы узнать, что организации могут сделать, чтобы свести к минимуму этот риск, я сделал то, что обычно делаю. Я обратился к своим друзьям за бесплатным советом. Для этого я связался со своим хорошим другом Брайаном Зерром. Брайан является директором по ИТ-безопасности в компании SRG Security Resource Group Inc. Брайан целыми днями рассказывает людям о нарушениях безопасности, их влиянии на бизнес и предотвращении всего вышеперечисленного. Мне нравится Брайан, потому что у него есть мотоцикл, и когда мы окажемся в одном городе, Брайан будет пить пиво со мной.

Брайан поделился со мной трехуровневой методологией, которую продвигает SRG. Это начинается с формального подхода к осведомленности сотрудников, потому что, как и определения, то, что воспринимается как приемлемая практика, будет сильно различаться у разных людей. Позвольте мне ненадолго отвлечься на один момент в самом начале моей карьеры. Я проводил собеседования на административную должность. Когда я шел к приемной, чтобы забрать следующего кандидата, я заметил людей, выходящих из приемной, которые хихикали, шептались и оглядывались назад. Я думал, что скоро узнаю, что происходит. Я сделал. Следующим кандидатом была молодая леди, одетая в блузку с леопардовым принтом и довольно облегающие черные кожаные брюки. Я продолжил интервью и обнаружил, что она, скорее всего, войдет в шорт-лист. Я спросил ее, почему она выбрала то, что на ней надето, и она просто ответила, что это самый красивый наряд, который у нее был в шкафу. Восприятие. Восприятие — вот почему мы должны быть очень конкретными в отношении того, что именно мы определяем, и мы должны быть еще более конкретными в отношении того, что является и что является неприемлемым поведением.

На самом деле меня беспокоит Интернет с 90-х годов, когда я узнал, что кто-то из моей команды, которого я считал потрясающим членом команды, на самом деле тратит много времени на просмотр порно на клиентском сайте. Мы отреагировали, введя требование о том, чтобы сотрудники подписывали документ о том, что они будут придерживаться определенных правил в отношении надлежащего использования вычислительных ресурсов и электронных файлов. Возможно, настало время пересмотреть политики и процедуры адаптации вашей организации, чтобы убедиться, что вы не только ставите подпись на документе, но и что процесс адаптации очень четко определяет, что означает документ и каковы последствия его несоблюдения..

Брайан говорит мне, что следующий слой — это технология, а я по опыту знаю, что технологии становятся все более изощренными. Как человек, с которым часто заключают контракт на проведение исследований на клиентском объекте, я вполне привык получать предупреждающие сообщения, визиты на мою рабочую станцию от представителя ИТ и даже блокировки рабочей станции. Хорошей новостью является то, что технология существует и вполне вероятно, что для любого размера найдутся возможности и стоимость. Я просто предостерегаю вас: убедитесь, что вы собрали все необходимые возможности, прежде чем отправиться за покупками программного обеспечения. Overkill может быть очень дорогим и сложным в обслуживании.

Третий уровень — это управление или, точнее, тестирование. Это определенно то место, где ценность внешней организации может быть полезной. Думайте об этом как о своего рода аудите. Ключевое правило аудита передовой практики заключается в том, что организация может продемонстрировать как документацию, так и реализацию политик и процедур. Недостаточно записать это, и недостаточно, чтобы кто-то в организации держал информацию в голове и мог это сделать. Он должен быть записан там, где соответствующие лица, идентифицированные с помощью модели управления в организации, могут легко его найти. И вам нужно показать доказательства реализации. Если аудиторская полиция Dark Web появится у вашей двери без предупреждения, можете ли вы предоставить им документацию и провести их через реализацию? Если нет, Брайан говорит мне, что эти ИТ-директора скоро останутся без работы. Хорошо, полное раскрытие: я только что придумал термин «полиция аудита Даркнета». Но это не значит, что совет директоров был бы очень обеспокоен, если бы ему сообщили, что не существует политики или процедур, препятствующих этому виду деятельности.

Во время посещения мероприятия несколько лет назад я имел удовольствие сидеть за столом с полицейским под прикрытием, который просто заявил, что там есть плохие парни. И, подобно офицеру полиции под прикрытием, если у кого-то есть желание и намерение получить доступ к этим сайтам, мы несем ответственность за то, чтобы исключить возможность и возможность использовать для этого корпоративные ресурсы.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023