Ошибки, совершаемые людьми, которые приводят к проблемам с безопасностью

Технические уязвимости становятся причиной огромного количества успешных проникновений в компьютерные системы, однако человеческие ошибки также вносят весьма существенный вклад. Институтом SANS был подготовлен список часто совершаемых людьми ошибок, которые приводят к успешным реализациям атак на компьютерные системы.

Обновлено 10 сентября 2005 года

Пять основных ошибок, совершаемых конечными пользователями

1. Пренебрежение установкой антивирусного программного обеспечения, обновлением антивирусных сигнатур и их применением ко всем файлам.
2. Открытие незапрошенных вложений в электронные сообщения без предварительной проверки их источника и содержимого, либо запуск игр или хранителей экрана или других программ из недоверенных источников.
3. Пренебрежение установкой обновлений безопасности, особенно для Microsoft Office, Microsoft Internet Explorer, Firefox и Netscape.
4. Пренебрежение созданием резервных копий и их тестированием.
5. Подключение более чем к одной сети, такой как беспроводная сеть или Ethernet, либо использование модема во время работы в локальной сети.

Семь основных ошибок, совершаемых высшим руководством

1. Делегирование обязанностей по обеспечению безопасности необученным людям, а затем не предоставление им ни обучения, ни времени на то, чтобы они были в состоянии грамотно выполнять свои обязанности.
2. Не понимание взаимосвязи между информационной безопасностью и проблемой бизнеса -- они понимают смысл физической безопасности, однако не видят последствий низкого уровня информационной безопасности.
3. Неадекватное управление операционными аспектами безопасности: делаются некоторые исправления и затем не осуществляются контрольные процедуры, необходимые для того, чтобы гарантировать, что проблемы действительно были устранены.
4. Надежды возлагаются, главным образом, на межсетевой экран.
5. Не осознование того, сколько стоит информация и репутация организации.
6. Поощрение реактивных краткосрочных мер, после принятия которых те же самые проблемы бысто возникают снова.
7. Ожидание что проблема исчезнет сама, если ее проигнорировать.

Одинадцать основных ошибок, совершаемых специалистами в области информационных технологий

1. Подключение систем к Интернет без предварительного принятия мер по усилению защиты.
2. Подключение тестовых систем к Интернет с оставленными по умолчанию учетными записями и/или паролями.
3. Не обновление систем, после того как в них были обнаружены уязвимости защиты.
4. Использование для управления системами, маршрутизаторами, межсетевыми экранами и PKI telnet и других протоколов, не поддерживающих шифрование.
5. Предоставление пользователям паролей по телефону или смена их паролей в ответ на телефонный звонок или персональную просьбу, когда запрашивающий смену пароля не аутентифицирован.
6. Пренебрежение созданием и тестированием резервных копий.
7. Запуск сервисов, в которых нет необходимости, особенно это касается ftpd, telnetd, finger, rpc, mail и rservices
8. Внедрение межсетевых экранов, правила которых не останавливают злонамеренный или опасный входящий или исходящий трафик.
9. Пренебрежение внедрением или обновлением антивирусного программного обеспечения.
10. Пренебрежение обучением пользователей тому, на что следует обращать внимание и что делать, когда они обнаруживают потенциальную проблему с безопасностью.
11. Разрешение необученным и несертифицированным людям брать на себя ответственность за обеспечение безопасности важных систем.