(рассказ)
Компанией эту организацию неорганизованных сотрудников трудно назвать - не компания, а компашка. Таких ООО-шек работает великое множество на просторах разных рынков товаров и услуг.
Руководитель этой маленькой компании - мой знакомый. Однажды он попросил меня провести аудит у него в офисе. Он знал, что я специализируюсь в области правового обеспечения коммерческой безопасности и не смогу предоставить ему официальный документ с результатами такого аудита без привлечения смежных специалистов.
- Ты же можешь определить явные недостатки безопасности? - спросил он меня.
- Уязвимости, - поправил я своего знакомого. - Уязвимости безопасности.
- Можешь? - настаивал он.
- Я могу сделать проверку безопасности под видом первичного клиента компании, - обнадёжил я. - Потом расскажу тебе о том, какую информацию мне удалось получить при первом посещении твоего офиса.
Так и договорились. Я выбрал время, назначил по телефону встречу с их консультантом и прибыл на полчаса раньше назначенного времени.
Секретарь-референт предложила мне присесть и подождать своего назначенного времени на удобном диване для посетителей.
1. В офисе отсутствовала звукоизоляция от посторонних телефонных разговоров секретаря.
За полчаса я узнал имена нескольких людей, которые звонили директору и руководителям отделов. Секретарь на весь холл сообщала: "Вам звонит такой-то. Соединять?".
Распространённая уязвимость малых компаний, в которых нет гостевой комнаты и секретарь работает на ресепшине в холле.
Когда подошло моё назначенное время, я включил видеокамеру в телефоне, который будто бы зазвонил у меня в кармане. Так с телефоном у уха я проследовал за секретарём, попутно снимая верхнюю часть стен для определения расположения камер видеонаблюдения - камеры отсутствовали.
2. В кабинете офиса была доступна информация о персональных данных сотрудников в виде списка телефонов на стене.
Ценный списочек с фамилиями, должностями и номерами мобильных телефонов я сразу заснял на видео. Обернувшись по часовой стрелке, я зафиксировал на видео всех сотрудников отдела.
Все оказались любопытными и показали мне свои лица, так как им было интересно посмотреть на того кто вошел к ним, так громко разговаривая.
Стандартная ошибка секретаря - не подождала в холле, когда я договорю и уберу телефон в карман. Таким образом мне удалось сделать качественную видеопанораму кабинета.
Я стал изучать бумаги на столе сотрудника-консультанта.
3. В компании слабо внедрён электронный документооборот и сотрудник не убирает на место хранения неиспользуемые документы.
Я выдумал легенду своей сферы деятельности и обнаружил на столе документы, относящиеся к моим мнимым конкурентам. До встречи со мной сотрудник работал с одной компанией из той же сферы деятельности, что и моя "по легенде". Название компании я запомнил.
Стол сотрудника содержал разные лотки для бумаг и стопки папок, на которых можно было прочесть интересную информацию о клиентах.
Перестав вглядываться в документы я начал общение с сотрудником и быстро выяснил, что им можно просто манипулировать.
4. Сотрудник предоставил доступ к своему компьютеру постороннему посетителю.
В доброжелательном эмоциональном разговоре я часто ссылался на сайт своей компании и предложил продемонстрировать то, что по моему мнению может быть интересно для заключения договора.
Прошло несколько минут и я уже завладел мышью ПК и стал открывать главное меню в поисках браузера на компьютере сотрудника-консультанта.
В целях аудита безопасности я открыл "по ошибке" сетевое окружение и успел подождать загрузки ярлыков всех доступных компьютеров офисной сети.
У меня не было цели хулиганить и я не стал сильно притеснять сотрудника, который мог ощущать психический дискомфорт от моих действий. Не желая конфликтовать с клиентом, сотрудник позволял мне совершать лишние действия. Как говорил известный персонаж известного фильма: "Вежливость - главное оружие вора". В данном случае это была вежливость персонала компании.
Поняв, что из этого сотрудника можно сделать ведомого в нужной мне степени, я приступил к имитации заражения компьютера вредоносной программой.
5. Сотрудник подключил к ПК съёмные устройства клиента без совершения элементарных мер безопасности.
Консультант, с которым я вёл переговоры, записал на мою флешку прайс-листы и коммерческое предложение, а также открыл принесённый мной DVD-диск и запустил с него презентационные ролики с макросами.
Я сказал, что нужно разрешить работу макросов - сотрудник так и сделал. Проверка на вирусы не производилась.
Пока мне распечатывались коммерческие документы на принтере (я попросил распечатать, чтобы почитать в дороге), мне удалось узнать о части семейных проблем сотрудницы компании, работавшей за соседним столом и громко говорившей по телефону на личные темы.
Мысленно я начал представлять, как изложить сей факт их директору, чтобы не было серьёзных выговоров сотруднице с его стороны.
Эти и другие недостатки организации безопасности в целом требовали серьёзных изменений:
- проконсультировавшись с техническими специалистами я предложил своему знакомому перечень изменений по технической части, включающий в себя перестройку сетевой архитектуры и внедрения полноценной системы ЭДО;
- от себя лично я предложил знакомому бизнесмену отправить всех сотрудников на тренинг делового общения и тренинг безопасности для сотрудников;
- много предложений было сформулировано мной по организационной части, включающей в себя перепланировку офиса, перепланировку расположения рабочих мест и другие изменения в офисном пространстве.
В конце нашего общения с директором компании произошёл небольшой скандал, возникновением которого послужила моя рекомендация "самому Большому руководителю" срочно пойти на курсы финансового планирования, так как он признал слишком дорогостоящими рекомендуемые изменения и не видел коммерческой выгоды для совершения таких затрат в своей маленькой компании.
Читайте другие интересные статьи этого канала:
13 ноября 2020 года.
Автор: Демешин Сергей Владимирович (юрист).
Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).