» Тот, кто владеет информацией… или Персонал как слабый элемент системы безопасности компании


Тот, кто владеет информацией… или Персонал как слабый элемент системы безопасности компании


21.03.2010

В современном обществе информатизация и компьютеризация приобретают большое значение. на сегодняшний день информация является одним из важных и дорогих ресурсов компании, поэтому ее защита является стратегической и приоритетной бизнес-задачей любой организации. Любая информация в организации защищается людьми, и основными носителями информации тоже являются люди с обычным набором комплексов, слабостей, на которых, зачастую, и играют, достигая свои цели, социальные хакеры. защититься от них можно только зная их методы работы.

Информация является одним из наиболее ценных ресурсов компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных бизнес-задач.
При построении системы защиты информации в большинстве случаев нередко учитывают лишь технологические угрозы информационной безопасности, оставляя уязвимой другую, не менее важную часть этой системы — персонал. Можно поставить самые совершенные системы защиты, и все равно бдительность нельзя терять ни на минуту, потому что в схеме обеспечения безопасности есть одно очень ненадежное звено — человек. Анализируя причины и методы взлома программного обеспечения или каналы утечки информации из различных структур, исследователи пришли к выводу о том, что примерно в 80% причина этого — «человеческий фактор» сам по себе или умелое манипулирование им. Соответственно, кадровая безопасность должна занимать доминирующее положение по отношению к другим элементам системы безопасности компании, так как она «работает» с персоналом, кадрами, а они в любой составляющей первичны.
Обращаясь к истории, можно увидеть, что хакерство первоначально имело больше положительных, нежели деструктивных свойств. Еще на рубеже 80-90-х гг. прошлого столетия хакерство было сродни некому интеллектуальному виду спорта, в котором демонстрировалось превосходство нового поколения неуловимых гениев-изобретателей. Хакеры находили уязвимые места в программах, указывая программистам на ошибки, помогая улучшать и развивать продукт. Например, история появления компьютерных вирусов начинается с изобретения программы, которая позволяла программистам использовать ресурсы чужой машины, пока на ней никто не работает (Маркоф, Хефнер, 1996). Эта романтическая забава напоминала соревнование, в котором разработчики программных продуктов состязались в силе ума с джентльменами виртуальной удачи, а правоохранительные структуры разных стран и организаций беспомощно разводили руками — им не хватало ни адекватных знаний, ни законодательной основы. Неудивительно, что тогда большинство успешных хакерских атак сопровождались победоносными надписями «Взломана таким-то!».
Специалисты по криминалистике и юриспруденции определяют хакеров как компьютерных хулиганов, «получающих удовольствие от того, что им удается проникнуть в чужой компьютер». До появления компьютерных сетей для совершения преступления необходимо было добраться до конкретного компьютера, получить разрешение работать за ним. В настоящий момент компьютерные преступления совершаются в основном через сети, и преступник может находиться в другом городе или стране.
При этом виртуальные мошенники и бизнесмены, получающие доход от потоковой продажи краденой информации, успешно используют в своем ремесле как отработанные хакерские приемы, так и достижения современной психологии.

Социальная инженерия против компьютерной безопасности

Что же подразумевает под собой емкий для прогрессивного сообщества сегодня англоязычный термин «социальная инженерия»? Чаще всего он является синонимом набора прикладных психологических и аналитических приемов, которые злоумышленники (социальные хакеры) применяют для скрытой мотивации пользователей публичной или корпоративной сети к нарушениям устоявшихся правил и политик в области информационной безопасности.
Между тем изначально в понятии «социальная инженерия» также отсутствовал четкий оттенок злонамеренности — оно применялось для обозначения комплекса специфических знаний, которые позволяют управлять процессом создания, модернизации и воспроизведения некой искусственно созданной реальности, используемой в изобретательской деятельности. По мере наращивания коммерческой ценности информации и экспансии информационных технологий в сферы обеспечения жизнедеятельности цивилизованного общества ситуация в корне изменялась.
В основе социоинженерного подхода лежит системность, подкрепленная методологией и анализом, которая и позволяет сочетать технологическую инновационность, инженерную точность расчетов с социально-психологическим моделированием. Мастерское владение этими инструментами является залогом успешного выстраивания поведенческой модели людей, «добровольно» и «самостоятельно» действующих в нужном социальному инженеру направлении. Нетрудно догадаться, что интеллектуальным тренажером для мастеров данного жанра может стать практически любая предметная область, предполагающая использование «человеческого фактора» и формирование морального климата, побуждающего людей к запланированным действиям. Здесь и политическое лоббирование, и консалтинг, и рекрутмент, и управление проектами, и личностное/организационное проектирование, и выстраивание «внешнеполитических» отношений.
Говоря языком психологии, социальная инженерия построена на умении манипулировать другими людьми.
Существует большое количество видов и методов манипулирования, вот только некоторые из них:
психологическая атака — метод активного воздействия на психику человека с целью отключения логического мышления: произведения положительного (отрицательного) впечатления или введения в состояние растерянности с последующим побуждением человека к нужной реакции;
психологическое программирование — метод однообразного или настойчивого воздействия на психику человека с целью выработки алгоритмов его поведения и образов мышления;
психологическое манипулирование — метод двойственного воздействия на психику человека, целью которого является поставить человека в положение выбора линии поведения между двумя альтернативами (между хорошим и плохим, добром и злом);
психологическое давление — метод внушительного воздействия на психику человека с целью принуждения его к определенным действиям.
Часто случается так, что «жертвы» психологической манипуляции не подозревают, что стали объектом атаки. В частности, это обстоятельство значительно затрудняет установление
факта инцидента и его последующее расследование. Кроме этого, не всегда удается точно определить, были ли действия сотрудника умышленными или нет, и определить степень ответственности и меру взыскания, накладываемую на сотрудника.
Для получения требуемого результата социоинженеры обычно сочетают различные приемы по управлению амбициями и поступками как легальных пользователей сети, так и хакеров-любителей, получающих несанкционированный доступ к конфиденциальным данным «из любопытства» либо «по незнанию».
Простой пример — столь распространенная продажа «конфиденциальных» баз данных, которая пока еще процветает на многочисленных рынках пиратских CD. С помощью этих «игрушек» любой мало-мальски знакомый с компьютером человек может попробовать себя в роли настоящего хакера, благо продавцы-консультанты любезно готовы провести ликбез по взламыванию паролей и обучить прочим «невинным фокусам». Между тем в результате таких «шалостей» и откровенного вредительства под угрозой оказывается целостность информационных систем органов власти, бесперебойная работа систем жизнеобеспечения градообразующих предприятий и мегаполисов регионального значения, а уж об убытках коммерческих организаций и их клиентов и говорить не приходится.

Как работают хакеры-социоинженеры

В основном используются два возможных сценария развития событий. Первый — собственно социальная инженерия, или как ее еще называют, прямая социальная инженерия (ПСИ). Она предполагает непосредственный (прямой) выход социоинженера-хакера на интересующую его (или заказчика) организацию и мастерски разыгранный спектакль (социальная атака), в ходе которого тщательно изучается круг лиц, имеющих доступ к интересующим злоумышленников материалам, анализируются возможные пути выхода на него и цепочки обманных действий, позволяющих корпоративной информационной системе принять социохакера (или засланного им представителя — инсайдера) за своего. Затем в действие идут уже отработанные годами хакерские приемы.
Второй сценарий получил распространение и «автономию» относительно недавно. Его принято называть reverse social engineering, или обратная системная инженерия (ОСИ). Главное отличие ОСИ от ПСИ состоит в том, что представитель компании-жертвы сам обращается к хакеру за помощью в устранении своих проблем. Этому, как правило, предшествует мелкая диверсия, в ходе которой хакер-инженер инициирует неполадку в работе компьютера, подключенного в сеть. Расчет на то, чтобы масштаб бедствия представлялся пользователю небезнадежным, но при этом устранить его собственными силами он не мог. Дальше уже дело социальной техники — как правило, где-то поблизости (например, в списке ICQ-контактов) оказывается обладающий нужными знаниями «хороший знакомый» кого-то из сотрудников (уже дней 10 как общается), либо объявление расположенного неподалеку «центра компьютерной скорой помощи», или сообщение о выгодной акции повышения пользовательской грамотности.
Главное, что все быстро, дешево, и «не требует» обязательного оповещения коллег и топ-менеджеров о позорной ИТ-безграмотности конкретной личности. Совершенно очевидно, что мелкая поломка будет успешно и оперативно устранена, сотрудник компании будет счастлив продолжить общение со своим компьютером, а хакер получит заветные зацепки, с помощью которых он сможет опять-таки оттачивать свое мастерство и находить новые жертвы.
Таким образом, в случае ПСИ на начальной стадии присутствует социальная атака, в случае ОСИ — социальная диверсия. Объединяет же оба упомянутых сценария тщательная проработка методов вхождения в доверие к пользователям сети. Главное для социоинженера и в том, и в другом случае — не ошибиться в расчетах, учесть все мелочи.
По мнению многих специалистов, самую большую угрозу информационной безопасности как крупных компаний, так и обычных пользователей, в следующие десятилетия будут представлять все более совершенствующиеся методы социальной инженерии, применяемые для взлома существующих средств защиты. Хотя бы потому, что применение социальной инженерии не требует значительных финансовых вложений и досконального знания компьютерных технологий. Исследования показывают, что людям присущи некоторые поведенческие наклонности, которые можно использовать для осторожного манипулирования. Многие из самых вредоносных взломов систем безопасности происходят и будут происходить благодаря социальной инженерии, а не электронному взлому. Следующее десятилетие социальная инженерия сама по себе будет представлять самую высокую угрозу информационной безопасности.
На сегодняшний день одним из самых распространенных видов социальной инженерии является фишинг.
По сути фишинг — это выведывание информации для доступа к банковским счетам доверчивых пользователей. Он распространен в тех странах, где пользуются популярностью услуги интернет-банкинга. Чаще всего «фишеры» используют поддельные электронные письма, якобы присылаемые банком, с просьбой подтвердить пароль или уведомление о переводе крупной суммы денег.
Суть фишинга сводится к следующему. Злоумышленник заставляет пользователя предоставить ему какую-либо секретную информацию: информацию о банковских счетах, кредитных картах и т.д. Самое важное в том, что жертва совершает все эти действия абсолютно добровольно — фишеры хорошие психологи и действуют четко.
Выделяют три основных вида фишинга: 1) почтовый; 2) онлайновый; 3) комбинированный.
Суть почтового фишинга в том, что жертве отправляется электронное письмо, в котором содержится просьба выслать те или иные конфиденциальные данные. К примеру, от имени интернет-провайдера с похожего (или идентичного) почтового адреса отправляется письмо, в котором написано, что по провайдеру нужно узнать логин и пароль для доступа в Интернет указанного пользователя, так как сам провайдер по тем или иным техническим причинам (например, база «рухнула») этого сделать не может.
Онлайновый фишинг заключается в том, что мошенники один в один копируют какой-либо из известных сайтов, причем для него выбирается очень похожее доменное имя (или то же самое, только в другой зоне) и создается идентичный дизайн. Данный вид фишинга иногда еще называют имитацией бренда.
Комбинированный фишинг является объединением двух предыдущих видов фишинга. Его появление вызвано тем, что почтовый и онлайновый фишинг уже несколько устарели, да и пользователи стали грамотнее в части информационной безопасности. Так же как в онлайновом фишинге создается поддельный сайт, а потом, как в почтовом фишинге, пользователям отсылаются письма с просьбой зайти на этот сайт. Это достаточно сильный психологический ход, благодаря которому комбинированный фишинг сразу же получил огромное распространение. Дело в том, что посетители стали настороженнее, и уже немногие просто так скажут свои пароли (хотя и такие встречаются). А в комбинированном фишинге эта настороженность как раз и снимается благодаря тому, что в письме пользователя не просят сообщать какие-либо конфиденциальные данные, а просто просят зайти на сайт. Пользователю просто предлагается зайти на какой-либо сайт и самому проделать все необходимые операции.
В России первый зарегистрированный случай фишинга датируется маем 2004 г., когда клиенты Сити-банка получили по электронной почте письма с просьбой зайти на сайт банка (лжесайт, естественно) и подтвердить номер своей карты и ПИН-код.
Более опасным видом мошенничества, чем фишинг, является так называемый фарминг — изменение адресов так, чтобы страницы, которые посещает пользователь, были не оригинальными страницами, а фишинг-страницами. Поскольку суть фарминга сводится к автоматическому перенаправлению пользователей на фальшивые сайты, фарминг гораздо более опасен, чем фишинг, так как в отличие от последнего новый метод хищения данных не требует отсылки писем потенциальным жертвам и соответственно их ответа на них. Это, естественно, более изощренный, хотя и технически намного более сложный метод мошенничества, чем фишинг. Но зато при фарминге у пользователя практически нет причин проявлять свою недоверчивость. Пользователь сам по своему желанию решил зайти на сайт банка, и зашел. Только не на оригинальный, а на поддельный сайт.
Еще одним методом похищения секретной информации является способность социальных хакеров использовать такой «человеческий фактор», как невнимательность, беспечность сотрудников организации. В некоторых фирмах, наряду с мощной технической защитой, царит почти полная «демократия». Важные документы могут быть разбросаны прямо на столе невнимательного сотрудника, и чаще всего этот сотрудник оставляет кабинет незапертым, когда выходит. Любая уборщица будет иметь доступ к такой информации.
Еще один социоинженерный канал утечки информации — это различные выставки, презентации и т.д. Представитель компании, который стоит у стенда, из самых лучших побуждений, из-за того, чтобы всем понравиться, нередко выдает самые сокровенные секреты компании, которые ему известны, и отвечает на любые вопросы.
Естественно, законодательства всех стран оказались неприспособленными к этому новому виду мошенничества…

Как с этим бороться

Для защиты пользователей от социальной инженерии можно применять как технические, так и антропогенные средства.
Простейшими методами антропогенной защиты можно назвать:
1. Привлечение внимания людей к вопросам безопасности.
2. Осознание пользователями всей серьезности проблемы и принятие политики безопасности системы.
3. Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.
В крупных западных корпорациях в программу обязательных тренингов для сотрудников часто включают лекции и семинары по предотвращению утечки информации, где детально рассматривают методы социальной инженерии и приемы противоборства им. Однако данные средства имеют один общий недостаток: они пассивны. Огромный процент пользователей не обращает внимание на предупреждения, даже написанные самым заметным шрифтом.
К технической защите можно отнести средства, мешающие заполучить информацию, и средства, мешающие воспользоваться полученной информацией. Наибольшую распространенность среди атак в информационном пространстве социальных сетей с использованием слабостей «человеческого фактора» получили атаки при помощи электронных писем, как то email и внутренняя почта сети. Именно к таким атакам можно с наибольшей эффективностью применять оба метода технической защиты.
Помешать злоумышленнику получить запрашиваемую информацию можно, анализируя как текст входящих писем (предположительно злоумышленника), так и исходящих (предположительно, цели атаки) по ключевым словам. К недостаткам данного метода можно отнести очень большую нагрузку на сервер и невозможность предусмотреть все варианты написания слов.
Средства, мешающие воспользоваться полученной информацией, можно разделить на те, которые полностью блокируют использование данных где бы то ни было, кроме рабочего места пользователя (привязка аутентификационных данных к серийным номерам и электронным подписям комплектующих компьютера, ip и физическому адресам), так и те, которые делают невозможным (или труднореализуемым) автоматическое использование полученных ресурсов (например, авторизация по системе CAPTCHA, когда в качестве пароля нужно выбрать указанное ранее изображение или часть изображения, но в сильно искаженном виде).
Как в первом, так и во втором случае известный баланс между ценностью требуемой информации и работе, требуемой для ее получения, смещается, вообще говоря, в сторону работы, так как частично или полностью блокируется возможность автоматизации. Таким образом, даже имея все данные, выданные ничего не подозревающим пользователем, например с целью массово разослать рекламное сообщение (спам), злоумышленнику придется на этапе каждой итерации самостоятельно вводить полученные реквизиты.
Поскольку суть фишинга состоит в получении паролей и банковских сведений, необходимых для доступа к электронным счетам пользователей, одним из выходов в этой ситуации будет использование генераторов одноразовых паролей, позволяющее обойти этот вид мошенничества. Когда пользователь заходит на сайт банка, для того чтобы получить доступ к своему счету, ему необходимо ввести показанную генератором последовательность символов. Банк применяет тот же алгоритм для создания пароля. Доступ предоставляется только в том случае, когда оба пароля совпадают. Такой пароль нельзя украсть по той простой причине, что доступ по нему можно получить только один раз. Минусы использования такой системы состоят в дополнительных расходах для клиентов. Еще один способ — мобильное подтверждение. Суть этого приема в том, что доступ к карте осуществляется только после того, как пользователь отправит со своего мобильного телефона, номер которого он сообщил банку, какое-либо сообщение.
Еще один метод борьбы — это хеширование паролей конкретного веб-сайта. Хеширование паролей предотвращает кражу конфиденциальных данных путем добавления к паролю информации, специфичной для того сайта, где предполагается применить пароль. Пользователь просто вводит в специальной форме свой пароль, а браузер преобразует его и добавляет необходимую информацию. Суть в том, что веб-сайту, на котором пользователь вводит пароль, этот пароль в чистом виде не сообщается, на сайт приходит уже хешированный пароль. Таким образом, даже если пользователь и введет свой пароль на фальшивом сайте, то хакеры его применить не смогут. На настоящем же сайте применяется та же схема хеширования, что и у владельца карты.
Методы социальной инженерии интересны тем, что они опираются не на компетентность человека в той или иной области, а на законы, которые управляют человеческим сознанием. Социальный инженер, таким образом — это человек, обладающий определенными знаниями о человеческой психике и умеющий эти знания применять. При этом компетентность социального инженера в предметной области жертвы не является решающим фактором (хотя и весьма желательна).
Успех в достижении конкретного результата социального инженера напрямую зависит от степени компетентности его оппонентов по тому или иному вопросу. Например, хорошо инструктированный системный администратор вряд ли предоставит пользователю полномочия в системе на основании телефонного звонка человека, представившегося начальником, в то время как плохо инструктированный и, как следствие — малокомпетентный, — вполне может допустить подобный просчет. Еще одним рычагом, часто используемым социальными инженерами, является некомпетентность аудитории в определенных терминах и предметных областях.
Следует обратить внимание на еще один важный момент. Очень часто, когда речь заходит о безопасности предприятия, в том числе, когда дело касается социальной инженерии, защита идет только от внешней угрозы, совершенно игнорируется то, что опасность может подкрасться изнутри. Пока идет поиск, атаки снаружи, атака происходит изнутри за счет собственных сотрудников. Конечно, немалая часть сотрудников — честные и порядочные люди, но… люди есть люди, а у людей есть пороки. Согласно статистике, процент честных людей равен 30%. 50% готовы нарушить закон в том случае, если они будут уверенны в своей безнаказанности. Оставшиеся же 20% готовы нарушить закон при любых условиях.
Мотивы краж могут быть самыми разными — от недовольств зарплатой до чисто клептоманического стиля поведения. Рассмотрение этого вопроса, с точки зрения инженерии, представляет интерес потому, что именно на тех пороках и играют, как правило, социальные хакеры.
Чтобы не допустить того, чтобы организация стала добычей социальных инженеров социальных хакеров, следует наблюдать за сотрудниками на всех стадиях их развития в организации. Любой сотрудник в организации всегда проходит три стадии развития: 1) устройство на работу; 2) этап работы; 3) увольнение.
При приеме сотрудника на работу необходимо собрать о нем как можно больше сведений, с целью прогноза того, как он поведет себя в той или иной ситуации. Как правило, такую проверку проще всего сделать с помощью стандартных психологических тестов, которые сейчас приведены практически на любом сайте по психологии. Основная проблема в соблюдении этого правила состоит в том, что за сотрудником, если и наблюдают, то только в период его устройства на работу. В лучшем случае — в период его работы на предприятии. И практически никто не проводит работу с увольняющимися сотрудниками, хотя они и представляют основную угрозу для безопасности предприятия. Во-первых, потому что нередко сотрудники увольняются, затаив, по объективным или субъективным причинам, злость на свое, уже почти бывшее руководство. А от злости и до мести недалеко. Во-вторых, сотрудников могут вынудить к увольнению конкуренты, попросив его уволиться не одного, а вместе с клиентской базой. И не допустить этого — основная задача службы безопасности предприятия или тех, кто выполняет ее функции.
Угрозы организационного характера легко реализуемы на практике; специалистам по информационной безопасности необходимо уделять им серьезное внимание. Для защиты информационной системы компании от угроз организационного характера следует:
Разработать, утвердить на уровне руководства и довести до сведения пользователей нормативные документы по информационной безопасности: политику безопасности, инструкции и регламенты по использованию средств обработки информации, правила предоставления доступа к информационным ресурсам. Должна быть предусмотрена ответственность за невыполнение требований данных нормативных документов.
Обязать каждого сотрудника подписать соглашение о конфиденциальности (о неразглашении конфиденциальной информации, обрабатываемой в компании), которое разрабатывается в соответствии с действующим законодательством и политикой безопасности компании. Предупредить сотрудников о последствиях нарушения соглашения о конфиденциальности.
Периодически проводить психологические тестирования сотрудников; предусмотреть возможность оказания психологической помощи (консультаций) сотрудникам компании.
Периодически проводить обучение пользователей по вопросам информационной безопасности, в частности, детализируя методы, используемые злоумышленниками — социальными инженерами. Обучение пользователей рекомендуется завершать практическим тренингом и зачетом.
Использовать различные программные средства защиты информации, минимизирующие возможное влияние угроз организационного характера.
Подводя итог, можно сказать, что проблема использования методов социальной инженерии действительно существует и игнорировать ее нельзя. Помимо технической защиты следует изучать рекомендуемую психологами практическую информацию, для того чтобы научиться распознавать социальных хакеров и защищаться от них.

Литература

1. Кузнецов В., Семдянов И. Социальная инженерия и социальные хакеры. — СПб.: Изд-во BHV-CПб, 20 07, 368 с.
2. Тихонов В.А., Райх В.В. Информационная безопасность. — М.: Гелиос АРВ, 2006, 528 с.
3. Касперски К. Фундаментальные основы хакерства. — М.: Солон-Р, 2005, 448 с.
4. Алавердов А.Л. Управление кадровой безопасностью организации. — М.: Маркет ДС Корпорейшн, 2008, 176 с.

А. Быкова,
к. психол. н., доцент кафедры «Экономика
и управление организацией» Самарского
государственного технического университета

Ю. Мещерякова,
старший преподаватель кафедры «Экономика
и управление организацией» Самарского
государственного технического университета

А. Гагаринский,
ассистент кафедры «Экономика и управление
организацией» Самарского государственного
технического университета

Словарь управления персоналом
Система защиты информации — совокупность программных, программно-аппаратных и технических средств защиты информации.
Кадровая безопасность — процесс предотвращения негативных воздействий на экономическую безопасность предприятия за счет рисков и угроз, связанных с персоналом.
Социальная инженерия — это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей «человеческого фактора». Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего.
Манипуляция — это вид психологического воздействия, искусное исполнение которого ведет к скрытому возбуждению у другого человека намерений, не совпадающих с его актуально существующими желаниями.
Фишинг (англ. phishing, от password — пароль и fishing — рыбная ловля, выуживание) — вид интернет-мошеничества, целью которого является получение доступа к конфиденциальным данным пользователей. Обычно это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов.

«Кадровик. Кадровый менеджмент», N 5, май 2009 г.



Поиск вакансий


Кадровое агентство Фаворит