we-enter
19:09 / 28 Сентябрь 2014

Услужливый дурак опаснее врага

Услужливый дурак опаснее врага

Статья Андрея Глебовского о том, как защищать конфиденциальную информацию компании.

we-enter

Умные люди знают, что можно верить лишь половине того, что нам говорят. Но только очень умные знают, какой именно половине.  («Пшекруй», польский журнал)

Сегодня вряд ли нужно кого-то убеждать в том, что конфиденциальную информацию компании необходимо защищать, но далеко не все представляют себе, как это сделать. Все попытки вложения огромных средств в совершенствование технических способов защиты информации будут безрезультатными, если в сознании каждого сотрудника на уровне условного инстинкта не выработаны навыки сохранения в тайне от посторонних любой информации, которая хоть чем-то, прямо или косвенно, может повредить его компании.

По данным немецкой организации Corporate Trust, 75% предприятий признаются, что проблема промышленного шпионажа становится для них всё более актуальной: 22% сотрудников немецких компаний делились инсайдерской информацией благодаря применению такого метода, как социальная инженерия, то есть выбалтывали секретные данные, даже сами не подозревая об этом.

Мы полагаем, что в реальности процент сотрудников, которые в силу своей неподготовленности становятся легкой и лакомой жертвой синжеров (специалистов по применению методов социальной инженерии), гораздо выше. Основанием к такому неутешительному выводу служат результаты экспресс-опросов различных категорий обучающихся, проведенных преподавателями учебного центра «Информзащита» в 2012– 2013 годах. По итогам этих исследований складывается весьма удручающая картина:

• большинство (более 70%) слушателей заявили, что в их компаниях не обучают персонал противодействию попыткам выуживания из них конфиденциальной информации;

• столько же слушателей сообщили, что не имеют представления о том, что такое разведопрос и как его распознать;

• более половины слушателей никто никогда не обучал тому, как правильно строить беседу с незнакомцем и на основании каких признаков можно заподозрить его в попытке получения конфиденциальной информации;

• около 90% слушателей заявили, что при трудоустройстве они дали подписки о неразглашении коммерческой тайны и на этом все их познания в области противодействия любопытствующим субъектам с криминальными намерениями исчерпаны.

Между тем социальная инженерия – это очень эффективный метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии личности.

Кроме того, она может стать способом целенаправленной манипуляции поведением человека для получения некоторого злонамеренного результата.

Основная цель «социальных инженеров», как и других хакеров и взломщиков, – получение доступа к защищенным системам с целью кражи информации. Только в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора.

Шпионы всегда виртуозны, обладают навыками общения и выуживания информации из ничего не подозревающего собеседника. Они обоснованно полагают, что наряду с артистизмом телефон – их главное оружие. Благодаря ему можно оставаться анонимным и в то же время иметь с жертвой прямую связь. Последнее важно потому, что непосредственный контакт не дает собеседнику времени обдумать положение и взвесить все за и против. Решать нужно немедленно, причем под натиском гнущего свою линию синжера. Поскольку в телефонном разговоре мы обмениваемся только звуковой информацией, большую роль в принятии решений играют интонация и голос собеседника.

Пример

Задача, стоящая перед синжером: выяснить номера мобильных телефонов генерального директора компании жертвы для последующего проведения мероприятий по организации перехвата его телефонных переговоров и отслеживания его перемещений.

Условия атаки:

— фамилия, имя и отчество генерального директора, а также телефон компании известны из интернета;

— из рекламы на сайте компании синжер знает, что она тесно сотрудничает с каким-то министерством в рамках госзаказа;

— синжер обладает достоверной информацией об отсутствии генерального директора на рабочем месте.

Синжер выбирает роль разгневанного руководителя вышестоящего уровня. Звонок на ресепшен:

Это Васильев из министерства. Ну, где шляется ваш Александр Иванович?! Второй час не могу дозвониться ему на мобильник! Что за бардак там у вас? (Таким резким наездом синжер внушает секретарю, что звонящий по социальному статусу гораздо выше генерального директора, что близко с ним знаком, что этот «большой начальник» разгневан. Естественная реакция – сгладить конфликтную ситуацию.)

— Александр Иванович выехал на переговоры, будет через два часа. — Не могу ждать целых два часа! Вы хоть понимаете, какой скандал будет, если вы сорвете выполнение госзаказа? (Вводит секретаря в паническое состояние, перекладывает на него груз ответственности и наступления неблагоприятных последствий.) Срочно найдите его, и пусть он со мной свяжется, мой телефон он знает. (Еще раз акцентирует внимание на своем близком знакомстве с генеральным директором. Секретарь оказывается на острие решения важнейшей проблемы, но он психологически не готов решать такие вопросы.)

Шпионы всегда виртуозны, обладают навыками общения и выуживания информации из ничего не подозревающего собеседника.

— Хорошо, я попробую его найти как можно быстрее, он вам перезвонит.

— Да не пробовать, а срочно действовать надо! (Усиливает момент паники.) Впрочем, на вас надежды мало, вы со своим бардаком все испортите. Сам буду дозваниваться, это надежнее. Он мне дал номер своего мобильного, который на 57 заканчивается, но тот не отвечает. Еще у него мобильные есть? (Секретарь не может достоверно знать, пользуется ли генеральный директор мобильным телефоном с цифрами 57, которые синжер назвал наобум. Он инстинктивно хватается за возможность снять с себя груз ответственности и с облегчением перекладывает эту работу на другого.)

— Да, конечно, вот номера его мобильных телефонов...

Если секретарь окажется психологически более устойчивым и не поддастся на провокацию, то возможно развитие ситуации по следующему сценарию:

— синжер поручает секретарю сообщить генеральному директору свой дополнительный номер телефона, по которому «сотрудник министерства» будет доступен в ближайшее время;

— этот номер одноразовый, используется только для проведения конкретной атаки;

— встревоженный секретарь разыскивает генерального директора и в общих чертах рассказывает о звонке;

— генеральный директор действительно опасается осложнений во взаимоотношениях с министерством и перезванивает на указанный ему номер.

Задача выполнена – номер мобильного телефона генерального директора определён.

Синжер, в зависимости от психологического типажа своей жертвы, может использовать маску грозного начальника или наивной секретарши, часто разыгрывает и многие другие роли. Кроме этого, он в совершенстве владеет техникой тщательно замаскированного интенсивного психологического прессинга. Зачастую специалист имеет солидную профессиональную подготовку в оперативно-поисковых подразделениях МВД и ФСБ. По самым скромным подсчётам, только в Московской области действуют более сотни организаций, предлагающих те или иные услуги в области корпоративного шпионажа. Первый же запрос в «Яндексе» выдает больше 200 000 ссылок по этой теме, в том числе на сайты компаний, предлагающих «влезть» в базу интересующей заказчика фирмы и выудить из нее нужную информацию.

Наряду с перечисленными субъективными факторами, способствующими успешной деятельности синжеров, последние активно используют и ряд объективных, делающих атакуемую компанию более уязвимой. Часть из них:

— Большое количество персонала(лично знакомы друг с другом лишь некоторые сотрудники) и постоянная ротация кадров (модель поведения синжера: «Здравствуйте, я новый сотрудник, у меня проблема, помогите»).

— Большое количество функциональных подразделений (люди не знают друг друга).

— Территориальная разбросанность подразделений, множество филиалов (люди вынуждены решать большую часть вопросов по телефону или посредством электронной почты, модель поведения: «Я менеджер Василий из Н-ского филиала, подскажи…»).

— Отсутствие практик сообщения о попытках завладения этой информацией,анализа конкретных ситуаций и организационных выводов.

— Упрощённый доступ в служебные помещения компании – синжер может в течение дня присматриваться к людям, к общепринятой манере общения, психологически проникается внутрикорпоративной атмосферой. При развитых артистических навыках это позволит ему во время атаки чувствовать себя «внутри ситуации» и свободно общаться.

Система противодействия атакам синжеров выстраивается не один день, и одноразовым тренингом с последующей росписью в журнале по «технике безопасного общения» нельзя исчерпывать свою деятельность по организации противостояния методам социальной инженерии: интерес к обучению даже важным навыкам затухает со временем. Поэтому жизненно важно постоянно привлекать внимание сотрудников к изучению предмета безопасности и защиты от атак синжеров. Информация должна обновляться, сопровождаться конкретными примерами. Если кто-то опростоволосился во время учебной атаки – произвести подробный разбор его ошибок, рассказать о последствиях. Не помешает использовать опыт других организаций, судебную практику.

Следует применять приёмы психологического втягивания сотрудника в процесс обеспечения информационной безопасности компании. Аналогия: в обороне каждый солдат имеет свой сектор обстрела и полностью отвечает за то, чтобы противник не прорвался в его зоне ответственности. Если он ослабит наблюдение за своим сектором, то противник уничтожит не только его самого, но и его товарищей. Такой подход, как правило, ободряет лояльных сотрудников, люди чувствуют себя частью слаженного механизма безопасности компании.

Мы не призываем руководство компаний полностью самоизолироваться, абсолютно прекратить общение с внешним миром и направить все усилия исключительно на контрразведывательную деятельность – это невозможно. Но учить своих сотрудников противодействию социальной инженерии можно и необходимо. Основная задача обучения – показать, в чем состоит опасность «социальной инженерии», что такое разведопрос, какими способами он проводится и как распознать, что из вас пытаются вытянуть информацию, как поступить в такой ситуации и так далее.

we-enter