Перейти к основному содержанию
ИТарктика
Максим Бартов
Ведущий специалист отдела организационных методов и средств защиты информации ГАУ РК «Центр информационных технологий»
22.05.2018

Социальная инженерия в компании

Вопрос обеспечения безопасности информации, обрабатываемой в информационных системах, не теряет своей актуальности. Если в начале 1990-х годов Законодательство Российской Федерации рассматривало как объект защиты только информационные системы, в которых обрабатывалась государственная тайна и информация ограниченного распространения, то сегодня закон встает на защиту государственных информационных систем, информационных систем персональных данных, критической информационной инфраструктуры, информационных систем общего пользования, порталов открытых данных. Регуляторы перешли от статического перечня угроз безопасности информации, определяемых базовыми моделями угроз, к динамически расширяемым банкам данных угроз. Вместе с тем, ни один из современных банков данных угроз, созданных в РФ, не рассматривает в качестве объекта атаки персонал организации, а источниками угроз - неаккуратные действия пользователей.

Исследование компании Proofpoint свидетельствует, что социальная инженерия стоит первой в списке 10 самых популярных методов взлома. С каждым годом социальные сети все глубже проникают в нашу жизнь. В информации о человеке остается все меньше белых пятен. Достаточно потратить пару часов на просмотр аккаунтов в социальных сетях – и вы знаете о человеке все! С одной стороны, это упрощает работу сотрудника службы безопасности: легче сформировать психологический портрет работника, как потенциального нарушителя, понять - может ли он стать слабым звеном в системе безопасности компании. Но вместе с тем, личные сведения могут быть использованы конкурентами и другими потенциальными нарушителями. Гораздо проще войти в доверие, зная интересы и слабости человека, чем тратить время и деньги на организацию наблюдения за ним. Получив доступ к аккаунту путем взлома, можно также узнать подробности личной жизни человека и использовать их для атаки.

В любой компании, ответственно относящейся к защите информации, применяется значительное количество средств защиты: межсетевые экраны и средства обнаружения вторжений защищают от сетевых атак, средства защиты информации от несанкционированного доступа и средства антивирусной защиты защищают от атак на программное обеспечение и техническое средство. При этом в отношении социальной инженерии помимо трудноисполнимых и постоянно нарушающихся регламентов и инструкций ничего не делается.

Согласно годовому отчету Human Factor за 2017 год, более 99% вредоносных документов полагались на социальную инженерию и макросы, а не на автоматизированный взлом. Вывод прост: повышение осведомленности сотрудников о безопасном поведении в интернете - ключевой аспект политики безопасности организации.

Только технических средств защиты информации – явно недостаточно. Еще лет десять назад корпоративный стиль включал в себя правила этикета, дресс-код и культуру общения, то неотъемлемой частью кодекса корпоративной этики сегодня становится «гигиена поведения» в информационном пространстве. Каждый сотрудник, в особенности тот, кто связан с важной информацией о деятельности предприятия, должен быть осведомлен о правилах информационной безопасности. Как показывает практика, сотрудник просто «прочитавший» политику безопасности организации в лучшем случае усвоил 5% материала. Специалистам служб безопасности необходимо постоянно проводить наглядные обучения и симуляции атак внутри организации. При этом максимально эффективным становится не чтение сложных презентаций с большим количеством текста, а проведение корпоративных бизнес-игр по информационной безопасности. На таких мероприятиях до сотрудника в простой форме доносится важная мысль: он - ключевое звено в системе информационной безопасности предприятия, поскольку ни одно техническое средство не может до конца контролировать главный носитель информации – человеческое сознание. Только попавшись на учебную фишинговую ссылку, сотрудник поймет: на нем лежит большая ответственность во враждебном киберпространстве. Не стоит забывать и о контроле над действиями пользователя. Каким бы неэтичным это ни казалось, но тотальное применение правильно сконфигурированных DLP-систем - жизненная необходимость в крупных компаниях.

При создании системы защиты информации предприятия важно грамотно мотивировать сотрудников.  Наиболее действенным способом мотивации до сих пор остается материальный. Премирование сотрудников за грамотное поведение в момент фишинговой атаки работает особенно эффективно. Если финансисты считают, что платить за не случившийся риск неоправданно, то стоит напомнить, что даже успокоительное для руководства будет стоить дороже. Но не стоит перегибать палку. Сотрудник должен воспринимать предотвращение фишинговой атаки не как выдающееся достижение, а как элементарное правило. Помните о методе кнута и пряника. Работники должны знать, что за нарушение политики информационной безопасности их ждет неминуемая ответственность: дисциплинарное или финансовое взыскание. Важно донести до них простую мысль: информация — это не абстракция, а предмет, имеющий цену.

Суммируя все вышесказанное, можно сделать вывод: несмотря на то, что в Законодательстве РФ человеческий фактор как источник и объект атаки практически не рассматривается, действия персонала подлежат обязательному контролю со стороны службы безопасности. При этом должны применяться самые современные средства защиты информации, должна быть разработана логичная и простая политика информационной безопасности. Служба безопасности должна не только выдавать замечания, но и доступно объяснять, что комплексная защита объектов информации начинается с рядовых сотрудников и заканчивается руководством предприятия. Только при условии, что весь коллектив вовлечен и заинтересован, чтобы правила и политики информационной безопасности неукоснительно соблюдались, возможна защищенная, без сбоев, работа организации.