Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

При хранении поистине важной информации, следует менять пароль раз в месяц. Такой способ рекомендует Microsoft, и так поступают крупные структуры, включая банки.

Обратный социальный инжиниринг строится на трех факторах:

• создание ситуации, которая вынуждает человека обратиться за помощью;
• реклама своих услуг или опережение оказания помощи другими людьми;
• оказание помощи и воздействие.

Если незнакомый человек оказывает услугу, а потом просит сделать что-либо, ни в коем случае нельзя это делать, не обдумав то, что он просит.

Социальный инженер чаще всего выбирает целью сотрудников, у которых ограниченные знания в области использования компьютеров.

Так же новые сотрудники организации являются целями социальных инженеров, в связи с тем, что новые сотрудники не знают всех процедур предоставления и обработки информации в организации. Это связано с попыткой создания хорошего впечатления о себе и желания показать, как быстро и хорошо они могут работать и откликаться на просьбы.

Прежде, чем новым сотрудникам будет разрешено получить доступ к компьютерным системам, они должны быть обучены правилам безопасности, в особенности правилам о нераскрывании паролей.

Одна основная часть решения: необходимо назначить сотрудников в каждом отделе, которые будут работать со всеми просьбами об отправке информации вне группы.

Личностный подход. Самым простым способом получения информации для социального инженера является просьба. Существует четыре разновидности такого подхода:

• запугивание (этот подход использует олицетворение полномочий для принуждения исполнения запроса);
• убеждение (самые обычные формы убеждения включают лесть);
• использование доверительных отношений (этот подход требует более долгого срока, в течение которого социальный инженер формирует отношения для получения доверия и информации от объекта);
• помощь (помощь будет требовать, чтобы сотрудник обнародовал какую-либо информацию).

Схема с использованием запугивания с ссылкой на авторитет работает особенно хорошо в том случае, когда сотрудник, против которого используют запугивание, имеет достаточно низкий статус в организации. При использовании важного человеческого имени пропадают не только подозрения, но и появляются такие свойства, как внимательность.

Защитой против нападения запугивания является развитие культуры «отсутствия страха из-за ошибки», если нормальным поведением является вежливость, то успех запугивания уменьшается.

Необходимо помнить, что неприемлемо зависеть от чьего-либо авторитета. Следует избегать влияния авторитета в дружеских или деловых отношениях, но без нанесения вреда общению. Более того, такие действия должны приветствоваться высшим руководством.

Защитой от убеждения является строгое следование инструкциям и политикам безопасности.

Нападения «помощи» могут быть сокращены, если имеется эффективная техническая поддержка. Внутренний помощник – часто результат потери доверия к существующим услугам технического отдела организации. Для предотвращения таких атак:

• необходимо закрепить в политике безопасности, что технический отдел – это единственное место, куда нужно сообщать о проблемах;
• следует гарантировать, что технический отдел имеет согласованный процесс ответа в пределах установленного уровня обслуживания;
• необходимо проверять выполнение сервисных работ регулярно, чтобы удостовериться, что сотрудники получают подходящий уровень ответов и решений.

Существует два правила, которые позволяют избежать такие типы атак.

1. Ни один из сотрудников организации не должен знать больше, чем ему положено знать по должности. Это связано с тем, что большинство людей не умеют хранить секреты.
2. Данное правило применяется в случаях, когда у кого-то из сотрудников возникает желание с кем-то поделиться информацией. В трудовом договоре с сотрудником обязательно должно быть четко прописано, что является коммерческой тайной (приложение А), а так же  должен быть пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником. Так же сотруднику необходимо четко разъяснить, что согласно ст. 7, 8, 10 и 11 Федерального закона «О коммерческой тайне» [4] работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые, по мнению работодателя, являются коммерческой тайной организации, и за разглашение которой он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 4 этого закона, сотрудник обязан будет возместить причиненные организации убытки, которые возникли в результате разглашения конфиденциальной информации (размер убытков устанавливает суд). Известно, что после такого инструктажа у большинства сотрудников мысль разгласить чего-либо пропадает в момент появления. Специально для тех сотрудников, которым этого мало, можно объяснить, что вся коммерческая информация является собственностью работодателя. Из чего следует, что воровство такой информации можно рассматривать как воровство имущества, что является предметом соответствующей статьи Уголовного кодекса (ст. 159 УК РФ) [8, с. 54]. Кроме того, можно сообщить сотрудникам, что  за хищение такой информации, можно инициировать судебное разбирательство по четырем статьям Уголовного кодекса: ст. 159 («Кража»), ст. 272 («Несанкционированный доступ к компьютерной информации»), ст. 183 («Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну») и ст. 146 («Нарушение авторских и смежных прав») [8]. Практика показывает, что когда перед сотрудниками появляется возможность получить уголовное преследование за кражу информации, они становятся намного осмотрительнее в своих действиях. (в приложении Б предоставлен документ «Обязательства о не разглашении коммерческой тайны организации»).

Так же сотрудникам следует знать несколько правил, которых желательно придерживаться и стараться не откланяться от данного списка. Это даст возможность при попытке манипулирования социальным инженером, заметить и пресечь эти действия.

1. Репутация. Чем больше репутация у сотрудника в организации, тем меньше шансов, что он будет подвергнут атаке со стороны социального инженера.
2. Споры. Любой спор необходимо избегать – это учит быть уравновешенным и не принимать быстрых, и порой, неправильных решений, это требование оставляет сотрудника хладнокровным в любой ситуации и помогает трезво оценивать ситуацию.
3. Сплетни. Желательно стараться ни с кем не обсуждать другого человека, даже пытаться не делиться новостями местного характера (те же сплетни). В разговорах, содержащих сплетни, необходимо выходить из них какими-то историческими фактами. Необходимо плавно менять тему на какую-нибудь из научных для того, чтобы собеседнику данная тема была не интересна, и он был бы вынужден сам изменить тему на более подходящую.
4. Постоянная смена собеседников. У человека существует такое свойство, как быстрое привыкание, как к хорошему, так и к плохому, как только сотрудник привык к другому, он начинает замечать изъяны и ставить на уровень ниже, чем при знакомстве или начале беседы. Человек никогда не сможет поругаться с собеседником, с которым недавно познакомился, но как только они начинают привыкать друг к другу, они начинают себе позволять намного больше, нежели в начальный момент общения. При смене собеседника подразумевается не буквальное понимание «смены партнера», здесь речь идет о том, что желательно не вести продолжительные беседы, а желательно стараться быстро обсуждать важные вещи и по возможности находить нового собеседника и проводить с ним столько же времени в дискуссии. Ни в коем случае нельзя замыкаться в себе и не показываться на глаза другим сотрудникам. Если сотрудника не будут видеть, то первое требование в списке не сможет быть соблюдено.
5. Не посвящение никого в свои проблемы. Каждый будет стараться оказать помощь в решении какой-либо проблемы и тут сотрудник автоматически становится жертвой социального инженера, так как после оказания помощи будет ему обязан.

Информация на бумажных носителях. Необходимо произвести назначение различных категорий информации и определение того, как персонал должен с ними обращаться. Категории должны включать:

• конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
• частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
• ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);
• общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).

Предложения по защите от угроз включают в себя использование запирающихся ящиков и шкафов для хранения папок, а также использования шредеров для уничтожения бумаг.

Анализ мусора. Целенаправленные поиски в мусорном контейнере – общий практикуемый метод для злоумышленников для получения информации, компрометирующую организацию. Цели, направленность и описание подобных атак представлены в таблице 9.

Политика безопасности организации должна включать положение об управлении жизненным циклом носителей, включая процедуры разрушения или стирания.

В связи с тем, что атаки на мусор нельзя считать правонарушениями, следует гарантировать, что персонал организации в полной мере понимает значение выброшенных бумажных или электронных носителей. Необходимо также управлять внутренними отходами. 

Одна из самых эффективных мер при работе с мусором – это спецификация классификации данных. Производится назначение различных категорий информации и определение того, как персонал должен с ними обращаться и уничтожать. Категории должны включать:

• конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
• частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
• ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);
• общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).

 

 

 

 

 

 

Таблица 9 Атаки на мусор

Цели нападения	Описание	Направленность
Бумажные отходы во внешних урнах	Социальный инженер берет бумагу из внешне размещенной урны с мусором для захвата любой уместной информации об организации	Конфиденциальная информация Атака на доверие
Бумажные отходы во внутренних урнах	Социальный инженер берет бумагу из внутренних офисных урн, совершая обход любых рекомендаций защиты	Конфиденциальная информация Атака на доверие
Электронные отходы цифровых носителей	Социальный инженер захватывает информацию и приложения из выброшенных электронных носителей, а также ворует сами носители	Конфиденциальная информация Атака на доверие Ресурсы

«Дорожное яблоко». Для борьбы с этим методом атак, следует проверять на отдельной изолированной машине все поступающие в организацию непроверенные источники информации. Так же всем сотрудникам необходимо воздержаться от самостоятельных экспериментов и передавать носители в технический отдел для проверки.

В правила технического отдела должны быть включены:

• каждое действие технической поддержки должно быть запланировано;
• подрядчики и внутренние сотрудники, которые совершают локальное обслуживание или установку какого-либо оборудования или программ, должны иметь документы, идентифицирующие личность;
• при проведении работ сотрудник обязан перезванивать в технический отдел, чтобы сообщить им время прибытия сотрудника технического отдела и время его ухода;
• каждая произведенная работа должна иметь документы, которые подписываются сотрудниками;
• пользователь никогда не должен обращаться к информации или регистрации на компьютере для обеспечения доступа сотруднику технического отдела.

Пропускной режим. При беспрепятственном передвижении по зданию организации, подвергается опасности частная информация организации. В наше время, когда угроза терроризма нависает над обществом, это больше, чем просто информация, которой можно рисковать.

Единственный выход из этой ситуации – это усилить процедуры идентификации.

Менее распространенным, но более эффективным методом социального инжиниринга является личный контакт с сотрудником.

Ситуация, в которой неправомочный человек следует за сотрудником, проходя в организацию, является самым простым примером нападения с использованием социального инжиниринга.

Защищенность от таких угроз зависит от выполнения сотрудниками действий, которые основаны на эффективной политике безопасности организации, учитывающей три области:

• помещения организации;
• дом;
• мобильная работа.

Необходимые действия, при которых будет невозможно физическое нападение с использованием социального инжиниринга в пределах организации:

• идентификация с помощью фотографий на пропусках;
• книга посетителей, в которой расписывается посетитель и сотрудник, которого он посещает;
• карточка посетителя (бейдж посетителя), которая должны быть видна всегда, пока он находится в здании и которая возвращается при уходе;
• книга подрядчиков, в которой расписывается подрядчик и сотрудник, который уполномочил их работу;
• карточка подрядчика (бейдж подрядчика), которая должна быть видна всегда, пока он находится в здании.