Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Пользователи расценивают данную службу как телефон и не связывают ее с потенциальными угрозами ПО. Болтливая природа IM, вместе с опцией предоставления прозвища весьма расширяет возможности для атаки [47]. На  рисунке 5 показано, как работает имитация при использовании электронной почты и IM.

Рисунок 5 Имитация при использовании IM и e-mail

Социальный инженер (на рисунке выделен красным цветом) исполняет роль известного пользователя и посылает электронную почту или IM-сообщение, рассчитывая на то, что получатели примут их за сообщения от того, кого они знают.

14. Анализ мусора – это ценная деятельность для социальных инженеров. Деловые бумажные отходы неоценимы [19, с. 85], т.к. во время атаки, это может помочь казаться сотрудником организации.
15. Личностные подходы. Самый простой путь получения информации – это попросить об этом непосредственно. Существует четыре разновидности такого подхода [48]:

• запугивание (этот подход может использовать олицетворение полномочий, чтобы принудить жертву исполнить запрос);

• убеждение (самые обычные формы убеждения включают лесть);
• использование доверительных отношений (этот подход требует более долгого срока, в течение которого подчиненный или коллега формируют отношения, чтобы получить доверие и информацию от жертвы);
• помощь (в этом подходе предлагается помощь жертве. Помощь будет требовать, чтобы жертва обнародовала личную информацию).

1.3 Известные социальные инженеры

Одним из самых знаменитых социальных инженеров в истории является Кевин Митник. Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник является автором книг по компьютерной безопасности, посвященным, в основном, социальному инжинирингу и методам психологического воздействия на человека.

Братья Бадир. Несмотря на то, что братья Мушид и Шади Бадир были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в Израиле в 1990-х годах, использовав социальный инжиниринг и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком» [55].

Менее известными социальными инженерами являются Фрэнк Абигнейл, Дэвид Бэннон, Питер Фостер и Стивен Джей Рассел.

2 АНАЛИЗ СОСТОЯНИЯ ИЗУЧАЕМОЙ  ПРОБЛЕМЫ В ОРГАНИЗАЦИЯХ

2.1 Краткие характеристики организаций

Исследование данной проблемы рассматривалось на примерах двух конкретных организаций:

1. Общество с ограниченной ответственностью «Служба Мониторинга – Уфа».
2. Башкортостанское региональное отделение Общероссийской общественной организации «Всероссийское добровольное пожарное общество».

Общество с ограниченной ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа») учреждено решением общего собрания учредителей 25 мая 2011 года, зарегистрировано Федеральной налоговой службой 7 июля 2011 года, действует на основании Устава ООО «Служба Мониторинга – Уфа», действует в соответствии с Гражданским кодексом Российской Федерации, Федеральным законом Российской Федерации от 8 февраля 1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью» и иным действующим законодательством Российской Федерации.

Основные задачи организации – это построение и обслуживание системы передачи информации о пожарах для единой дежурно-диспетчерской службы (ЕДДС) МЧС РФ по РБ, реализация государственных и общественных программ защиты населения и имущества от пожаров [54]. Основой работы организации являются передовые технологии в области радиоэлектронных технологий.

Организация осуществляет следующие виды деятельности:

• производство электромонтажных работ;
• производство радио- и телевизионной передающей аппаратуры;
• производство частей теле- и радиопередающей аппаратуры, телефонной или телеграфной электроаппаратуры;
• производство санитарно-технических работ;
• монтаж прочего инженерного оборудования;
• оптовая торговля прочими машинами, приборами, оборудованием общепромышленного и специального назначения;
• разработка программного обеспечения и консультирование в этой области;
• деятельность в области права;
• консультирование по вопросам коммерческой деятельности и управления;
• предоставление услуг по установке, ремонту и техническому обслуживанию теле- и радиопередатчиков;
• предоставление услуг по монтажу, ремонту и техническому обслуживанию прочего электрооборудования, не включенного в другие группировки;
• оптовая торговля производственным электрическим и электронным оборудованием, включая оборудование электросвязи;
• осуществление научно-технических, научно-исследовательских, технологических, конструкторских, опытно-конструкторских, информационных исследований и разработок, а так же тиражирование и разработка программного обеспечения и наукоемкой продукции с последующим внедрением в производство;
• мониторинг охраняемых объектов по телерадиоканалам;
• удаленный контроль состояния и местоположения объектов;
• проектирование, монтаж и эксплуатационное обслуживание средств охранно-пожарной сигнализации;
• проектирование, монтаж и обслуживание установок пожаротушения, систем противопожарного водоснабжения и дымоудаления;
• монтаж, ремонт и обслуживание систем оповещения и эвакуации при пожаре;
• проектирование систем и средств обеспечения пожарной безопасности зданий и сооружений;
• тушение и разработка мероприятий по предотвращению пожаров;
• иные виды деятельности в соответствии с действующим законодательством Российской Федерации [10, с. 2-3].

Основной деятельностью организации является установка и обслуживание программно-аппаратного комплекса «Стрелец-Мониторинг» (ПАК «Стрелец-Мониторинг), осуществляющего вывод сигнала по радиоканалу, на специально выделенной для этого частоте МЧС, о пожаре в автоматическом режиме (без участия человека) в единую дежурно-диспетчерскую службу (ЕДДС), оповещение хозоргана и пожарные службы, на следующих объектах:

1. Детские дошкольные образовательные учреждения.
2. Специализированные дома престарелых и инвалидов (неквартирные).
3. Больницы.
4. Спальные корпуса образовательных учреждений интернатного типа и детских учреждений.
5. Гостиницы.
6. Общежития.
7. Спальные корпуса санаториев.
8. Спальные корпуса домов отдыха общего типа.
9. Кемпинги.
10. Мотели.
11. Пансионаты.
12. Общеобразовательные учреждения.
13. Образовательные учреждения дополнительного образования детей.
14. Образовательные учреждения начального профессионального образования.
15. Образовательные учреждения среднего профессионального образования.
16. Образовательные учреждения высшего профессионального образования.
17. Образовательные учреждения дополнительного профессионального образования (повышения квалификации) специалистов [6].
18. Коммерческие организации.

Данное оборудование производит ЗАО «Аргус-Спектр» (г. Санкт-Петербург), оно было принято на вооружение МЧС России «Приказом от 28.12.2009 № 743 «О принятии на снабжение в системе МЧС России программно-аппаратного комплекса системы мониторинга, обработки и передачи данных о параметрах возгорания, угрозах и рисках развития крупных пожаров в сложных зданиях и сооружениях с массовым пребыванием людей, в том числе в высотных зданиях» [5].

После монтажа данного программно-аппаратного комплекса, организация занимается мониторингом всех сигналов, приходящих с объектов, а так же техническим обслуживанием оборудования.

Башкортостанское региональное отделение Общероссийской общественной организации «Всероссийское добровольное пожарное общество» (БРО ООО «ВДПО») зарегистрировано Федеральной регистрационной службой 19 декабря 2007 года, действует на основании устава Общероссийской общественной организации «Всероссийское добровольное пожарное общество».

Основные задачи – содействие разработке и реализации государственной политики, целевых и иных программ и проектов, совершенствованию законодательства и нормативно-правовой базы в сфере пожарной безопасности и защиты от чрезвычайных ситуаций.

Организация имеет право заниматься следующими видами деятельности:

• монтаж, ремонт и обслуживание установок пожаротушения;
• монтаж, ремонт и обслуживание установок пожарной и охранно-пожарной сигнализации;
• монтаж, ремонт и обслуживание систем противопожарного водоснабжения;
• монтаж, ремонт и обслуживание систем дымоудаления;
• монтаж, ремонт и обслуживание систем оповещения и эвакуации при пожаре;
• монтаж, ремонт и обслуживание противопожарных занавесов и завес;
• монтаж, ремонт и обслуживание заполнений проемов в противопожарных преградах;
• производство работ по огнезащите материалов, изделий и конструкций;
• монтаж, ремонт и обслуживание первичных средств пожаротушения;
• осуществление трубо-печных работ [9, с. 2-3].

На основании лицензии Управления по контролю и надзору в сфере образования при Министерстве образования Республики Башкортостан от 26 мая 2010 года, БРО ООО «ВДПО» имеет право осуществления образовательной деятельности по следующим образовательным программам: обучение мерам пожарной безопасности (пожарно-технический минимум; противопожарный инструктаж).

Организации, помимо Уфы, имеют филиалы и организации подрядчиков в следующих населенных пунктах Республики Башкортостан:

1. Агидель.
2. Акъяр.
3. Баймак.
4. Белебей.
5. Белорецк.
6. Бижбуляк.
7. Бирск.
8. Благовещенск.
9. Бураево.
10. Дюртюли.
11. Исянгулово.
12. Ишимбай.
13. Красноусольск.
14. Кумертау.
15. Месягутово.
16. Мишкино.
17. Нефтекамск.
18. Новобелокатай.
19. Раевский.
20. Салават.
21. Сибай.
22. Стерлибашево.
23. Стерлитамак.
24. Туймазы.
25. Учалы.
26. Федоровка.
27. Чишмы.
28. Янаул.

Суммарный штат сотрудников составляет – 221 человек.

Организации работают в сотрудничестве с таким органами, как:

1. МЧС РФ по РБ.
2. ЗАО «Аргус-Спектр» (г. Санкт-Петербург».
3. Министерство жилищно-коммунального хозяйства по РБ.
4. Министерство здравоохранения по РБ.
5. Министерство образования по РБ.
6. Централизованная бухгалтерия муниципальных учреждений по РБ.
7. Централизованная бухгалтерия здравоохранения по РБ.
8. ООО «РОССПАС».

2.2 Выявление уязвимостей и оценка рисков

Для того чтобы произвести выявление уязвимостей в организациях, необходимо понять, какая информация обрабатывается. А информация обрабатывается следующего типа:

1. Персональные данные собственников и руководящего состава социально-значимых и других объектов.
2. Банковские реквизиты объектов.
3. Описания объектов, с полным перечислением технических характеристик строений и уязвимых мест.
4. Схемы и документация охранно-пожарных сигнализаций.
5. Схемы подъездных территорий, расположений пожарных гидрантов, поэтажные планы строений.

Каждый вид информации может служить социальным инженерам для извлечения какой-либо выгоды, или для использования в определенных целях (например: терроризм).

В связи с тем, что обрабатывается большой массив информации о социально-значимых, медицинских, образовательных и коммерческих объектах, то к подобной базе данных имеет доступ большое количество сотрудников, которые потенциально могут быть подвержены социальным атакам, что может привести к разглашению конфиденциальной информации, в том числе: персональных данных, коммерческой тайны и другой служебной информации.

Осознав всю широту спектра существующих угроз, необходимо было выполнить три действия для создания системы защиты сотрудников от угроз, связанных с использованием социального инжиниринга. Необходимо помнить, что эффективность защиты во многом определяется во время ее планирования. Чтобы не допустить угроз, было выполнено три следующих действия:

1. Разработаны стратегии управления обеспечением безопасности. Были определены задачи защиты от угроз, связанных с социальным инжинирингом и назначены сотрудники, отвечающие за их выполнение.
2. Оценка риска. Была проанализирована каждая угроза и определена, насколько она опасна для организации.
3. Интеграция принципов защиты от атак социальных инженеров в политики безопасности. Были разработаны и задокументированы политики и процедуры, которые  регламентируют действия сотрудников в ситуациях, которые могут оказаться атаками социальных инженеров.