В данной статье рассматривается вопрос разработки комплексного решения задачи по противодействию атакам по вектору «Социальная инженерия» и возможные сложности, с которыми придется столкнуться в процессе работы.
Ключевые слова: информационная безопасность, социальная инженерия, информационная система, обучение персонала, знание, информация, сотрудник.
This article discusses the issue of developing a comprehensive solution to the problem of countering attacks on the Social Engineering vector and the possible difficulties that will have to be encountered in the process.
Keywords: information security, social engineering, information system, personnel training, knowledge, information, employee.
Социальная инженерия — один из наиболее опасных и актуальных векторов атак на информационные системы в наши дни, поскольку использует для проникновения самый уязвимый компонент — персонал. Программные и аппаратные средства защиты и обработки информации модернизируются каждый день, а скриптам (от англ. «script», в психоанализе — автоматизированные формы поведения, сложившиеся прижизненно, избавляющие от необходимости сознательно рассчитывать каждый шаг) [1, с. 10], по которым работает человеческая психология, уже несколько тысяч лет. Они остаются неизменными, и злоумышленники давно научились ими пользоваться. Знание этих скриптов позволяет социальному инженеру проникать в самые защищенные информационные системы, исключительно посредством влияния на персонал, не обладая при этом большим объемом технических знаний и умений.
Т. к. социальная инженерия подразумевает взлом информационной системы в обход технических средств защиты информации, то бороться с такими атаками можно лишь административными мерами. Однако зачастую в организациях административным мерам защиты информации, таким как разработка инструкций, политик, обучение персонала уделяется недостаточно внимания. Как итог, даже при наличии самых надежных аппаратно-программных средств защиты информации, информационные активы таких организаций находятся под угрозой. Для вышеописанной ситуации, когда сценарий информационной безопасности строится таким образом, что внешняя граница прочна и надежна, но внутренняя инфраструктура слаба, исследователями из Bell Labs Стивом Белловином и Стивеном Чесвиком был введен термин «Candy security» [2, с. 18]. Чтобы не допустить такой ситуации, специалисты по информационной безопасности должны обеспечивать как введение современных аппаратно-программных средств, так и разрабатывать и вводить организационные меры обеспечения информационной безопасности.
Какие же меры необходимо применить для защиты активов организации от атак социальных инженеров? Во-первых, это обучение персонала. Большинство пользователей информационных систем не обладают достаточными знаниями в области информационных технологий и не понимают, как работает эксплуатируемая ими система, какую реально ценностью обладает известная им информация и как правильно с ней работать, какие угрозы информационной безопасности существуют и как им противостоять. Эту информацию до рядовых пользователей должен доводить специалист по информационной безопасности, проводя для них различные семинары, инструктажи и тренинги. При этом обучение должно иметь периодический характер, чтобы пользователи не забывали представленную им информацию и постоянно обновляли знания в данной области.
Во-вторых, должен быть проработан набор внутрикорпоративных нормативных актов и документов (инструкций, политик) по правильной работе с информацией и противодействию социальной инженерии. Как правило, на каждую задачу выпускается отдельный документ и одного нормативного акта, который будет доведен до всех сотрудников, должно быть достаточно. Однако есть ряд нюансов. В первую очередь стоит помнить о том, что все сотрудники в силу исполняемых обязанностей и занимаемых должностей имеют доступ к разному уровню информации. Также есть сложности в проектировании содержания таких актов: как писал известный специалист в области информационной безопасности Кевин Митник: «…легко создать правила из разряда «Никогда не…», но могут возникнуть рабочие моменты, при которых из этих правил понадобятся исключения» [2, с 50]. Можно лишь добавить, что порядок действий, производимых при таких исключениях, должен быть также четко регламентирован.
Для защиты информационных активов компании также необходимо использовать упоминаемое выше разграничение прав доступа сотрудников. Да, казалось бы, парадоксально: то, что усложняет процесс разработки нормативных актов в области информационной безопасности компании, применяется для повышения уровня этой самой безопасности. Но это необходимая мера. В компании циркулирует огромное количество различной информации, и нет никакой необходимости в том, чтобы любой сотрудник имел доступ к ней в полном объеме. Права сотрудников в информационной системе настраиваются таким образом, чтобы пользователь имел доступ лишь к той информации, которая ему необходима для выполнения его служебных обязанностей. Такое разграничение позволяет сократить количество возможных утечек информации из компании.
Как можно заметить, создание комплекса мер по противодействию социальной инженерии — задача комплексная и нетривиальная. Заниматься ее решением должны подготовленные специалисты, регулярно актуализирующие свои знания и способные подготовить пользователей информационной системы к возможным угрозам.
Литература:
- Кузнецов М. В., Симдянов И. В. «Социальная инженерия и социальные хакеры». — Петербург: БХВ, 2007. — 368 с.
- Кевин Митник, Вильям Л. Саймон. «Искусство обмана». — Компания АйТи, 2004. — 360с.
