Социальная инженерия
Работа из раздела: «
Социология и обществознание»
/
АНОТАЦИЯ
Информация является одним из наиболее ценных ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных бизнес-задач.
С каждым годом и месяцем технические системы защиты все больше и больше совершенствуются за счет постоянного развития современных технологий, учета множества потребностей и различных рисков. К грамотно отстроенным техническим системам защиты можно длительное время не подходить и последние будут исправно выполнять свои основные функции и задачи. Что нельзя сказать о человеке. Люди, так и будут оставаться людьми, со своими слабостями, предрассудками, стереотипами, являясь самым слабым звеном в цепочке безопасности.
В данной работе пойдет речь об эксплуатации «человеческого фактора» при намеренном воздействии (атаке) на который, самые совершенные и дорогостоящие системы защиты, становятся ненужными, неэффективными, попросту игрушками. В современном мире такое воздействие принято называть социальной инженерией.
В работе рассматривается, что такое социальная инженерия в контексте защиты информации. Её происхождение как науки и основных составляющих компонентов. Попытаемся выяснить, кто такие социальные инженеры, какой рейтинг новой угрозы (социальной инженерии) приводит международная статистика, какими знаниями социальные инженеры могут обладать, рассмотрим психологическую составляющую, которую социоинженеры повсеместно используют в своей деятельности и в завершении будет приведен набор методов и средств защиты информации от социальной инженерии.
Данная работа не является исчерпывающей и не может заменить собой ни одну из имеющихся на сегодняшний день научных работ, книг, статей, иных документов по данной тематике. Она не является инструкцией или методическим руководством. Работа является информационно-аналитической введением в предметную область и заставляет читателя прийти к основной мысли сформулированной международным экспертом по безопасности Брюсом Шнайером, что «безопасность - это непрерывный процесс, а не результат» и избавляет читателя от иллюзии абсолютной защищенности, как отдельно взятого человека, так и компании в целом.
Работа будет интересна специалистам профилирующих кафедр по защите информации, информационным технологиям, менеджменту организаций. Также представляет интерес для руководства высшего звена компаний, IT-подразделений и подразделениям по информационной безопасности, сотрудникам службы безопасности, менеджерам по обслуживанию и техническим менеджерам, сотрудникам службы поддержки, менеджерам по коммерческой деятельности, а также всем читателей, проявляющих интерес к данной теме.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
1. ИССЛЕДОВАТЕЛЬСКАЯ ЧАСТЬ
1.1 КОНЦЕПЦИЯ ГАСТЕВА А.К. О СОЗДАНИИ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ КАК НАУКИ
1.2 ОПРЕДЕЛЕНИЕ ПОНЯТИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ И ЕЁ НАПОЛНЕНИЯ
1.2.1 Несколько важных отличительных деталей
1.2.2 От Франкфуртская школы к кибернетике и социальной инженерии
1.2.3 Обобщение состава вхождения наук и методов в социальную инженерию
1.3 СОВРЕМЕННОЕ ПРИМЕНЕНИЕ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
2. КОНСТРУКТОРСКАЯ ЧАСТЬ
2.1 СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ В ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ
2.2 ДВА ПРОТИВОПОЛОЖНЫХ ПОДХОДА В СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
2.2.1 Прямая социальная инженерия
2.2.1.1 Несколько слов об аттракции.
2.2.2 Обратная социальная инженерия
2.3 ВЗГЛЯД НА ПРОБЛЕМУ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ МЕЖДУНАРОДНОЙ СТАТИСТИКИ
2.3.1 Исследование проблемы утечки информации в России
2.3.1.1 Портрет респондентов
2.3.1.2 Угрозы информационной безопасности в России
2.4 НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ ОБЛАСТИ ПРИМЕНЕНИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
2.4.1 Финансовые махинации в организации
2.4.2 Бесплатное приобретение программных продуктов
2.4.3 Бесплатный наем рабочей силы
2.4.4 Информация о маркетинговых планах организации
2.4.4.1 Выставки
2.4.4.2 Интервирование ключевых лиц компании
2.4.5 Кража клиентских баз
2.4.6 Рейдерские атаки
2.5 ОБЩАЯ КЛАССИФИКАЦИЯ АТАК И СВЯЗАННЫЕ С НИМИ УГРОЗЫ, ОСНОВАННЫХ НА МЕТОДАХ СОЦИОТЕХНИКИ
2.5.1 Сетевые угрозы
2.5.1.1 Угрозы связанные с электронной почтой
2.5.1.2 Вредоносные программы
2.5.1.3 Потенциально опасные программы
2.5.1.4 Программы-шпионы
2.5.1.5 Рекламные коды или adware
2.5.1.6 Всплывающие приложения и диалоговые окна
2.5.1.7 Спам
2.5.1.8 Интернет-пейджеры или служба мгновенного обмена сообщениями
2.5.1.9 Приложения класса peer-to-peer
2.5.1.10 Угроза судебного преследования
2.5.1.11 On-line игры
2.5.2 Телефонные атаки
2.5.2.1 Корпоративная АТС/УАТ
2.5.2.2 Техническая служба поддержки
2.5.2.3 На конечного пользователя
2.5.2.4 С использованием технологии VoIP
2.5.2.5 На мобильного пользователя
2.5.3 Поиск информации в мусоре
2.5.4 Персональные (личностные) подходы
2.5.5 Обратная социальная инженерия
2.5.6 Инсайд
2.5.6.1 Угроза утечки конфиденциальной информации
2.5.6.2 Обход средств защиты от утечки конфиденциальной информации
2.5.6.3 Кража конфиденциальных данных по неосторожности
2.5.6.4 Нарушение авторских прав на информацию
2.5.6.5 Мошенничество
2.5.6.6 Нецелевое использование информационных ресурсов компании
2.5.6.7 Саботаж ИТ-инфраструктуры
2.6. НЕКОТОРЫЕ ПРИМЕРЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
2.6.1 Интернет мошенничество
2.6.2 Примеры из практики специалистов по аудиту безопасности
2.7 ОСНОВЫ СОЦИАЛЬНОГО ПРОГРАММИСТА ИЛИ ВВЕДЕНИ В ПСИХОЛОГИЮ ЛИЧНОСТИ И ГРУППЫ
Базовые концепции социального программирования
2.7.1 Трансактный анализ
2.7.2.1 Основные критерии определения параметров характера
2.7.3 Базовые понятия нейролингвистического программирования
2.7.3.1 Игра на человеческих слабостях
2.7.4 Немного о социальной психологии
2.7.4.1 Простая классификация групп
2.7.4.2 Групповые процесс
2.7.4.2.1 Несколько замечаний об антилидерстве
2.7.4.2.2 Краткая классификация видов конфликтного поведения в группе
2.7.4.3 Некоторые особенности толпы
2.7.5 Примеры социального программирования
2.7.5.1 Пожар в кинотеатре
2.7.5.2 Венки на трассе или черный пиар
2.7.5.3 Реклама и антиреклама посредством Интернет
2.7.5.4 Цыганка с картами, дорога дальняя
2.7.6 Управление слухами
2.7.7 Психологические основы поведенческой модели людей
2.7.7.1 Программа «Взаимопомощь»
2.7.7.2 Программа социального подражательства
2.7.7.3 Программа действия авторитета
2.7.8 Потенциальные инсайдеры на предприятии, или не удобные сотрудники
3. ТЕХНОЛОГИЧЕСКАЯ ЧАСТЬ
3.1 ВВЕДЕНИЕ
3.2 ОРГАНИЗАЦИОННЫЕ МЕРЫ
3.2.1 Права локальных пользователей
3.2.2 Стандартизация ПО и унификация платформы
3.2.3 Специализированные(нестандартные) решения
3.2.4 Работа с кадрами
3.2.4.1 Набор правил, который поможет подойти к решении кадрового вопроса грамотно
3.2.4.2 Подход к персонифицированной оценке рисков на основе определения лояльности
3.2.5 Внутрикорпоративная нормативная база
3.2.6 Хранение физических носителей и архивация данных
3.2.7 Система мониторинга работы с конфиденциальной информацией
3.2.8 Меры по защите корпоративного сайта
3.2.8.1 Защита сайта компании от снятия backup у хостинг-компании
3.2.8.2 Рекомендации по правилу ведения форума на сайте компании
3.2.9 Вопросы, которые должны быть рассмотрены в политике ИБ
3.2.9.1 Защита от ряда угроз
3.2.9.1.1 Фишинг
3.2.9.1.2 Вредоносные программ
3.2.9.1.3 Всплывающие диалоговые окна и приложения
3.2.9.1.4 СПАМ
3.2.9.1.5 Угроза судебного преследования
3.2.9.1.6 On-line игры
3.2.9.2 Защита с учетом используемых каналов передачи данных
3.2.9.2.1 Интернет-пейджеры
3.2.9.2.2 Приложения класса peer-to-peer
3.2.9.2.3 Телефония
3.2.9.2.4 Хранение и утилизация мусора
3.2.9.2.5 Социальный или личностный канал
3.3 ТЕХНИЧЕСКИЕ МЕРЫ
3.3.1 Два подхода к защите информации
3.3.1.1 Подход канальной защиты
3.3.1.2 Подход периметральной защиты
3.3.2 Какой из подходов выбрать
3.3.3 Защита от угроз
3.3.3.1 Фишинг
3.3.3.2 Фарминг
3.3.3.3 Вредоносные программы
3.3.3.4 Потенциально опасные программы
3.3.3.4.1 Рекламные коды или adware
3.3.3.5 Спам
3.3.3.6 On-line игры
3.3.3.7 Приложения класса peer-to-peer
3.3.3.8 Фильтрация мгновенных сообщений
3.3.3.9 Фильтрация VoIP
3.3.4 Unified Threat Management
3.3.5 Перехват данных
3.3.6 Ограничения хищения баз данных
3.3.7 Сводная таблица угроз и защиты от них
4. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ
4.1 ОСНОВНЫЕ ЭТАПЫ ПРОЕКТА
4.2 РАСЧЕТ ТРУДОЕМКОСТИ ПРОЕКТА
4.3 ОПРЕДЕЛЕНИЕ ЧИСЛЕННОСТИ ИСПОЛНИТЕЛЕЙ
4.4 СЕТЕВАЯ МОДЕЛЬ ПРОЕКТА
4.5 КАЛЕНДАРНЫЙ ГРАФИК ВЫПОЛНЕНИЯ ПРОЕКТА
4.6 АНАЛИЗ СТРУКТУРЫ ЗАТРАТ ПРОЕКТА
Таблица 4.6 Таблица 4.7. Расчёт затрат на оборудование и расходные материалы.
Таблица 4.8. Суммарные затраты на проекта.
4.7 ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА
4.7.1 Аналитический обзор центра Info Watch за 2007 г.
4.7.2 Расчет потерь компании при взломе одного автоматизированного рабочего места.
4.8 ВЫВОДЫ.
5. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
5.1 ВВЕДЕНИЕ
5.2 ПОДХОДЫ К ПРАВОВОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ ВНУТРЕННИХ УТЕЧЕК
5.3 РЯД НЮАНСОВ СВЯЗАННЫХ С КОММЕРЧЕСКОЙ ТАЙНОЙ
5.4 ВЫВОДЫ
ЗАКЛЮЧЕНИЕ
РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА ДЛЯ САМОСТОЯТЕЛЬНОГО ИЗУЧЕНИЯ
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
ВВЕДЕНИЕ
В современном мире, в котором ключевую роль играет информация, как признак человеческого развития, его жизнедеятельности, интеллектуального развития, как средство достижения тех или иных целей, как инструмент влияния, значимости, управления и власти, значительную роль играют методы, средства, механизмы получения информации и как следствие - механизмы зашиты этой информации.
Современный уровень технологий, интенсивное развитие научно-технической базы, регулярное выделение ряда направлений в новые науки, появление совершенно новых теорий и подходов, современное социальное, экономическое и политическое развитие общества, все более увеличивающаяся и усиливающаяся коммерционализация, ведут к появлению перепроизводства, жесткой рыночной конкуренции (в государственном и частном секторе), постоянному поиску новых рынков сбыта с целью получения максимальной прибыли и выгоды для себя. Это может быть, как желание многократно вернуть затраты на новые технологии, разработки и сами исследования, предшествующие этим разработкам, так и создание монополий на те или иные виды товаров и услуг. В любом случае, сегодня немногие компании занимаются собственным производством, ведут «честные правила» рыночной игры и используют в своей деятельности «белые» схемы ведения финансового учета, т.е. недобросовестная конкуренция, получила новый виток своего развития. Появилось немало компаний, а также независимых специалистов, которые в своей работе используют методы и средства коммерческой разведки, занимаются сами или заказывают «на стороне» информацию, получаемую посредством коммерческого или промышленного шпионажа. Все эти и многие другие факторы, способствуют совершенствованию методов получения, накопления, обработки, передачи и хранения информации, как и её утилизацию. Сегодня, даже самая разрозненная информация о предприятии и её сотрудниках, отдельной взятой личности, или проектах, умело собранная в одном месте «по требованию», может оказаться очень значимой по своему содержанию. Как следствие, увеличивается стоимость и значимость информации. Информационные технологии перестали жить обособленно своей жизнью, вместе с IT-подразделениями и отдельно взятыми специалистами, и стали в большей степени участвовать в бизнес-процессах каждой компании, повышая эффективность работы компании и используемых средств производства, увеличивая её активы. В свою очередь, это не могло не отразиться на регулярно изменяющихся требованиях, критериях и подходах к защите информации. Нынешние требования перестали быть бессвязными и хаотичными, как это было в начале и середине 90-х. Теперь они диктуемы международными организациями, сообществами, государством, стандартами и сертификатами, отдельно взятыми специалистами по защите информации, IT-специалистами, руководством предприятий и самой насущной необходимостью.
В наши дни, понятие risk management не вводит в шок, не является ругательством, перестало быть пугающим, и специалисты, владеющие такими навыками, приобретают высокую рыночную стоимость, а также востребованность на государственном уровне и в частном секторе. Большее число компаний начинает учитывать информационные риски, и осуществляют попытки просчитывать их своими силами или приглашая специализированные компании. Но в отличие от наших западных соседей, наша страна находится в стадии зарождения восприятия и понимания данной проблематики, а также влияние её на увеличение капитализации каждой из компаний. Впрочем, это ожидаемый результат, как следствие отсутствия необходимой и должной подготовки руководства компаний по вопросам информационной безопасности, а также обширному набору информационных рисков, которому подвергается фактически каждая компания в нашей стране. В силу слабой законодательной и нормативной базы, только-только зарождающихся государственных механизмов в России сегодня, любой компании, независимо от формы собственности и организации, приходится учитывать большее число информационных рисков, нежели на западе. Схемы не столь прозрачны и просты, как могут показаться на первый взгляд. В нормативной базе этот вопрос описан достаточно образно и регулирует в большей степени только ту информацию, которую следует отнести к государственной тайне. Большинство западных стандартов и рекомендаций не могут использоваться в чистом виде по отношению к нашим условиям и требуют серьезной доработки и переработки для любой отечественной компании. Исключением могут быть транснациональные компании, в которых могут распространяться ряд стандартов, рекомендаций и учитываться best practice.
Тема информационных рисков очень сложная и интересная. Как правило, её могут наиболее хорошо и полно раскрыть специалисты, получившие многоцелевую подготовку и неплохо ориентирующиеся в различных областях. Обязательно, имеющие стаж трудовой деятельности в качестве аналитиков, специалистов соответствующих подразделений и руководителей, начиная от среднего звена, ответственных за разработку стратегий и бизнес-процессов компании. Указанные требования позволят максимально полно учесть риски компании. Но, бывают исключения, т.к. следует учитывать размер и деятельность компании, её партнерские отношения и клиентуру, законодательную базу страны и экономический уровень развития страны, желание самих студентов и специалистов развиваться и совершенствовать свои навыки. А это в свою очередь зависит еще и от принадлежности конкретного человека к психологическому портрету и типологии человека и факторам, обуславливающие его социальный быт и жизнедеятельность.
Описание большинства информационных рисков и разновидностей аудита информационной безопасности, не является темой данной работы. Я решил остановиться на одном из самых ключевых и важных информационных рисков на сегодняшний день. Речь идет о социальной инженерии в контексте защиты информации. По мнению специалистов Gartner Group и их руководителя исследовательской группы Рича Могулла, в результате проведенных ими исследований на начало 2007 года «именно все более совершенствующиеся методы социальной инженерии, применяемые для взлома средств защиты, будут нести в себе самую большую угрозу информационной безопасности в ближайшие десятилетия». Он считает социальную инженерию угрозой №1 при решении проблемы защиты внутренней корпоративной информации. Из собственного опыта, и изучаемых материалов на протяжении длительного времени могу с досадой и сожалением добавить, как на государственных предприятиях, так и в частном секторе, этому риску придавали и продолжают придавать посредственное значение.
Социальная инженерия сложна в восприятии и понимании, в силу сложности корректности установления связей, «что может следовать из чего». Это восприятие и понимание ко всему прочему в нас притупляется, как искусственно, так и в силу социальной среды в которой каждый из нас живет. Сами того не желая, с методами социальной инженерии мы сталкивается каждый день, начиная с дома (это реклама по ТВ и масса передач социополитического характера, наши дети), продолжая в магазине и транспорте, и завершая на работе. Требуется целостность подходов к самой организации управления компанией от рядового сотрудника до совета директоров. Обязательно, воспитание мышление каждого из сотрудников компании, прививание им корпоративной культуры. Таким образом, без сбалансированности организации и механизмов управления в компании, замотивированости каждого из сотрудников компании, как на собственный интерес работать в компании, так и на получения общего результата и достижения целей компании, начиная от отдельно взятого подразделения и фактическим результатом компании в целом, вероятность уменьшения риска социальной инженерии мала. Это обусловлено тем, что недостаточно учитывать только технологические угрозы информационной безопасности и прикладные навыки, которые могут использовать в своей повседневной работе стратегические подразделения - IT-служба, подразделение или группа защиты информации, служба безопасности. При этом, мы стараемся привить мнение, что сотрудники данных подразделений имеют хорошую подготовку.
Совершенный уровень телекоммуникаций, высокий уровень развития Интернет технологий и сама его доступность в связи с комерционализацией данного сервиса, как для отдельно взятого человека из дома, так и любой компании, существование которой сегодня не представляется без этого сервиса, позволяет злоумышленнику с меньшими для себя затратами получить интересующую его информацию. Обилие интернет порталов наводненные различной технической информацией по методам проникновения и взлому систем, масса технического материала и готовых инструментов/ средств (в виде сетевых сканеров, троянских программ, руткитов, программных закладок, и другого зловредного исполняемого кода и приложений) позволяют желающему человеку получить необходимые и достаточные теоретические и практические знания по информационным технологиям. В частности, позволяет: освоить технологию программирования; освоить несколько языков программирования; изучить сетевые технологии; научиться администрированию различных операционных системы и серверные приложения (как платформеннозависимых, так и платформеннонезависимых от неё); разобраться в ряде современных информационных технологий; научиться выявлять уязвимость систем и программного кода; получить четкое представление о способе организации как проектных групп, так и управления предприятием в целом.
Современные «самоучки», и непосредственно состоявшиеся специалисты объединяются в сообщества программистов, хакеров, крекеров, кардеров и другие группы, управляемые, как правило, высококвалифицированным специалистом в данной области. По различным аналитическим данным возраст участников в таких сообществах и группах составляет от 13-14 лет до 35-38 лет включительно. Создаются специализированные открытые и закрытые интернет порталы, которые позволяют этим сообществам обмениваться материалами, опытом, наработками, брать на вооружения разные идеи и реализовывать их в жизнь, а также осуществлять координацию совместных проектов и набирать в свою команду новых рекрутов. Дополнительно, через эти порталы, осуществляется взаимодействие с подобными им сообществами, территориально разбросанными по всему миру. Также, предусматривается возможность индивидуальных встреч в специализированных клубах. Такое взаимодействие позволяет быстро получать требуемую информацию, добиваться желаемых целей и быстро обучаться и переучиваться. При этом, в подобных группах существует четкая иерархия управления. Людьми движет энтузиазм, общий род занятий в интересной им сфере, возможность учиться и пробовать неизведанное, становясь «гуру» в своем деле и быть персонами underground-культуры. Это позволяет эффективно управлять и манипулировать потенциалом участников группы. Обращает на себя внимание и тот факт, что 2-3 года назад, такие сообщества и их члены, начали специально изучать психологию, методы гипноза и различного манипулирования. В дальнейшем свои наработки и достижения обсуждаются между членами сообщества и предлагаются различные работающие схемы. Достаточно взглянуть на ежемесячные отчеты, публикуемые антивирусными лабораториями, ежегодные отчеты об убытках компаний и связанных с ними рисков, официально публикуемых IDC, Gartner Group, Computer Security Institute чтобы понять насколько эффективно происходит это обучение. Последний год, стали регулярными атаки с использованием методов социальной инженерии в сочетании со спам рассылками. Пользователь сам позволяет похитить свои конфиденциальные и личные данные, осуществить нарушителю «боковой вход» в корпоративную сеть. Попытки нарушения периметра безопасности корпоративных и пользовательских систем перестают быть хаотичными и больше принимают характер целенаправленных, осмысленных действий извне. Обращает на себя внимание злонамеренные действия инсайдеров. Число таких атак за последние три года увеличилось в разы, если не на порядок, по отношению к 2001 - 2004 годам.
Все это, и ряд других факторов, позволяют иначе взглянуть на проблему защиты информации. Следует изменить и саму подготовку обучения/переобучения специалистов по информационной безопасности, IT-специалистов и руководство компаний. Граница, при которой лояльный сотрудник компании становится инсайдером очень тонкая.
За полтора-два года, количество ссылок в Интернете по социальной инженерии увеличилось на порядок, но пройдя чуть больше 1500 ссылок используя такие поисковые системы как Yandex, Google, затратив немало времени на ознакомление с содержанием статей, я не обнаружил желаемой информативности и содержательности статей, обзоров и других материалов. Преимущественно, это дублирование порядка 20-30-ти статей, дополненных авторами разместивших их на своих сайтах или разделах форума. Впрочем, это понятно. Социальная инженерия - наиболее эффективный механизм для использующих его людей, компаний, кадровых агенств и самого государства. Он приносит колоссальные доходы и результаты, не требую при этом больших затрат. И раскрывать наиболее эффективные методы и средства производства в сегодняшние дни многим не выгодно. На лицо ощутим серьезный недостаток материалов и информации. Нельзя сказать, что её вообще нет, как и нет научных изданий, руководств и пособий. Их достаточно, но это недопустимые временные затраты для людей, желающих познакомиться в образовательных целях с методами социальной инженерии и работающих совершенно в других сферах науки и производства. Методы социальной инженерии, это пересечение большого числа наук, теорий и практик, что свойственно междисциплинарной науке. И изложение этого понятия в отечественной литературе ведется преимущественно в научном разрезе. Чтобы для себя подойти к сути вопроса, иметь структурированное представление и видеть прикладную часть, специалисту по информационным технологиям нужно приготовиться к рутинной работе по изучении новых для себя специальностей. Следует учесть, что восприятие и подготовка у каждого читателя всегда разная. В результате, наборы методов на выходе, о которых сложится представление у каждого конкретного человека, будут отличаться друг от друга, следуя от одного читателя к другому. В настоящий момент нет литературы, которая систематизировала бы такие знания. Западные учебники и издания по этой тематике представляют общеобразовательный интерес, хотя и не является бесполезным занятием. Их существенное отличие от наших изданий в том, что они прикладного характера и зачастую, более понятны. Но, они не могут служить руководством к действию, т.к. социальные общества иностранных государств и нашего, сильно отличны друг от друга, по восприятию, культуре, пониманию, традициям и формам «шаблонного поведения», а также технологическому уровню развития стран.
Чтобы закрепить написанное выше, имеет смысл немного углубиться в историю возникновения термина социальной инженерии, когда он получил свое официальное название и стал осмысленным. После чего мы сможем понять, насколько это понятие является практическим или образным, и какие науки являются для него образующими. Сможем подойти к пониманию, кто такой социальный инженер, какими знаниями он может и должен обладать. Опишем некоторый набор механизмов, средств, методов и инструментов, которые наиболее часто используются социальными инженерами. После чего, мы сможем перейти к непосредственному рассмотрению методов и средствам, способных обеспечить защиту информации от социальной инженерии. И в завершении, у нас сложится четкое понимание, для каких корпоративных структур и специалистов будут полезны в практико- теоретических целях знания социотехник.
1. Исследовательская часть
1.1 Концепция Гастева А.К. о создании социальной инженерии как науки
В международной практике, существует распространенное мнение, что социальная инженерия, как осмысленный устоявшийся термин появился в 60-е годы в американской социологии, и соответственно США явились родоначальниками его. Так ли это на самом деле?
В 20-30е годы XX века в нашей стране разворачивается мощное движение за научную организацию труда и управления производством, в котором важную роль сыграли прикладные разработки социальной инженерии.
Впервые в научный оборот понятие социальной инженерии ввел Алексей Капитонович Гастев - руководитель Центрального института труда (ЦИТ) в Москве [1]. Ученый поставил вопрос о комплексной совершенно новой науке о труде и управлении - прикладной 'социальной инженерии'. Эта наука была призвана дополнить прежнюю теоретическую социологию и решить проблему синтеза важнейших аспектов организации трудовой и управленческой деятельности: технического, психофизиологического, экономического. Гастев А.К. рассматривал социальную инженерию, как относительно самостоятельную отрасль исследований. Ее отличительная особенность заключалась в преимущественной направленности не столько на социальное познание (открытие научных фактов или эмпирических закономерностей), сколько на изменение социальной действительности (т.е. методический статус социотехники определялся ориентированностью на внедрение инновационных мероприятий и эффективных практических рекомендаций). Эта наука, по замыслу автора, находится на стыке социальных и естественных наук. Последняя, позволяет позаимствовать точные экспериментальные методы и приверженность к достоверным фактам. Сам Гастев А.К. так характеризует новую науку: «В социальной области должна наступить эпоха. . . точных измерений, формул, чертежей, контрольных калибров, социальных нормалей. Как бы ни смущали нас сентиментальные философы о неуловимости эмоций и человеческой души, мы должны поставить проблему полной математизации психофизиологии и экономики, чтобы можно было оперировать определенными коэффициентами возбуждения, настроения, усталости, с одной стороны, прямыми и кривыми экономических стимулов -- с другой» [1, стр. 30].
Предметом изучения А.К. Гастева являлись не вообще существующие управленческие процессы, а процессы, протекающие в различных сферах общественного производства. Структурно исследование производства включало в себя два раздела: научная организация производственного процесса, теоретической основой которого служили физиология и психология, и научная организация управления, теоретико-методологической базой которой выступала социальная психология. Предметом первой является рациональное соединение человека с орудием, а второго - взаимодействие людей друг с другом в трудовом процессе, что и составляет содержание социальной инженерии как науки о совместной трудовой деятельности людей.
Гастев А.К. четко различает два самостоятельных объекта исследования: управление вещами и управление людьми. Полагая наличие у них общих черт, ученый, не ставит перед собой задачи выявления различий. Проблематика руководства людьми у Гастева А.К. растворяется в сфере технической организации. При всем внимании к процессам, протекающим в системе 'человек - машина', он тем не менее подчеркивает значимость человеческих взаимоотношений в организации и указывает, что «в общей системе ...движения вещей передвижение человека и его воздействие на других...оказалось небольшим, но часто определяющим оазисом» [1, стр 26-27].
Гастев А.К. указывает, что в движении к органической реконструкции всей производственной структуры страны следует начать с главного его элемента - трудящегося. Он подходит к вопросам управления с точки зрения рабочего места (отдельно взятого работника), распространяя полученные выводы на управление цехом, предприятием, государством: рабочий у станка есть директор производства, известного под названием машины - орудия [2, стр. 103]. Умелое обслуживание этой элементарной системы воспитывает в каждом работнике его настоящие управленческие качества, точные, деловые. Именно с упорядочения деятельности отдельного человека, кем бы он ни был - руководителем или исполнителем, должна начинаться работа по научной организации труда и управления. То есть, в центре внимания оказывается первичная клеточка предприятия - работник на своем рабочем месте, а схема научного поиска разворачивается в направлении от микроанализа движений (приемов, операций) к макроанализу предприятия в целом.
В деле организационного строительства встает вопрос о подготовке способных руководителей, наделенных «организационной сноровкой», стратегическим талантом, особыми «социальными» качествами. В понимании Гастева А.К., «организационная сноровка», это внутренняя сила руководителя, которую должны ощущать подчиненные, помогающая влиять, регулировать и координировать усилия участников совместного труда. Гастев говорит: «…организатор обязан владеть навыками управления коллективной работы, иметь непреклонную волю и энтузиазмом, способный вдохновить и сплотить коллектив на основе общей цели». Под управлением он понимает рассчитанное, предусмотрительное руководство, а в понятие 'распорядитель', по его мнению, вносится элемент внезапности, требующего гибкости, маневренности. Искусство управлять невозможно без особого коммуникативного мастерства, без задатков лидера с тем, чтобы вести за собой. Быть психологом - другое неотъемлемое качество руководителя: знать психологию толпы и отдельного человека. Организатору следует учиться регулировать коллективы (как это делает регулировщик уличного движения), направлять, координировать действия, слагающиеся в общий гармоничный поток. Это человек наблюдательности, сигнала и быстрого волевого действия (каковыми являются пожарные), владеющий методом инструктажа (как саперы и военные монтеры), способный рассчитать время по минутам [1, стр. 96-105].
Гастев А.К. полагает, что управленческие функции регулирующего характера как бы автоматизируются (отрабатываются отдельные приемы, методы работы), что их резко отличает от сферы генерального управления, основанного на предвидении и на учете факторов длительного действия. Тем самым, он подчеркивает присутствие своеобразной интуиции, творческого элемента, искусства в работе руководителей высшего и среднего звена. В их задачу входит осуществление планирования - постановка целей, разработка стратегии - и собственно организация - установление особенностей действий и учет ресурсов, необходимых для выполнения плана и принятия решений по распределению полномочий, обязанностей и ответственности. Другая категория руководителей, по замыслу Гастева А.К., контролирует, регулирует деятельность работников, осуществляет инструктаж и текущее консультирование [1, стр. 103]. Таким образом, автор устанавливает иерархию управляющих, определяет их компетенцию.
Отдельным вопросом в организационном строительстве Гастев А.К. выделяет подбор персонала и разработка системы стимулирования труда. Он указывает, что социальная динамика неизбежна и перспективе карьерного роста следует уделять большое внимание, что является соответствием требованию социальной динамики, или «квалификационного движения». Это решает также проблему дисциплины: самоорганизации посредством личной заинтересованности в успехе в условиях господствующей на предприятии атмосферы сотрудничества.
Таким образом, социальная инженерия как наука с принципами ее практической реализации возникла в нашей стране, в рамках так называемой «человеческой инженерии» (human engineering), направленной в основном на повышение безопасности труда и повышение эффективности работы машин, снижение утомляемости работника и обеспечение комфортности в системах «человек - машина».
Об эффективности таких методов и подходов, мы можем судить по значительному и существенному росту экономических и производственных показателей нашего государства в 20-30-е годы. Одним из хороших примером, может служить появление в предвоенные годы такой науки как криптография и достижений в этой области непревзойденных на тот момент и последующие, нескольких десятилетий показателей за какие-то 4-5 года с момента своего зарождения. Так первые, отечественные криптомашины на середину-окончание 41-го года имели такие алгоритмы и стойкость шифров, что признанные лидеры в этой области - немцы, англичане, американцы, поляки, смогли только в 80-е годы расшифровать шифрограммы Штаба Армии, которые передавались в период Великой Отечественной Войны. На 41-год, эта наука у наших политических противников, уже имела несколько десятилетий своего активного развития с самого начала XX века.
Мы подошли к основному пониманию того, что социальная инженерия, это наука, состоящая из ряда других, достаточно сложных наук, объектом которой является изучение человеческого фактора и его природы, и как следствие, последующим конструированием социальной среды в рамках взятой области. В 20-е и позже в 50-е - 60-е годы такой областью являлось отдельно взятое предприятие. Впоследствии, эта область значительно расширилась и стала влиять на всю сферу производства, и распространилась до уровня общества в целом.
Наш соотечественник со своими коллегами заложил базис этой науки и задал ей уверенное и серьезное направление, т.е. увидел и обосновал необходимость в этой науке, определил в общих чертах её структуру и предмет исследования, и сферу приложения. Все раннее определенные им критерии, понятия, характеристики, требования и методы вошли полностью в современную науку социальную инженерию. С учетом развития социокультуры и потребностей общества, этот базис был значительно дополнен и на базе его появились новые науки, направления и научные школы. Так, например, в 20-30-е года появилась наука организации труда (НОТ), в это же время благодаря работе Гастева А.К. и его коллег сотрудников ЦИТа, были заложены основы и механизмы нового направления и в последствии наук - промышленной социологии и психологии труда. Появились целые институты психотехник для подготовки кадров и различных направлений в педагогике.
Американцы не оказались первыми, но их существенная заслуга состоит в другом. В начале 60-х и последующие годы, они хорошо доработали прикладную часть этой науки и составляющих её наук. В это время социальная инженерия стала широко применяться в авиационной и оборонной промышленности США, а также в индустриальной социологии, военной социологии, пропаганде и коммуникациях. Появились целые институты и лаборатории с государственным бюджетированием и неограниченными возможностями. Координация работ всех этих институтов и лабораторий, кооперация и сотрудничество, обработка полученных результатов и выработка совместного направления движения была поставлена на высокий государственный уровень. Вырабатывались общие подходы, и разрозненность в них пресекалась. Достижения лабораторий становились достоянием различных сфер науки, техники и производства.
К сожалению, в нашей стране, такой координации работы и прикладного применения достигнутых результатов, причем повсеместно в сфере производства, не было. Упор был сделан на получение практических рекомендаций и выработку научных методик. Причем, это требовалось делать немедленно. На всестороннюю оценку и анализ, лабораторные опробывания не хватало времени. Это стало недопустимой и непоправимой ошибкой для нашей страны. Множество методов было заимствовано у нас, а ряд направлений, стали на порядки опережать отечественные разработки. Например, западные маркетологи, специалисты по консалтингу, рекламе и PR имеют более высокую котировку, нежели подготовка данных специалистов в отечественных институтах.
1.2 Определение понятия социальной инженерии и её наполнения
Возвращаясь к концепции Гастева А.К., становится ясным предназначение социальной инженерии. Возникает представление о её наполнение, кто такой социальный инженер и какими навыками он должен обладать. Теперь обратимся к современным справочникам, чтобы увидеть, насколько раскрыт данный термин нашими современниками и что они вкладывают в это понятие.
Имеет смысл изначально обратиться к социологическим словарям, учитывая корни происхождения термина.
1. Социальная инженерия - (англ. engineering, social; нем. Ingenieurwesen, soziales.) совокупность подходов в прикладных социальных науках, ориентированных:
- на изменение поведения и установок людей;
- на разрешение социальных проблем;
- на адаптацию социальных институтов к изменяющимся условиям;
- на сохранение социальной активности [3].
2. Социальная инженерия - специально организованная деятельность, направленная на трансформацию социальной реальности (реконструкцию старой или конструирование новой) с помощью социальных технологий [4].
3. Социальная инженерия - теоретическая и практическая деятельность, направленные на создание и использование набора средств воздействия на поведение людей с целью разрешения социальных проблем, адаптации организационных структур общества к изменяющимся условиям и профилактики социальных конфликтов [5].
4. Социальная инженерия - специфическая отрасль прикладной социологии, представляющая совокупность прикладных социальных методов и практической деятельности, связанной с использованием знаний, полученных в общей социологической теории, прикладных исследованиях, а также в практике производственной и иной деятельности, для решения повседневных и перспективных задач совершенствования управления социальными объектами [6].
Ориентируясь на область защиты информации, приведу несколько определений, которые используют специалисты по вопросам защиты информации в своих работах.
5. Социальная инженерия (англ. social engineering) - совокупность подходов прикладных социальных наук, или прикладной социологии, ориентированной на целенаправленное изменение организационных структур, определяющих человеческое поведение и обеспечивающих контроль за ним [7, стр.16].
6. Социальная инженерия - это один из разделов социальной психологии, направленный на то, чтобы внедрять в их сознание некоторую модель поведения и тем самым манипулировать их поступками [10, стр. 32].
7. Социальная инженерия - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным [8].
8. Социальная инженерия - это набор прикладных психологических и аналитических приемов, которые злоумышленники применяют для скрытой мотивации пользователей публичной или корпоративной сети к нарушениям устоявшихся правил и политик в области информационной безопасности [9 ,стр. 20].
Изначально в понятии «социальная инженерия» отсутствовал четкий оттенок злонамеренности. Оно применялось для обозначения комплекса специфических знаний, которые позволяют управлять процессом создания, модернизации и воспроизведения некой искусственно созданной реальности, используемой в изобретательской деятельности.
1.2.1 Несколько важных отличительных деталей
В определениях социальной инженерии, есть некоторые, которые полностью сводят эту науку к методам прикладной социологии или социальной психологии. На самом деле, все обстоит несколько сложнее. При формировании концепции социальной инженерии Гастев А.К. и Витке Н.А. [11] дают следующее существенное замечание: «Социальная инженерия и прикладная социология, несмотря на их сходство, не тождественны. Первая -- это техническая деятельность по совершенствованию организации производства, учитывающая роль социальных факторов и направленная на улучшение условий труда. Основные ее этапы: разработка социально-технического проекта (карта организации рабочего места, хронокарта рабочего и внерабочего времени, оперограммы и т. п.); внедрение практических рекомендаций -- процесс социотехнического нововведения; эксплуатация внедренной системы в условиях нормальной работы предприятия. Прикладная социология в то же время понимается как научная процедура обеспечения производства исходной экономической, технической и социальной информацией. В ее основе -- данные статистики, профессионального тестирования, социологических опросов».
Идею четкого разделения прикладной социологии и социальной инженерии и осознанного понимания этого факта, всесторонне поддерживает руководитель Исследовательской группы «ЦИРКОН» Задорин Игорь, выступая на очередном форуме социологов в 2003 г.: «Используя теоретические знания и владея методологией, прикладной социолог производит информацию в реальном режиме времени, непосредственно участвуя в различных системах социального управления. Хотя при этом надо очень четко выдерживать, на мой взгляд, данную позицию как позицию диагноста и поставщика информации, но никак не переходя за грань, в уже следующую профессиональную позицию - социального технолога. Здесь тоже часто возникает путаница: социальный технолог - это та профессиональная позиция, когда социальная информация превращается уже непосредственно в решения, в рекомендации, в проектирование и далее в конструирование и изменение социальной действительности. Смешение двух позиций во многом подрывает репутацию социологии, когда социологов обвиняют в том, что относится к предмету деятельности социальных технологов - измерение социальной действительности должно быть принципиально отделено от изменения социальной действительности, и это две разные профессиональные позиции. Если социолог четко позиционируется как измеритель, к нему во многом не будут предъявлены те претензии, которые сейчас предъявляются, претензии относительно манипулирования, изменения социальной действительности, изменения того же общественного мнения - это профессиональная позиция социальных технологов, социальных инженеров»[12].
Таким образом, прикладная социология занимается измерением, а социальная инженерия на базе этих измерений, осуществляет или привносит изменения в социальную действительность.
Остается интересным другой вопрос. Почему специалисты по защите информации, наиболее часто используют определения, в которых превалирует понятие прикладной психологии, социальной психологии и в первую очередь говоря о социальной инженерии, подразумевают методы социального программирования?
Ответ на этот вопрос непрост. Отечественные разработки в области информационных технологий не смогли достигнуть той популярности и выйти на должный международный уровень разработок и развития, задавая направление в этой области, как это произошло с прототипом математически-структурной моделью «Машины фон Неймана», ставшей прородительницей современных супер-ЭВМ, персональных компьютеров и вычислительных сетей. В нашей стране, это было связано с разрозненностью отечественных НИИ, ОКБ и рядом лабораторий ведущих разработки в области информационных технологий и создававших прототипы современных ЭВМ и информационных систем. Множество интересных разработок засекречивались и далее использовались в оборонной промышленности. Появилось большое число платформенных решений никак не связанных между собой, как и множество операционных систем под эти платформенные решения, также не способных объединять наработки, либо совмещать платформы. В США, Великобритании, Австралии в 40-70-х годах в рамках научных проектов и государственных программ в университетах продолжались работы по созданию ЭВМ на основе «Машины фон Неймана» и получаемые достижения разных университетов и лабораторий объединялись. Как следствие, развитие телекоммуникаций и информационных технологий на западе оказалось стремительным и перспективным. Но все эти технические и технологические достижения стали сопутствующим результатом научно-исследовательских работ передовых стран, далеко не безобидных, и имеющих одну из основных целей - осуществление тотального контроля над человеческим разумом, как на уровне индивидуума, так и на уровне социальных групп. Именно в результате этих исследований и наработок социальная инженерия приобрела четкие очертания, и направленность на создание абсолютно управляемого общества, основанное на слиянии «человек-машина». Если кратко остановиться на рассмотрении основателей этих направлений и ряде вопросах, решаемых ими в тот период, можно прийти к соответствующим выводам.
1.2.2 От Франкфуртская школы к кибернетике и социальной инженерии
Один из первых проектов, ключевых проектов на эту тему, был начат в январе 1943 г. группой из трех социальных психологов в университете Беркли, штат Калифорния. Это были Элсе Френкель-Брунсвик (основатель Франкфуртского института социальных исследований, известного как «Франкфуртская школа»), Дэниэл Дж. Левинсон и Р. Невитт Санфорд. Целью проекта было изучение корней антисемитизма. Вскоре он превратился в крупнейший на тот момент проект исследования социальных параметров населения США.
В мае 1944 года Американский еврейский комитет (АЕК) создал департамент научных исследований, который возглавил директор Фракфуртской школы Макс Хоркхаймер. Хоркхаймер подготовил проект, названный «Исследование предрассудков», получивший щедрое финансирование от АЕК и других агентств, включая фонды Рокфеллера. Над проектом исследований работали ведущие ученые Франкфуртской школы - Гедда Массинг, Мэри Ягода, Морис Яновиц и Теодор В. Адорно. Под руководством Хоркхаймера они формально воссоздали Международный институт социальных исследований -- перенесенный клон Франкфуртской школы, существовавшей в Веймарской Германии.
По заказу АЕК в период с 1945-1950 гг., проводилось пять исследований. Одна из ключевых работ, это работа начатая в январе 1943 г. «Авторитарная личность» (Authoritarian personality. New York: Harper, 1950). Авторы Адорно, Френкель-Брунсвик, Левинсон и Сандфорд собрали большой исследовательский коллектив из группы исследований общественного мнения университета Беркли и Международного института социальных исследований для проведения тысяч опросов американцев, для выявления глубоко спрятанных склонностей к авторитаризму, предрассудкам и антисемитизму. Научным руководителем проекта был доктор Вильям Морроу, которого лоббировал доктор психологии Курт Левин, являющегося связующим звеном между Франкфуртской школой и Тавистокским институтом. Результаты исследований выявили значительную склонность населения ко всем исследуемым качествам, включая высшую форму проявления фашизма. Что послужило основой последующих серьезных работ для изучения и в последующем создания программ способных координально изменить мышление общества. В частности в своей книге авторы «Авторитарной личности» упоминают такие фразы: «Очевидно, что изменение потенциальной фашистской структуры невозможно исключительно психологическими средствами. Задача сравнима со всемирным искоренением невроза, хулиганства, или же национализма. Они порождаются самой организацией общества, и могут быть изменены только с изменением самого общества. Не психологу определять способы осуществления необходимых изменений. Размах этой проблемы требует усилий всех ученых-обществоведов. Мы лишь настаиваем на том, что на советах и круглых столах, где рассматривается эта проблема и планируются действия, психологам должно предоставляться слово. Мы считаем, что научное понимание общества должно включать понимание того, что общество делает с людьми, и что возможны социальные реформы, даже широкие и радикальные, которые при всей их желательности не обязательно изменят структуру личности, подверженной предрассудкам. Чтобы изменить фашистский потенциал, даже его обуздать, люди должны лучше видеть самих себя и быть самими собой. Манипулированием людьми этого не добиться, независимо от привлечения современной психологии в разработке инструментов манипуляции… Возможно, что это тот самый случай, когда психология должна сыграть ключевую роль. Методики преодоления сопротивления, разрабатывавшиеся для целей индивидуальной психотерапии, можно совершенствовать и адаптировать для применения по отношению к группам, и даже массам» [17].
Последующие исследования и работы были направлены на создание контркуркультуры за счет музыки, легализации эротики и легализации наркотиков, как психологическое воздействие на сознание человека в обществе и способ борьбы с теранией навязанной государственной структурой. В частности, об этом прямолинейно писал в своих работах социальный психолог, философ и психоаналитик «Франкфуртской школы» Эрих Фромм. Например, в работе 1972 года «Анатомия человеческой деструктивности».
В США и Великобритании в 30-х и особенно в 40-х и 50-х годах был большой интерес, как военных, так и других государственных служб, к психологии человека и способах воздействия на него. Интересно, что именно в этот период появляется «Группа кибернетики» исследования и работы которой, стали основой для новой современной межотраслевой науки - кибернетики. Группа была неофициально создана на конференции имеющей формальное название «Встреча по церебральному заторможению» (Cerebral Inhibition Meeting) проходившей в Нью-Йорке в май 1942 года. Конференцию финансировал директор фонда Джошуа Мэйси, Франк Фримонт-Смит. Членный этой группы называли её «Проект человек-машина». Среди участников конференции были Уоррен Маккаллок, Артуро Розенблют, Грегори Бэйтсон, Маргарет Мид и Лорернс К. Франк. Розенблют был протеже Норберта Винера и Джона фон Неймана. Он выступил от их имени с предложением объединить в одну группу инженеров, биологов, нейрологов, антропологов и психологов для проведения экспериментов по социальному управлению, говоря что «человеческий мозг есть не более чем сложная машина со вводом и выводом, и человеческое поведение можно, по сути, программировать на личном и общественном уровне». Следующая конференция, проводимая этим фондом, как и все последующие конференции, произошла 8-9 марта 1946 г. в Нью-Йорке под формальным названием «Механизмы обратной связи и круговые каузальные системы в биологии и социальных науках». Включительно по 1953 г. конференции стали регулярными и вопросы, выносимые на обсуждение, изучение и последующее решение - очень серьезными. В 1947 г. на очередной конференции, под опекой фонда Джошуа Мейси был запущен проект, который Норберт Винер предложил назвать термином «кибернетика». Группой кибернетики из двадцати человек было инициировано создание целой сети постоянных учреждений, продолжающих работать и в наши дни, работа которых была определена этой группой и в тот период, направлена на управление обществом, через слияние человек-машина.
В этот же период 1946-1947 г. на базе Управления стратегической службы, в которой работали отцы «Франкфуртской школы» и видные ученые Герберт Маркузе и Франц Нейман (Отдел исследований и анализа), на базе УСС создается Центральное разведывательное управление. ЦРУ очень заинтересовалось работами по психотропному воздействию на человека и в спектр их внимания попадают работы «Франкфуртской школы». В это время закладываются основы ведения, так называемой «психологической войны». Для серьезного изучения вопросов и практических отработок в этом направлении, из Великобританского Тавистокского института и Управления психиатрии британской армии (подчиняемого этому институту) многие лучшие специалисты по «промыванию мозгов» были откомандированы в США для работы над секретными проектами ЦРУ и Пентагона по контролю над разумом. Работы социального психолога Р. Невитт Санфорд, одного из трех руководителей проекта «Авторитарная личность» полностью попали под влияние ЦРУ. В дальнейшем он был включен в проект МК-Ультра в рамках которого изучались галлюциногены и в частности ЛСД. В последствии Санфорд возглавил Институт исследования проблем человека при Стенфордском университете в котором выполнялись различные исследовательские работы Министерства обороны США и Великобритании в 50-е - 60-е года.
В рамках описанных событий и при участии Группы кибернетиков летом в 1948 г. в Париже была создана Всемирная федерация психического здоровья (World Federation of Mental Health (WFMH)) первым президентом которой был назначен бригадный генерал Джон Роулинс Рис, являющийся директором Тавистокского института, главного английского центра по ведению психологической войны. Подготовкой создания федерации занимался упомянутый раннее доктор психологических наук Курт Левин (9.09.1890 - 12.02.1947 г.) через Национальный комитет психической гигиены и Международный комитет психической гигиены, в котором состояли шесть членов Группы кибернетики. Обе эти организации объединяли на тот момент 4000 специалистов по всему миру в области социальной инженерии и социальной психологии. Маргарет Мид и Лорернс К. Франк члены Группы кибернетики, составили к открытию WFMH учредительное заявление, в котором открыто писали, что: «Цели психического здоровья расширились, от заботы о развитии здоровой личности, до гораздо большей задачи построения здорового общества… Концепция психического здоровья созвучна мировому порядку и мировому сообществу». Позднее, каждый из них заменил Джона Р. Риса на посту президента WFMN.
Фонда Джошуа Мэйси также участвовал в финансировании и созданию рекламы различных выдающихся ученых, в которых он был заинтересован, в рамках лоббируемых им проектов. Так, за счет фонда был продвинут английский специалист по социальной инженерии доктор Вильям Сарджант, который участвовал в ряде секретных правительственных проектов Великобритании и США, направленных на установления контроля над человеческим разумом. В частности, он участвовал в проекте МК-Ультра. Его книга «Битва за разум» (Battle for the Mind), появившаяся в 1957 году, стала учебным пособием для массового «промывания мозгов».
Интересна история возникновения словосочетания «промывание мозгов» - brainwashing. Которое придумал американский журналист Эдвард Хантер, неприятный инцидент 1951 года из жизни вооруженных сил США, когда 21 американский военнослужащий оказавшийся в плену, перешел на сторону Северной Кореи. После этого случая, Аллен Даллес директор ЦРУ, поручил составить специальный отчет о китайской и советской методиках промывания мозгов.
Для Джона фон Неймана и Норберта Винера смысл деятельности Группы состоял в развитии компьютеров и в совмещении в дальнейшем мощных вычислительных систем с искусственным интеллектом. Джон фон Нейман был убежден, что человеческий разум не представляет из себя ничего священного, а человеческий мозг есть машина, чью деятельность можно воспроизвести, а со временем его могут превзойти компьютеры.
Доктор Джером Визнер, принимавший участие в нескольких заседаниях фонда Джошуа Мэйси, поддерживал взгляд Джона фон Неймана и для Группы кибернетиков предложил ресурсы и площади Массачусетского технологического института (Massachusetts Institute of Technology -- MIT), расположенного в Кембридже, президентом которого на тот момент он являлся. Кроме того, доктор Визнер в 1952 году возглавил Исследовательскую лабораторию электроники при Массачусетском технологическом институте, где обосновались Норберт Винер, Уоррен Маккалок и Уолтер Питтс. Вскоре от лаборатории электроники отпочковалась Лаборатория искусственного интеллекта, где доктор Сеймур Паперт и Марвин Мински занялись программированием человеческого поведения и взаимодействием людей.
В 1944 году доктор Курт Левин основывает Центр изучения групповой динамики при Массачусетском технологическом институте. Будучи сторонником Франкфуртской школы, его совместные работы вместе с основателем этой школы Карлом Коршем по лингвистике легли в основу исследований по искусственному интеллекту. В начале 1947 года Левин при поддержке правительства основал Национальные тренинговые лаборатории в Бетеле (штат Мэн) -- организацию, которая, как планировал ученый, должна была заниматься переобучением лидеров государства. Позднее, лаборатории превратилась в Национальную ассоциацию образования. В Центре проводилось немало практических экспериментов, некоторые из них были нацеленные на осуществление изменений в американской системе народного образования. В частности, детей могли научить верить, что снег не белый, а черный. А в рамках государственного эксперимента, убедить американцев перейти с белого хлеба на черный, что и произошло в дальнейшем [18].
К 1980-м годам Массачусетский технологический институт открыл Лабораторию СМИ, ставшую очередным прямым наследием Группы кибернетики 1940-1950-х годов. Специалисты по социальной инженерии работали рука об руку с инженерами и конструкторами машин, разрабатывавшими компьютеры большой вычислительной мощности, компьютерную графику, голографию и первое поколение компьютерных симуляторов. Значительный объем работ МТИ и лабораторий искусственного интеллекта Стандфордского университета в Пало Альто, Калифорнии, финансировались Оборонным агентством перспективных исследований Пентагона (ARPA, в последствии DARPA).
Несколько строк следует посвятить некоторым раннее упомянутым членам Группы кибернетики, чтобы еще раз акцентировать внимание на специалистах, привлекаемых к данным проектам.
Уоррен Маккалок являлся почетным председателем на всех десяти конференциях Группы кибернетиков. Во времена первой встречи он был профессором психиатрии и физиологии в университете штата Иллинойс, далее был приглашен в Исследовательскую лабораторию электроники Массачусетского технологического института, которую возглавил после доктора Джерома Визнера. Маккалок обратил внимание на блестящего математика Уолтера Питтса и пригласил его в команду. Ими была разработана теория деятельности головного мозга, используемая в нейропрограммировании и нейронных сетях.
Доктор Норберт Винер, являлся выдающимся математиком и философом. Основоположник кибернетики и теории искусственного интеллекта. Перед второй мировой войной Винер стал профессором Гарвардского, Корнельского, Колумбийского, Брауновского, Геттингенского университетов, получил в собственное безраздельное владение кафедру в Массачусетском технологическом институте.
Грегори Бэйтсон, антрополог, в те времена муж Маргарет Мид, позднее стал директором исследовательского отдела в Ветеранском госпитале в Пало Альто, Калифорния, где был ведущим исследователем по программе МК-Ультра и другим секретным экспериментам с препаратами, изменяющими сознание, проводившимся по правительственным программам.
Маргарет Мид, американский антрополог, основатель этнографии детства. В те времена была помощником куратора отдела этнологии в Американском музее естественной истории в Нью-Йорке. В последствии, стала основателем современного феминистского движения через Бетти Фридан, студентку-протеже Курта Левина. В 1956 году начала занимать пост президента Всемирной федерации психического здоровья. С 1974 года была избрана президентом Американской ассоциации содействия развитию науки.
В 60-х годах Министерство обороны США было крупным потребителем компьютеров. Дж. К.Р. Ликлидер убеждает руководство в необходимости бюджетирования проектов направленных на компьютерные исследования. В результате в октябре 1962 г. он становится директором Отдела Методов Обработки Информации (Information Processing Techniques Office - IPTO) Пентагона. Отдел этот являлся подразделением Агенства Передовых Исследовательских Проектов (Advanced Research Projects Agency - ARPA). До 1969 года, когда в соответствии с поправкой Мэнсфилда были наложены ограничения на Пентагон, в отношении расходования средств на НИР и ОКР для финансирования проектов из Отдела методик обработки информации никаких ограничений не было. Были потрачены миллиарды долларов на развитие компьютерных сетей, компьютерной графики, «виртуальной реальности», компьютерного моделирования, и других основ сегодняшней коммерческой индустрии видео стрелялок, объемом в 9-11 миллиардов долларов в год. Эти деньги осваивали Лаборатория СМИ при МТИ и Лаборатория искусственного интеллекта Стэнфордского университета, которые вели исследовательскую работу, способствовавшую развитию пентагоновских обучающих программ-симуляторов и нарождающейся индустрии современных видеоигр.
Массачусетский технологический институт давно является одним из самых престижных университетов, как в США, так и во всем мире. Он завоевал право на мировое лидерство в ведущих областях современной науки и техники, таких как робототехника, создание и развитие искусственного интеллекта, компьютерные технологии. Также он всемирно известен в других областях знаний, включая менеджмент, экономику, политические науки, философию и лингвистику. В 70-80-е годы институт стал пионером компьютерной эры. И суть здесь не только в технологиях -- в стенах MIT родилась сама компьютерная культура со своими собственными: языком, этикой и даже моралью. Например, термин «хакер» появился именно здесь.
Итак, достигнута ли цель, получения возможности управлять человеком, социальной группой и обществом, основываясь на слиянии «человек-машина»? Ответ - да, цель достигнута!
Лорд Бертран Рассел, известный английский математик, философ и общественный деятель, примкнувши к Франуфуртской школе в своей книге, вышедшей в 1951 году «Влияние науки на общество» (The Impact of Science on Society) писал: «Физиология и психология представляют поле для научных методик, ожидающих разработки. Павлов и Фрейд, два великих ученых, заложили основу. Я не согласен, что их учения вступают в сколько-нибудь серьезное противоречие, но вот то, что будет выстроено на их фундаменте, вызывает сомнения. Думаю, что политически чрезвычайную важность приобретет психология масс… Ее важность чрезвычайно возросла с развитием современных методов пропаганды. Среди них самым важным является то, что называется «образованием». Религия все еще играет определенную роль, но все меньшую, а вот роль прессы, кино и радио возрастает… Можно предполагать, что наступит время, когда любой сможет убедить любого в чем угодно, если ему удалось заполучить объекта молодым, а государство предоставит финансовые средства и технику». Его идеи поддерживал, раннее упомянутый известный социальный психолог Курт Левин. Они считали, что для качественного получения экспериментов, лучше упор делать на детей, тогда реакция окажется очевидной и быстрой.
Любопытным является высказывание военного психолога подполковника Дейвида Гроссмана в своей книге 'Психологическая цена обучения убийству на войне и общество' (On Killing: The Psychological Cost of Learning to Kill in War and Society). Он пишет, что механизм воздействия электронных игр схож с боевой подготовкой морских пехотинцев, во время которой солдаты учатся преодолевать врожденный барьер перед совершением убийства (снятие психологического запрета на убийство себе подобных). С помощью специалистов по социальной психологии и социальной инженерии, было обнаружено, что у многих пехотинцев отвращение к убийству исчезает, когда во время учений они стреляют не по обычным мишеням, а по мишеням в виде человеческих фигур. Подобные компьютерные тренажеры предоставили непревзойденную методику тренировки изменения модели поведения «стимул -- реакция». Такой же эффект, по мнению Гроссмана, оказывают и пропитанные насилием игры: они прививают детям «вкус и навык к убийству»[19].
Средства массовой информации за счет современных технологий с использованием современных телекоммуникаций и вычислительных сетей, осуществляя рекламу компьютерных технологий, в частности, осуществляя рекламу более навороченных компьютерных игр и самих компьютеров, создают спрос и создают безразмерное поле деятельности социальному инженеру. За счет увеличения продаж, окупаются технологии, и создается предпосылка для последующего усовершенствования их. В частности создание динамичной и реалистичной графики, более мощных вычислительных систем. Подрастающее поколения является сегодня основным потребителем данного продукта. Доказано, что action игры имеют больший потребительский спрос. Особенно у детей и студентов. При этом специалисты придумывают более сложные уровни, просчитывая психологические моменты, и соответствующие реакции игрока, делают игры более кровожадными, предоставляя возможность гаймеру играть от первого лица и испытывать реакцию «настоящей», выполняемой задачи. Так игрок, особенно ребенок, учится преодолевать трудности. Такие трудности он воспринимает как реальность и его «виртуальный мир» ему понятен, а в реальном мире, он не знает как себя вести и побаивается его. Поведение его формируется на уровне выработанных за счет игр инстинктов. Это влечет привязывание ребенка к компьютеру ежедневно на долгие часы. Впрочем, исследования показали, что независимо от возраста, возникает эффект игромании и такой человек много времени проводит за компьютером. Если в играх присутствует в основном насилие, секс, торговля наркотиками (что стало популярным в современных играх), у играющего развивается агрессия. При этом логические и аналитические умственные способности притупляются. Значительно ухудшается способность запоминать. Сам человек становится более управляем. Дополнительные новостные хроники в СМИ, по телевидению, кинотеатрах, в сети Интернет а также фильмы с насилием, психологически программирует такого человека на то, что насилие в реальной жизни, это норма поведения. Разумеется, у детей такая реакция проявляется в более импульсивной форме, т.к. вызывает некоторое преодоление испытаний, которые они еще не переживали и им это ново и интересно. Это похоже на то, как ребенок быстро запоминает ругательные слова и умеет их применить в «подходящий» момент.
Жестоких примеров социального программирования и использования методов социальной инженерии сегодня найти можно много. Один из них произошел в день рождения Гитлера. 20 апреля 1999 года в 11 часов 19 минут утра Эрик Харрис восемнадцати лет и Дилан Клеболд семнадцати в масках и черных шинелях, вооруженные винтовками и пистолетами, подъехали к своей школе в Литтлтоне, штат Колорадо, США. Стрельбу они начали уже на автомобильной стоянке, затем бросились внутрь. По вызову на место происшествия первым приехал помощник шерифа Нил Гарднер. Эрик Харрис заметил полицейского и стал стрелять в него из винтовки. Винтовка заклинила. Полицейский открыл ответный огонь, но не попал. Эрик скрылся в здании и присоединился к Дилану. По пути через кафетерий, вверх по лестнице к библиотеке они за 16 минут, убили 12 школьников и учителя, ранили 20 человек. Через несколько минут после того, как спецназ ворвался в здание, подростки покончили с собой. Свидетели показали, что убийцы принадлежали к банде 'Мафия Шинелей', хвастались, что имеют оружие, ненавидели чернокожих, латиноамериканцев, спортсменов, любили Мэрилин Мэнсона и Doom - компьютерную игру со стрельбой. Причем один из убийц не только был игроком в Doom но и разработчиком (на любительском уровне) новых «уровней» этой игры [19]. Действия подростков были полностью похожи на сценарий одного уровня игры. Не было замечено, чтобы оба подростка увлекались спортивными играми. Большую часть времени своей жизни, они проводили за компьютером, по словам их родителей.
1.2.3 Обобщение состава вхождения наук и методов в социальную инженерию
Таким образом, не без основания специалисты по защите информации, используя определения социальной инженерии, делают уклон на прикладную и социальную психологи. Все выше описанное говорит о том, что с 40-х годов в США, Великобритании был накоплен громадный прикладной опыт в этой сфере. Использование методов социальной инженерии в информационных технологиях впервые применили зарубежом. Издано немало работ выдающихся ученых и при желании, эти работы с множеством прикладных методов и исследовательских данных могли и могут изучать сегодня, заинтересованные люди. А наиболее инициативные, радикально настроенные и прогрессивные желали пробовать и получать результаты. Особенно, задача сильно облегчилась за счет развития телекоммуникаций, создания и разрастания сети Интернет. Учитывая технологический уровень в этом направлении развитых западных стран, не удивительно, что появились легенды в компьютерном мире, взламывающие любые информационные системы, такие как Ричард Гринблатт, Билл Госпер, Ли Фельзенштейн, Джон Харрис, Кевин Митник, Вильям Л. Саймон и т.д.
Все определения социальной инженерии емкие, подразумевают существенный набор навыков и затрагивают различные области и науки. Требуют знания и владение ряда прикладных наук и используемых в них методов. Сложно вывести универсальное понятие, являющееся наиболее полным и систематизирующее используемый прикладной набор. Как следствие, нельзя для социальной инженерии, и её применения вывести универсальные методы и способы противодействия. Эти методы будут постоянно меняться по мере привлечения к компьютерным технологиям тех или иных специалистов получивших теоретические и прикладные знания по социологическим наукам, психологии и по мере осваивания этих методов специалистами по компьютерным технологиям, ставящих своею целью любым путем обойти систему защиты. Очевидно, что сегодня это новое направление для своего применения в свете информационных технологий, раскрывающегося потенциала технических возможностей и нарушители используют пока самый минимальный набор прикладных знаний из имеющихся на сегодня социотехник. Это также связано с попыткой злоумышленника получить результат моментально и опробировать тот или иной метод. Т.е. на более системный подход и группировку нескольких методов, пока не находится время. При комплексном использовании целого набора социотехник, очевидно, что выявление такого нарушителя окажется если не невозможной, то наверняка, очень сложной задачей. Страшно себе представить, какими «монстрами» станут те люди, которые будут использовать в своей деятельности наибольшее число прикладных методов, нежели методы одного из направлений или науки.
Условную схему, которая отражает наполнение социальной инженерии можно привести в виде схемы указанной на рисунке (рис.1.1.). Для нашей работы, её достаточно.
/
Рис. 1.1. Обобщенная схема прикладных наук используемые в социальной инженерии
Детальное рассмотрение всего состава наук и методов входящих в них, не входит в рассмотрение данной работы. Остановлюсь только на некоторых определениях и кратком изложении понятия.
Социальная философия - раздел философии, посвященный осмыслению качественного своеобразия общества в его отличии от природы. Социальная философия анализирует проблемы смысла и цели существования общества, его судьбу и перспективы, направленность движущих сил и его развития.
Прикладная социология (англ. applied sociology) -- совокупность теоретических моделей, методологических принципов, методов и процедур исследования, а также социальных технологий, конкретных программ и рекомендаций, ориентированных на практическое применение, достижение реального социального эффекта [13]. Дополнительно, чем занимается прикладная социология и прикладные социологи, кратко было изложено в предыдущем парагрфе.
Социальная психология -- наука о внутренних, психологических причинах, механизмах и закономерностях социального поведения людей в группах и общностях, а также о психологических характеристиках отдельной личности, групп и общностей. В течение длительного периода социально-психологические взгляды разрабатывались в рамках различных философских учений. Элементы социальной психологии складывались и внутри конкретных наук -- в психологии и социологии, а также в антропологии, этнографии, криминологии, языкознании. Социальная психология как наука включает в себя следующие основные разделы: закономерности общения и взаимодействия людей (в частности, роль общения в системе общественных и межличностных отношений); психологические характеристики социальных групп, как больших (классы, нации), так и малых (где изучаются такие явления, как сплоченность, лидерство, процесс принятия групповых решений и др.); психология личности (сюда, в частности, относятся проблемы социальной установки, социализации и др.); практические приложения социальной психологии [14].
Прикладная антропология (англ. applied anthropology) - применение результатов антропологических исследований для решения социальных проблем.
Антропология (англ. anthropology) - межотраслевая дисциплина, исследующая:
· происхождение и эволюцию человека как особого социобиологического вида;
· образование человеческих рас;
· нормальные вариации физического строения человека внутри этих рас, в том числе в связи с особенностями окружающей людей среды [15].
Эргономика (греч. ergon -- работа и nomos -- закон) -- общее название группы наук, занимающихся комплексным изучением человека в производственной деятельности и оптимизацией средств и условий труда. В состав эргономики включают прикладные разделы инженерной психологии, психологии, физиологии и гигиены труда, антропологии, некоторые аспекты научной организации труда, технической эстетики, кибернетики, общей теории систем, теории автоматического управления и др. Предметом эргономики является изучение и оптимизация систем “человек -- машина -- среда”. Методологическую основу эргономики образует системный подход, позволяющий получить всестороннее представление о трудовом процессе и о путях его совершенствования с целью повышения эффективности и качества труда, всестороннего развития личности и удовлетворения творческих потребностей трудящихся. Эргономика совместно с инженерной психологией решает такие проблемы, как: оценка надежности, точности и стабильности работы человека-оператора; распределение функций между человеком и машиной; исследование влияния психической напряженности, утомления, стресса, эмоциональных состояний на эффективность труда человека; разрабатывает методы и средства отбора и обучения специалистов [16].
1.3 Современное применение социальной инженерии
Сегодня социальная инженерия имеет все тенденции перейти из разряда ремесленичества в разряд индустрии. С точки зрения типологии деятельности социальную инженерию можно разделить на четыре типа производства: проектирование, консультирование, обучение и управление. Большинство направлений, в которых используют социальную инженерию, имеют интегральное включение и пересечение, т.е. содержат несколько или все типов производства. Уже сегодня, можно выделить ряд отраслей, в которых используется социальная инженерия (рис. 1.2).
Личностное проектирование (создание жизненной стратегии, профориентация, сопровождение личностных кризисов и перепрограммирование, социализация и разрешение конфликтов в коллективе). Личностное проектирование имеет много общего с психоанализом, но пока, это новая и мало практикуемая область деятельности. Личностное проектирование ставит задачей не устранение психологического дискомфорта, ликвидацию комплексов или решение различного рода психических проблем, а построение и сопровождение личной жизненной стратегии, наиболее отвечающей притязаниям и ходу мышления личности, ее обычно скрытым амбициям, архетипам и смыслообразам [20].
Психотерапия межличностных и корпоративных отношений - достаточно развитая и у нас отрасль. Остается добавить лишь необходимость ее социализации и теоретического обсуждения.
/
Рис. 1.2. Отрасли, в которых сегодня используется социальная инженерия
Рекрутмент - подбор персонала, организация рейтингового анализа профессионального уровня специалистов в каждой сфере бизнеса, организация крупных кампаний целевого отбора для службы занятости, проектирование и продвижение специалистов редких профессий.
Организационное проектирование (создание и трансформация организаций - институциональных и корпоративных структур). Это деятельность, которой сегодня формируется как отдельная отрасль. Речь идет о создании жизнеспособных социально-культурных и экономически эффективных схем, в которые вписывается определенная оргструктура. Заказчик покупает проект как готовый продукт и реализует его сам.
Консалтинг (как отрасль - включает экспертную аналитику, стратегическое планирование, оптимизацию институциональных и корпоративных оргструктур в условиях реальной деятельности, инжиниринг корпоративного и институционального управления, коррекцию стандартной оргструктуры для обеспечения продвижения через нее специфических проектов и т.п.).
Открытое лоббирование законов и исполнительных решений. Эта типичная сфера деятельности политических партий тем не менее нуждается в услугах гуманитарных технологов. Партии уже осознали, что в любом направлении деятельности существует масса групп влияния, и их все контролировать невозможно, поэтому необходима организация коммуникации и открытого продвижения того или иного проекта в общественное мнение и в системы мотиваций существующих групп влияния для последующей поддержки легализации лоббируемых законов или решений.
Проектный менеджмент - создание проектов под определенные социальные цели и задачи, открытое обсуждение и продвижение этих проектов в институтах массовой коммуникации (ИМК), запуск проекта в исполнение и текущее управление в рамках существующего проекта. Различают корпоративный и институциональный менеджмент, стратегический и текущий менеджмент.
Имиджмейкинг - инженерия СМИ, шоу-бизнеса, публичной политики; производство смыслообразов и смысло-лингвистическое конструирование целых имиджевых кампаний, работа с институтами массовой коммуникации: проектирование кампаний для ИМК и продвижение через них заданных образов, разработка рекламных кампаний в контексте создания и продвижения определенного образа или стиля жизни, создание и продвижение новых стилей.
Производство и организация коммуникации - инженерия институтов массовой коммуникации, включая компьютеризацию и интернетизацию, PR и социологические исследования, сбор и обработку информации, производство новостной и аналитической публичной информации (журналистика). Сюда относится и организация единой коммуникации в сфере институциональной науки, которая имеет задачу упразднить разрыв между вузовской, академической и прикладной наукой.
Образование - уже существующая отрасль индустрии, в которой происходит коммерциализация (создание частных структур образования и предоставление коммерческих услуг в структурах некоммерческого образования). Одним из главных направлений является производство условий и технологий самообразования. Проведение междисциплинарных лекций, круглых столов и семинаров.
На этом я завершаю рассмотрение большого раздела, который дал общее представление об образовании социальной инженерии как науки, на стыке множества других наук. В настоящее время громаднейший арсенал методов этой науки используется в различных отраслях и сферах. Для более детального рассмотрения, рекомендуется обратиться к разделу «Рекомендуемая литература для самостоятельного изучения». Теперь от более общего, перейду к частному рассмотрению использования социальной инженерии в информационных технологиях.
2. Конструкторская часть
«На свете есть только один способ побудить кого-либо что-то сделать.
Задумывались ли вы когда-нибудь над этим?
Да, только один способ! И он заключается в том,
чтобы заставить другого человека захотеть это сделать.
Помните -- другого способа нет»
Дейл Карнеги
2.1 Социальная инженерия в информационных технологиях
Сопоставляя приведенные раннее определения 1-8 (раздел 1.2.) и возвращаясь к самой концепции социальной инженерии, в основе подходов лежит системность, подкрепленная методологией и анализом, которая и позволяет сочетать технологическую инновационность, инженерную точность расчетов с социально-психологическим моделированием. Мастерское владение этими инструментами является залогом успешного выстраивания поведенческой модели людей, «добровольно» и «самостоятельно» действующих в нужном социальному инженеру направлении. Интеллектуальным тренажером для мастеров данного жанра может стать практически любая предметная область, предполагающая использование человеческого фактора и формирование морального климата, побуждающего людей к запланированным действиям. Здесь и политическое лоббирование, и консалтинг, и рекрутмент, и управление проектами, и личностное/организационное проектирование, и выстраивание «внешнеполитических» отношений (рис.1.2).
В дальнейшем я буду ориентироваться на определения 7 и 8 социальной инженерии (см. раздел 1.2.). В этих определения мы говорим об эксплуатации человеческого фактора, воздействием на который и занимается социоинженер для получения необходимой ему информацию. Что понимается под человеческим фактором?
Человеческий фактор (англ. human factor) - исторически сложившаяся в обществе совокупность основных социальных качеств людей:
· ценностные ориентиры;
· нравственные принципы;
· нормы поведения в сфере труда, досуга, потребления;
· жизненные планы;
· уровень знаний и информированности;
· характер трудовых и социальных навыков;
· установки и представления о личностно значимых элементах социальной жизни: о социальной справедливости, о правах и свободе человека, о гражданском долге и т.д [3].
Другое, часто используемое определение человеческий фактор - устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем (коллизий) при использовании этим человеком современных технологий [8].
Далее, говоря о социальной инженерии, мы подразумеваем манипулирование человеком или группой людей с целью взлома систем безопасности и похищения важной информации. В таком случае социоинженер - это злоумышленник (мошенник), производящий атаку на человека, являющегося частью системы «человек-компьютер».
Существует исключение, когда социальная инженерия используется специалистами по защите информации с целью проверки работоспособности принятой корпоративной политики информационной безопасности. Об этом будит сказано отдельно в «Технологической части».
Выделяют несколько основные правила, которыми пользуются социальные инженеры, которые не очень сильно изменяются со временем и всегда эффективны:
1. Очень многие люди смотрят на внешнюю атрибутику не обращая внимания на суть, т.е. манера поведения, внешний вид, как себя позиционирует человек и т.д. Необходимо в себе развивать навыки хорошего актера, что гарантирует 50% успеха любой задумки, а если сюда прибавить навыки психологии, тогда это 100% социальный взломщик.
2. Большинство людей отрицательно зависимы от своего чувства собственной значимости. Такие люди уязвимы для атак. Достаточно немного польстить, чтобы они выполнили все пожелания. Зависть вообще - это корень всех интриг. Александр Розенбаум говорит, что зависть такое чувство, которое «из очень хороших людей делает очень больших скотов и под час за очень короткое время». В организации несложно распознать сотрудника склонного к отрицательной зависти от чувства собственной значимости. Очень часто, сделав такому сотруднику справедливое замечание по работе, можно увидеть реакцию свойственную таким субъектам, который не думает, как быстро разрешить ситуацию, а начинает приводить доводы и сравнения. Не стоит надеяться на лояльность к организации со стороны такого типа сотрудников.
3. Многие люди хотят, чтобы все хорошее, что только может с ними в жизни произойти, произошло как можно быстрее и желательно с минимальными усилиями с их стороны. (Пример - массы обманутых вкладчиков МММ, желающие за небольшие деньги получить значительное благосостояние.)
4. Многие люди существа исключительно жадные до денег.
Пример - «письма счастья», в которых говорится, что перечислив 3-5 долларов на этот счет, вернется через неделю в 10 раз больше.
Иными словами, социальная инженерия - это почти всегда игра на людских пороках и слабостях. О психологической составляющей более подробно разговор пойдет далее.
2.2 Два противоположных подхода в социальной инженерии
В социальной инженерии различают два противоположных подхода.
Первый подход, это прямая социальная инженерия, или просто социальная инженерия. Второй подход, это обратная социальная инженерия. Второй подход стал продолжением первого, и методы, которые используются в прямой социальной инженерии, часто используются в обратной социальной инженерии. Рассмотрим подробнее каждый из подходов.
2.2.1 Прямая социальная инженерия
Основную схему воздействия социального инженера при прямой социальной инженерии можно описать упрощенной схемой Шейнова В общем виде она приведена в книге белорусского психолога и социолога В.П. Шейнова «Скрытое управление человеком: психология манипулирования», долгое время занимавшегося психологией мошенничества. (рис. 2.1).
Под «объектом» здесь и далее будит подразумеваться жертва, на которую нацелена социоинженерная атака.
/
Изначально, всегда формируется цель воздействия на тот или иной объект. Затем собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия. После этого наступает этап, названный психологами аттракцией. Аттракция (от лат. attrahere - привлекать, притягивать) - создание нужных условий для воздействия социоинженера на объект. Принуждение к нужному для соционженера действию, т.е. навязывание действий, когда объект воспринимает такие действия как свои «собственные» и в последующем, «самостоятельно» принимает решение выполнить необходимые социоинженеру действия, происходящие по факту наступления аттракции. Бывают исключения. В ряде случаев, этот этап аттракции приобретает самостоятельное значение, к примеру, когда принуждение к действию выполняется путем введения в транс, психологическое давление и т.д.
2.2.1.1 Несколько слов об аттракции
Речь идет о психологическом понятии аттракции. В связи со значимостью данного понятия используемого в схеме, не будит лишним сделать несколько пояснений из области психоанализа. Языком психоаналитиков, аттракция означает «притяжение» одного человека к другому. Она включает в себя:
· привлечение и удержание внимания;
· привлечение определенного интереса;
· расположение к собеседнику;
· уважение партнера.
Психологической базой аттракции является потребность в положительных эмоциях, что является важнейшей потребностью каждого человека. Психологами установлено, что оптимальный для здоровья эмоциональный фон создается, когда большая часть (60%) получаемой человеком информации является эмоционально нейтральной, 35% - вызывающей положительные эмоции и 5% - отрицательные. То есть положительных эмоций должно быть в семь раз больше, нежели отрицательных. Такое счастливое соотношение является уделом в основном неисправимых оптимистов, весельчаков и жизнелюбов. Остальные испытывают огромную неутоленную потребность в положительных эмоциях. Поэтому ощущают притяжение ко всякому, кто улучшит их настроение. Умение делать комплименты, своего рода искусство. Такой человек может расположить к себе собеседника. Важным качеством является эмпатия, т.е. способность понять мысли и чувства другого человека. Французский моралист Ларошфуко давал такой совет: «Чтобы понравиться другим, нужно говорить с ними о том, что приятно им и что занимает их, уклоняться от споров о предметах маловажных, редко задавать вопросы и ни в коем случае не дать им заподозрить, что можно быть разумней, чем они»[22]. Другим важным качеством при достижении состояния аттракции, является умение слушать. В результате, подарив положительные эмоции собеседнику, мы улучшим его настроение, сделав ему благо, в ответ мы получаем аттракцию.
Примером работы схемы (рис. 2.1) может служить пример подкупа сотрудника. Мишенью является - потребность сотрудника предприятия в деньгах. О том, что он в них нуждается и что, с большей вероятности «примет предложение», узнается на этапе сбора информации. Примером аттракции может быть, создание таких условий, при которых сотрудник будит нуждаться в деньгах. Эти условия часто создаются умышленно. Банальная «подстава» на дороге, после которой машину сотрудника компании нужно отвозить в ремонт, а водителю джипа дать наличные, чтобы «замять» дело, за причинение джипу ущерба. Исполнителей такой «подставы» найти сегодня просто. Многое решает «цена вопроса» информации, которую нужно заполучить.
2.2.2 Обратная социальная инженерия
Социоинженеры сегодня отдают больше предпочтений обратной социальной инженерии (ОСИ - reverse social engineering). Она позволяет максимально скрыть злонамеренный характер своих действий и фактически дает 98% результат, но требует более тщательной подготовки. Суть ОСИ состоит в том, что социоинженер человека напрямую ни к чему не принуждаете, а создаете такие условия, что он сам обратится за помощью к социоинженеру без какого-либо подозрения. Объект воздействия считает социоинженера человеком, которому можно доверять, поэтому не видит причин не давать ему требуемую информацию. Даже если объект воздействия окажется опытным человеком, информированном о методах социальной инженерии, и не только о них, далеко не всегда он сможет эти методы распознать. Учитывая и тот факт, что в этот отрезок времени его голова будет занята проблемой, требующей срочного решения. При успешном решении (созданной) социоинженером «проблемы», объект может неоднократно обращаться к социоинженеру, как за помощью, так и для поддержания дружеских отношения. Это желанный результат любого социоинженера!
Условно атака ОСИ состоит из трех частей (рис. 2.2)
/
Диверсия - это первый этап ОСИ, на котором инженер создает неполадку в атакуемой системе, такую, чтобы объект не мог с ней работать. Это может быть изменение какого-либо параметра (установки монитора, принтера, параметров файла и даже переключение регистров клавиатуры), создание аппаратных неполадок, запуск вредоносных программ и программ-имитаторов. При этом неполадки должны быть легко устранимыми, поскольку инженеру предстоит решить «досадную проблему» «в одно мгновение».
Реклама - это второй этап ОСИ, на котором социоинженер должен донести до объекта информацию о собственной способности решить возникшую проблему «в любое время суток. Объект сам должен найти информацию о социоинженере в доступном месте. Тогда у него возникнет иллюзия свободного выбора.
Помощь - общение инженера с объектом, при котором последний получает решение проблемы, а первый - необходимую ему информацию.
Следует отметить, что данный метод получил широкое распространение среди нарушителей, называемыми «инсайдерами». Причем, им может выступать, как специалист с профессиональными навыками владения информационными технологиями, так и сотрудник компании, вошедший в сговор с заказчиком информации за вознаграждение со стороны. Причем заказ на информацию может быть разный, от клиентских баз до регулярных отчетов о деятельности компании и её отдельных должностных лиц. Что активно используется в коммерческом шпионаже.
Более подробно о методах ОСИ будит написано далее.
2.3 Взгляд на проблему угроз информационной безопасности со стороны международной статистики
Прежде, чем переходить к вопросу рассмотрения основных областей использования социальной инженерии, методов, которые сегодня получили наибольшее распространение, а также основную базу психологической составляющей этого вида угроз, не будит лишним познакомиться со статистикой, приводимой в отчетах отражающих угрозы информационной безопасности. Это добавит остроту восприятия и позволит более внимательно отнестись к проблеме.
По мере наращивания коммерческой ценности информации и экспансии информационных технологий в сфере обеспечения жизнедеятельности цивилизованного общества ситуации значительно изменялась. Следствием масштабного роста ИТ- грамотности и все увеличивающегося числа бизнес-аспектов, охваченных информационными технологиями, стал и постоянно продолжается всплеск новых видов охоты за содержанием хранилищ данных
В ходе такой эволюции появились вполне прагматичные цели и виртуальные мошенники и бизнесмены, получающие доход от потоковой продажи краденной информации, успешно стали использовать помимо хакерских приемов достижения современной психологии. Такая связка позволила с минимальными затратами получать желаемый результат, а порой, часто превосходящий ожидания. Современная статистика по угрозам информационной безопасности с каждым годом менее утешительная и заставляющая в корне пересмотреть свое отношение ко многим вопросам и самой проблеме информационной безопасности.
Так в отчет Dalott Global Security Survey 2006 по мнению респондентов, в числе основных внешних угроз ИБ уверено лидируют вирусы и черви (63% опрошенных), технологии фишинга и фарминга (51 %), шпионское ПО (48%), приемы социальной инженерии (25%).
Среди внутренних угроз, по мнению респондентов, возглавляют рейтинг все те же вирусы, хотя их значимость ими оценивается вдвое ниже.
Значительно претерпела изменение сама «хакерская иерархия», её верхний уровень возглавляют социальные инженеры, делающие свой бизнес на умелом управлении психологией легальных пользователей сети, которые не подозревая того сами, самостоятельно осуществляют несанкционированную инсталляцию вредоносных программ и вирусов. Не безызвестное стремление человека получить желаемое «на халяву». Пиратский рынок наводнен различными средствами, инструментами, конструкторами и «игрушками», которые при желании способен освоить каждый. Это порождает немало хакеров-одиночек и в той или иной мере, они способны причинить любой организации значительный вред. Что и происходит, на самом деле. Но о подобных инцидентах компании предпочитают умалчивать, и статистика по ним в официальных источниках невелика.
Результаты успешных атак на корпоративные ресурсы, выливаются в серьезные финансовые затраты. Причем картина таких инцидентов что зарубежом, что в России примерно похожа. Отчет британской исследовательской компании ISBS красноречив. Денежный эквивалент финансовых потерь, как результата таких атак пропорциональны итогам опроса ФБР и Института компьютерной безопасности, проведенного среди американских топ - менеджеров и ИТ- специалистов
Статистика проводимых исследований Российского аналитического центра Info Watch специализирующегося в области защиты информации от внутренних угроз «инсайдерства» подтверждает данную статистику. Внутренние инциденты, как правило, приводят к утечке персональных и конфиденциальных данных. При этом, из года в год, убытки от каждого из таких видов утечек растет на 20-25%. На рис. 2.6 не случайно по опросу западных респондентов брешь в конфиденциальности и мошенничество или кража с использованием компьютера, являются крайне серьезными инцидентами. По оценкам аналитического центра Info Watch, в 2006 г. одна лишь экономика США потеряла более $60-65 млрд вследствие утечек приватных сведений. Аппроксимируя этот результат в глобальных масштабах, общемировой ущерб составляет около $500 млрд. При этом не учитывалась угроза конфиденциальной утечки информации. По оценке аналитиков Info Watch по итогам 2006 г. совокупность международных потерь в экономике из-за утечки коммерческих секретов составляет $177 млрд. Государственные структуры не вошли в анализ. В итоге, оба вида утечек обходятся ежегодно в $700 млрд. Прогнозируя сегодняшнюю ситуацию, учитывая инфляцию, ежегодный рост таких утечек на 20-25% цифра превышает $1 трлн. Учитывая русскую ментальность, топ-менеджеры заметят, что это на западе, а не в России и будут «ожидать», когда подобная проблема коснется их самих и их компании. Чтобы лишить их такого удовольствия, имеет смысл обратиться не к мировой экономике, а к статистике по утечкам в нашей стране.
2.3.1 Исследование проблемы утечки информации в России
Нас будут интересовать исследование «Внутренние ИТ-угрозы в России - 2006», в ходе которого компания Info Watch опросила 1450 российских коммерческих и государственных организаций и в 2007 г. подготовила отчеты. Ключевыми выводами этого исследования являются:
1. Обеспокоенность внутренними угрозами ИБ среди российских организаций достигло вышей отметки. Так, индекс опасности утечки информации на 50% опережает аналогичный показатель для любой из внешних угроз.
2. Государственные организации и частный сектор поставили на первое место утечку информации, т.к. хорошо начали осознавать последствия этого инцидента: прямые финансовые убытки (46%), удар по репутации (42,3%), потеря клиентов (36,9%), что пересекается со статистикой за этот же год отраженной в исследованиях Dalott Global Security Survey 2006 (рис.2.5).
3. Организации более пристально начинают присматриваться к своему персоналу. Более 40% респондентов уже зафиксировали за 2006 г. более одной утечки и более 20% - более пяти утечек.
4. Доля организаций, внедряющих защиту от утечек, возросла за 2006 г. на 500% или в пять раз. К сожалению массового внедрения не происходит и по статистике примерно каждая 10-я опрошенная компания (т.е. около 10% респондентов) внедрила эффективное решение на основе ИТ, остальные планируют это сделать в ближайшие несколько лет.
5. Есть все основания полагать, что проникновение систем защиты от утечек на отечественный рынок будит продолжаться и затронет все области экономики.
2.3.1.1 Портрет респондентов
Проведя опрос респондентов, выяснилось, что наибольший процент опрошенных представителей топ-менеджмента компаний, являются представителями компаний относящихся к малому бизнесу (28,7%), с количеством сотрудников до 500 человек. Почти поровну пришлось на компании с 500-100 (11,4%) служащими и 1001- 10 000 сотрудников (10,3%). Вторая по численности группа респондентов попала в категорию 2501- 5000 сотрудников (25,8%)
Третья группа 1001-2500 служащих (16,7%) и меньше всего, это представители очень крупного бизнеса и федеральных структур.
Следующая гистограмма (рис. 2.9) отражает степень информатизации опрошенных респондентов. Наибольшая доля опрошенных имеет от 251 до 1000 рабочих станций (35,1%). Следующая группа 1001-500о терминалов (24,6%). Большинство респондентов (59,7%) приходится на представителей бизнеса выше среднего и доля очень крупных (от 5001 рабочих станций). Одна треть респондентов пришлась на представителей малого бизнеса (до 250 рабочих станций).
Не менее интересно узнать сферу деятельности респондентов (рис. 2.10), т.к. статистика не позволит тешить себя надеждой, что многие вопросы связанные с защитой информации можно отложить на более поздний срок. Занимательно, что возглавили рейтинг такие сектора экономики, как финансовые услуги (21,5%) и телекоммуникации и ИТ (18,9%). Следующая группа фактически распределилась поровну - министерества и ведомства, производство, ТЭК и торговля. И меньшая доля пришлась на страхование (5,2%) и образование (4,4%).
2.3.1.2 Угрозы информационной безопасности в России
За 2006 года, несколько видоизменился ландшафт угроз, по отношению с прошлыми годами. Кража информации несколько лет подряд занимает лидирующую позицию (65,8%). Причем наблюдается стабильный процент роста из года в год. Как ни печально, но второе место занимает халатность сотрудников компании (55,1%), уступив место вирусным атакам, доля которых заметно снизилась за последние два года. Возникла новая угроза, которой не было в прошлых исследованиях, причем сместив хакерские атаки. Что говорит о качественном изменении самих хакеров и некоторой потерей бдительности перед внешними угрозами.
При пересчете ответов респондентов и разделении их на два типа угроз - внутренние и внешние, получаем, что инсайдеры превалируют над вирусами, хакерами и спамом (отнесенным к внешним угрозам). Т.е. к внутренним угрозам были отнесены - халатность сотрудников, саботаж и финансовые мошенничества. Угрозы - кража информации, кража оборудования, аппаратные и программные сбои могут быть реализованы как снаружи, так и изнутри, в присутствии человека или без его присутствия, в связи с чем, они не вошли в рассмотрение этих двух типов угроз.
По словам опрошенных, вырисовывается следующая структура инсайдерских рисков Риск утечки ценной информации, респондентов волнует больше всего.
Одни из самых крупных утечек 2006 г. в России и СНГ опубликованные официально приведены в таблице.
Таблица 2.1. Наиболее крупные утечки 2006 г. по СНГ
|
Месяц
|
Организация
|
Потенциальный ущерб
|
|
|
Август
|
Российские банки, занимающиеся потребительским кредитом
|
В середине августа в Интернете прошла рассылка с предложением купить БД заемщиков, бравших кредиты на приобретение товаров в торговых сетях. Каждая запись базы содержит ФИО заемщика, его адрес, название торговой сети, размер и срок кредита, объем просрочки и т.д. За всю базу содержащую более 700 тысяч записей, продавцы запросили 90 тыс. руб. Подозрение в утечке пало на инсайдеров в нескольких российских банках, занимающихся потребительскими кредитами.
|
|
|
|
Удар по репутации и серьезный подрыв доверия к отечественному финансовому сектору
|
|
|
Август
|
Банк «Первое ОВК» (поглощен Росбанком в 2005 г.)
|
На прилавка Митинского радиорынка появился диск «Банковский черный список физлиц: Москва и МО». За 900 руб. продавцы предлагали диск с порядка 3 тыс. неблагонадежными клиентами банка «Первое ОВК». Подозрение пало на инсайдеров - бывших сотрудников банка «Первое ОВК», которые слили данные в процессе поглощения компании Росбанком
|
|
|
|
Ухудшение имиджа, плохое паблисити, массовый отток клиентов
|
|
|
Сентябрь
|
СП ОО «Мобильная цифровая связь» (владелец торговой марки Velcom)
|
В продаже появилась БД с более чем 2 млн абонентов белорусского сотового оператора Velcom. Компания обвинила в утечке партнерский банк, которому база была передана для проверки правильности указанных реквизитов при оплате услуг связи. Фирма МЦС даже собралась подать на банк в суд. Пресса при этом отмечает, что БД с клиентами оператора появляются в продаже регулярно с 2002 года
|
|
|
|
Удар по репутации, потеря лояльных клиентов, трудности с привлечением новых клиентов
|
|
|
Октябрь
|
ЗАО «Вэб Хостинг» (владелец торговая марка Valuehost)
|
Массовый отток клиентов, юридические издержки, удар по репутации
|
|
|
Декабрь
|
Банк «Русский стандарт», ХКБ Банк, Росбанк, Финансбанк, Импэксбанк и др.
|
Плохое паблисити, ухудшение репутации всего банковского сектора
|
|
|
Итак, мы выяснили, что наиболее опасной угрозой ИБ является утечка конфиденциальной информации, произошедшей по вине инсайдеров. Потенциальный ущерб отражен в таблице, и все же интересно узнать мнение респондентов, к каким последствиям для организации приводит данная угроза
Только каждый 10-й упомянул об юридических издержках и судебное преследование, что свидетельствует о неразвитости правоприменительной практике в России. 30 января 2007 вступил в действие закон ФЗ-152 «О персональных данных» и тем самым создал все основания для того, чтобы компания, допустившая утечку, могла быть привлечена к ответственности. К сожалению, новый закон пока на сегодняшний день не оправдывает ожидания, не достает вынесения жестких судебных решений для тех организаций, которые допускают утечки. Небольшой обзор, посвященный этому закону будит приведен в разделе «Организационно-правовое обеспечение информационной безопасности».
При этом обращает на себя значительно возросший рейтинг печатающих устройств и фотопринадлежности, которые как и прежде остаются менее покрыты вниманием ИТ-служб, а рост числа сетевых принтеров в организациях, доступность фотопринадлежностей и их встраиваемость во все на свете позволяют злоумышленнику эффективно такими средствами пользоваться. Собственно, уровень ИТ-безопасности в компаниях понемногу растет и достаточно немало компаний уже приобрели и установили у себя средства контентной фильтрации, что немного повлияло на Интернет-канал и электронную почту. И злоумышленникам ничего не остается, как искать иные каналы для выноса конфиденциальных данных.
Очень интересным является следующая гистограмма. Респондентам задавался вопрос о допущенном количестве утечек конфиденциальной, информации в 2006 г.
Количество «затрудняющихся ответить» уменьшается что свидетельствует о положительно динамике, т.к. возросло число респондентов способных однозначно отвечать на вопрос. Каждый 4-й опрошенный ответил, что его компания допустила от одной до пяти утечек, каждый 8-й уверенно сообщает о шести до 25 утечек. Значит у респондентов появилась возможность фиксировать утечки или отслеживать результат по факту происшедшего. Значительно сократилось число респондентов утверждающих, что у них не происходит утечек.
Таким образом, дальнейшая профанация руководством компании вопросов, учитывающих информационные риски, по меньшей мере, приведут к значительным финансовым потерям. В отдельных случаях, они приведут к краху компании. По четкому убеждению российского представительства управляющих различных компаний, утечка конфиденциальной информации в объеме 20% приводит в 60% компанию к банкротству.
2.4 Наиболее распространенные области применения социальной инженерии
Не удивительно, что многие механизмы, методы и схемы заимствованы из арсенала спецслужб. Техника отработана, созданы методологии. Создан серьезный штат специалистов. Частичный переход ряда специалистов из госслужбы в частный сектор, способствовало тому, что часть своих знаний эти специалисты стали использовать для собственных нужд в интересах коммерческого сектора. К сожалению, немало таких знаний стало использоваться в мошеннических целях социальными инженерами. О наиболее «популярных» областях, в которых социтехника используется на все сто процентов, стоит упомянуть.
В основе любой операции, задуманной социоинженером или группой, всегда тщательно изучается объект воздействия и используется та «человеческая уязвимость» которая выражается в желаниях, чертах, характере, привычках и других качествах человека и которая попала в зону пристального внимания атакующего. Следующая, далеко не полная схема (рис. 2.17) показывает современное использование социальной инженерии в мошеннических целях.
2.4.1 Финансовые махинации в организации
Крис Касперский, известный отечественный автор приводил в своей статье [21] факты при которых, за получением гонорара в издательство может прийти кто угодно и назваться в бухгалтерии тем автором, который находится в листе-реестре, получения гонорара. Причем, некоторые наглые товарищи, могут прийти дважды. Сославшись на то, что за него кто-то другой приходил и получил деньги, а он первый раз пришел и такая нелепая ситуация. Картина похожа в разных издательствах, т.к. знать всех авторов в лицо невозможно. Немалое их число проживает в других городах. Тем не менее, немало денежных вопросов решается через электронную почту, по телефону или онлайн-пейджеры, что недопустимо. Введение политики заключения авторских договоров, способно было бы разрешить этот вопрос в пользу издательства, а также пресечь авторов- или мне-авторов мошенников.
/
Немало известно случаев, когда таким же образом приходят получать зарплату ряд операторов продающих какие-то услуги и товары, работающие по соглашению с компанией у себя на дому.
Несколько слов о случайных встречах
Существует немало агентств, которые организуют «случайные встречи» как на заказ, так и для своей работы. К операции «случайная встреча» подготовка идет основательная. Просчитываются все возможные и невозможные варианты. Когда на «жертву» собирается полное досье, учитывающее все, что имеет отношение к нему. В данном случае злоумышленники действуют по принципу «много информации не бывает». Учитываются предпочтения и личные интересы. Если это мужчина, учитывают его отношение к женщине, какой тип женщин у него вызывает восторг, с определенными её чертами и качествами. Какую музыку он случает, какие места посещает, что предпочитает в еде, какие черты характера для него самого характерны. Собирается абсолютно вся информация. Далее с помощью психологов прогнозируется достаточно точно психо- и социотип жертвы с предсказанием её поведения в той или иной ситуации. Используется дерево решений. Например, если подобрали девушку, у которой «сломалась» машина на его маршруте, он не остановившись проехал дальше, тогда организовывается «подставная авария» в которой в его дорогую машину врезается девушка на своем авто. Просчитывается поведение объекта. Подойдет ли он сам, или он жесткий парень и «на разборку» выйдут его охранники. А сам он предпочитает «стерв», а не фифачек, шлепающихся в обморок, как по делу, так и без дела, и такой номер на него не подействует. И вон он сидя в своей машине, слышит гортанный женский голос: «Эй, вы бодигарды, кыш отседова. Говорите, сколько я вашему папаше должна, берите деньги, и проваливайте, не мешайте мне наслаждаться моей нелегкой женской долей. А вашему недоумку, который за рулем скажите, чтобы при виде бабы за рулем, убирался с дороги по добру, по здорову!». Слушая такую речь, Петр Иванович, владелец нескольких крупных салонов и автозаправок в центре столицы, а также небольшого нефтезавода уже подсознательно понимает, что эта речь, этот тембр, принадлежит «стерве его мечты». Решает сам выйти и поглядеть кто она такая. Далее, все идет по раннее разработанному сценарию. Продумывается все, сама речь, постановка и обороты, фактор выразительности и умение реагировать на собеседника, не теряя сноровки. Если такой девушки нет в арсенале агентства, которая бы соответствовала стереотипному представлению жертвы, её обучают и готовят.
В Москве, Санкт-Петербурге и других городах имеются «агентства знакомств» которые собирают обширное досье на первых лиц различных компаний. Особенно попадающие на страницы журнала “Forbs” и в списки состоятельных граждан. Организуется двусторонняя работа, когда женщина заказывает агентству желанного «жениха», либо этому агентству поступает крупный заказ со стороны на «развод» какой-то жертвы. Так организуется «случайная встреча», после которой 40% от всех доходов, полученных за счет вымогательства, в результате деления состояния, переведенных на счет девушки сумм, от стоимости дорогих подарков (драгоценности, дорогая машина, квартира и других) и т.д. передаются в агентство. А также самой девушкой передается информация по этому человеку, представляющая большой интерес для конкурентов, чтобы подавить выбранную жертву. После «полного уничтожения» жертвы, всегда у девушки найдутся веские основания покинуть его. Да и она сама уже способно долго и безбедно самостоятельно существовать, за счет улучшения состояния за счет жертвы.
В таких случаях, очень часто используется желание жертвы, обладать «женщиной своей мечты», эксплуатируется чувство и понятие любви.
Достаточно распространенный пример. Есть некоторая средняя по размеру компания. В ней работает бухгалтером хорошенькая девушка Ольга. «Случайно» в клубе весной, когда все расцветает не только на улице, но и в душе, она познакомилась и без памяти влюбилась в юношу Вадима, очень милого, обаятельного, прекрасного парня. Во время первой встречи, она узнала, что Вадим приехал недавно в город и поступил на вечернее отделение финансового факультета. Бывший слесарь, а это не страшно, рассуждала Ольга, скоро выучится, и будут её коллегой по сфере деятельности. В общем, затевалась свадьба, и впереди было масса приятностей и наконец, долгожданная любовь, о которой мечтала так Ольга. И вот в один «прекрасный» день она узнает, что с её компьютера осуществляет значительный денежный перевод на не известную фирму. В компании Ольга имеет самую замечательную репутацию очень уравновешенного, хорошего и ответственного человека и сотрудника. В это время и Вадим исчез. Никому и в голову не пришло, что это мог сделать Валим, такой потрясающий, отзывчивый, обаятельный и интересный юноша. А дело в том, что Вадим влюбил в себя Ольгу, чтобы воспользоваться её служебным положением. У Вадима целью было воровство денег. Улучив момент и оставшись в кабинете Ольги один, он и осуществил перевод. Как выполнить эту процедуру, он узнал у Ольги, задавая вопросы и интересуясь, как все работает, ссылаясь на профессиональный интерес, в силу получаемого финансового образования. Во время бесед Вадим выяснил, где лежат дискеты с электронными ключами главбуха и директора. Причем, Вадим своими манерами и поведением влюбил в себя многих сотрудников компании, в которой работала Ольга. Даже директор готов был взять Вадима в штат фирмы, благословляя их с Ольгой за раннее свадьбу. Из-за упрощенной процедуры электронной подписи, для осуществления перевода денег, такая махинация может достаточно свободно проводиться во многих отечественных компаниях.
Если на месте Ольги оказался бы сам директор, желающий любви со своей «мечтой», которую бы подобрали по схеме описанной выше, сложно представить себе последствия такой «случайной встречи».
2.4.2 Бесплатное приобретение программных продуктов
Предположим, злоумышленнику требуется некоторый программный пакет и/или техническая консультация. Взломать демо версию или атаковать локальную сеть фирмы разработчика, сегодня не оправданная мера. Лучше, представившись журналистом, попросить один экземпляр программы в обмен на обещание разрекламировать ее в некотором популярном журнале. Какая фирма не клюнет на такую заманчивую перспективу? К тому же вместе с продуктом злоумышленник получит и квалифицированную техническую поддержку непосредственно от самих разработчиков, а не девушек операторов, обслуживающих рядовых клиентов.
Злоумышленнику придется сложнее, если требуемый ему продукт настолько специфичен, что вообще отсутствует на рынке. Разработка 'под ключ' обычно стоит дорого, но если проявить чуточку смекали, возможно все. Вот на сайте аля www.jobs.ru появляется объявление о высокооплачиваемой работе по Интернету. Прием сотрудников, естественно, происходит на конкурсной основе и каждому кандидату дается тестовое задание, по результатам выполнения которого и судят о его, кандидата, профессионализме. Вы не прошли тест? Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова, если, конечно, к тому времени не поймете, кто остался с носом, а кто - с готовым продуктом. Самое печальное, что предъявлять злоумышленнику гражданский иск бессмысленно, поскольку состав преступления отсутствует.
Защитить себя от подобных обманов очень трудно, поскольку, аналогичная схема набора сотрудников широко используется и легальными фирмами. Напротив, очень немногие работодатели готовы оплачивать работу 'котов в мешке'. Поиск хорошей работы - это вообще рулетка и без разочарований здесь не обойтись.
2.4.3 Бесплатный наем рабочей силы
Распространенная практика найма «бесплатной» рабочей силы для выполнения либо какого-то заказа на разработку, либо написания собственной системы для компании. Как отмечалось в предыдущем пункте, это может быть непосредственно поиск работы по какому-либо сайту и в качестве тестинга, компания высылает по интернету на обозначенный ею срок заказ на разработку какого-то модуля или другого программного средства. Или уже начатую разработку, и соискателю нужно будит в указанный срок разработать/доработать какой-то программный продукт. При этом, не заключаются никакие соглашения, в виде договора на разовую работу.
Или другой механизм, когда компания приглашает на разработку квалифицированные кадры. Часто говорит, что у нас мол, выплата зарплаты производится по истечению двух месяцев работы и за один месяц, а не два разработанных. Мы мол, к вам присматриваться будем, подходите вы нам или нет. По истечению двух месяцев мы с Вами будим заключать трудовой контракт, если подойдете.
Разумеется, по истечению двух месяцев выплачивается зарплата за месяц, и то далеко не та обещанная сумма, нежели была обозначена на собеседовании и ответ сотрудника отдела кадров «Извините, вы нам не подходите». Или через месяц человека просто просят уйти. По Москве сам таких случаев от своих коллег знаю немало.
2.4.4 Информация о маркетинговых планах организации
Сыграть на опережение, компании конкурента, выведав её маркетинговые планы - один из желанных лакомых кусочком большинства компаний. Впрочем, эти сведения, при их получении можно выгодно продать. Методы социальной инженерии, самый простой способ получения такой информации, этим всегда пользуется конкурентная разведка.
2.4.4.1 Выставки
Очень хороший способ получения информации от представителей компаний на выставочных стендах. Если человек проявляет к продукции заинтересованность, тогда, как правило, представитель фирмы готов поведать все, что он знает о продукции, последующих перспективах, сильных сторонах продукта и технологиях. Достаточно, просто слушать. Но, если немного владеть данной областью, тактично, умело и последовательно, задавать вопросы, сопоставлять с продукцией конкурентов, указывая на некоторые сильные стороны конкурирующих решений, перемешивать ключевые вопросы с общими, изменять скорость отпускания новых вопросов и реплик, вызывать в собеседнике эмоциональные нотки, чтобы он пытался отстаивать свою точку зрения, можно узнать массу всего. При этом еще и записывать на диктофон. Главное, не говорить инее представляться конкурентом этой компанию. Ключевую роль играет сама надпись на бейджике представителей топ-менеджмента. Сам вид и поведение должно соответствовать надписи на бейджике, не обязательно быть в очень дорогом костюме. Опрятность в манерах, одежде, поведении, это прежде всего.
Если представитель компании не разговорчив, боится представить компанию в невыгодном свете, тогда меняется сам подход. Допустим, можно войти в роль руководителя компании, знать инициалы директора интересующей нас компаний или группы руководителей топ-менеджеров этой компании, можно спросить: «А что нового появилось у вас в этом году? Что-нибудь про это знаешь?» - если представитель не сразу ответил, тогда используется беспроигрышный ход: «Хорошо! Не суть важно, сам позвоню Иванову, спрошу у него!», уходя при этом добавить: «… непонятно кого поставили у стендов, двух слов связать не могут, уж на такие мероприятия нужно знающего человека присылать». Если представитель интересующей нас компании не отреагировал, тогда походив по другим стендам, следует подойти вновь к стенду, задав на этот раз значимый вопрос, с точки зрения представителя компании, по существу: «А вот про это тебе хоть что-то известно? У тех ребят на стенде и в раздаточном материале все четко расписано и отвечают грамотно. Вы будите подобное делать, или мне сразу стоит с ними заключить договор?». Поскольку уже фигурировала фамилия генерального директора, существует большая вероятность того, что представитель компании начнет рассказывать. Представить компании в не лучшем свете, опасается каждый представитель компании на выставке, что для получателя информации является мишень, при этом аттракцией будит являться значимость «мнеперсоны» статус которой указывается на бейджике и его поведение об этом свидетельствует само за себя.
2.4.4.2 Интервирование ключевых лиц компании
После получения информации на выставке, интересно провести интервирование ключевых лиц этой компании. В процессе интервью возможно получение массы информации о положении дел на предприятии. Узнать о маркетинговых планах, кто с кем объединяется и дружит, кто кого обидел, каковы отношения с конкурентами вообще, узнать о некоторых опасениях компании и т.д. Здесь играет роль один их недостатков человеческого фактора - чувство собственной значимости и безопасность уходит на второй, третий план. Поэтому, интервью с удовольствием дают многие, особенно, если для телевидения. Для социоинженера, это выгодно, т.к. не нужно стесняться в вопросах и можно ими разнообразить, без риска вызвать подозрение. В терминах это называется вести скрытый допрос, т.е. извлекать полезную информацию из разговора с тем, кто не подозревает, что стал объектом вытягивания информации. Часто такой прием используют в психологии.
Для того, чтобы разговорить оппонента, следует «поддеть», спровоцировав его на эмоции. Для этого часто, в процессе беседы, достаточно сказать фразу: «Но вот у организации ААА (конкурент), в журнале «Мир высоких технологий» писалось, что их продукция по многим техническим параметрам опережает производимую у Вас на предприятии аналогичную продукцию. Чем Вы можете это объяснить?». Более того, при большой заинтересованности, можно создать вариант такого журнала с распечаткой статьи и выдержками из нее, или создать сайт с таким журналом и разместить там указанную статью. И во время интервью показать этот материал. Если требуется получить серьезную информацию, тогда это не окажется затратной частью и продумывается масса мелочей. Важно - убедить собеседника и поддев его получить желанную информацию. Причем, периодически стоит «ошибаться», чтобы собеседник начал поправлять и тем самым чувствовал свою значимость и компетентность в вопросе. Результат интервью окажется всегда потрясающим, если тщательно подготавливать вопросы, их порядок и иметь запасные варианты как вопросов и поведения, так и «легальности» представительства, на которое ссылаемся при встрече (несложно арендовать на время телефонный номер и усадить по нему человека, который бы выступили от лица секретаря или главного редактора, например).
Другой подход, превратиться в абсолютно «технически безграмотного дурака». Прося объяснить ту или иную деталь. В таком случае чувство превосходства дополняет чувство собственной значимости.
В терминах психологии, использования трансактного анализа, первый подход является манипулированием по схеме Родитель - Дитя, когда мы производим нападение на оппонента, выступая в роли подкованного и информированного Родителя. Задача нашего оппонента отстоять точку зрения и как Дитя попытаться оправдаться. Второй подход обратный первому, когда разыгрывается Дитя - Родитель и в трансактном анализе он более значим и является хорошим началом многих манипуляций. Достаточно представить ребенка, чтобы понять как он умеет «раскрутить» родителей на покупку мороженного или игрушки.
2.4.5 Кража клиентских баз
Статистика таких краж невелика. Но это не значит, что таких случаев мало. Наоборот, в целях скрытия таких прецедентов компании стараются умалчивать факт хищения клиентских баз, т.к. это значительно отразится на репутации организации в целом. Спрос на базы данных всегда был и остается наиболее значительным.
Уповать на государство и законодательную базу не приходится. Так «Комсомольская правда» от 03.03.2006 г. опубликовала статью «Кто и как ворует базы данных?» в рубрике «Расследование КП», в которой сообщает, что «на торговле краденными в госучреждениях персональными сведениями о россиянах делаются миллионы данных. На неделе появилась очередная база данных за 1200 у.е. содержащая паспортные данные 16 млн. россиян как нынешних, так и бывших жителей столицы. Базой приторговывает Московский центр экономической безопасности, который судя из названия, обязан эту информацию защищать. Руководство центра чуть ли не с гордостью, заявляло, что базу они продают вполне официально. Потому, как закона, запрещающего торговлю такими данными, нет». Странно, о какой национальной безопасности вообще можно говорить, если сегодня не редкость встретить на Горбушке и других рынках, где продают программное обеспечение базы данных с данными из ГИБДД, МВД, Пенсионным фондом и т.д.
В своей основе лежит беспечное отношение сотрудников компании. Очень часто счета фактуры, иные финансово-платежные документы лежат стопками на столах сотрудников, которые имеют привычку выходить на 10-30 минут с кабинета, не блокируя свою рабочую станцию. Мусорные корзины в организациях часто заполнены теми документами, которые должны уничтожаться только с помощью шредера или сжигаться за счет специально-организованных выездов для утилизации финансовых документов, расходных лент с факсимальных аппаратов, магнитных носителей и т.д. В ряде магазинов (мебельные, где продажей техники и других) не редки случаи, когда продавец, очень долго оформляет покупку из-за слабых навыков работы с системой. На просьбу, может ли помочь ввести в 1С данные или другое программное средство, ведущее собственную базу данных, откликаются, и позволяют сесть за рабочее место оператора. При этом могут отлучиться от рабочего места на несколько минут, а проходящий мимо персонал магазина не особо беспокоится, что на рабочем месте сидит посторонний человек.
Не редко, под видом обслуживающей фирмы (представителя 1С например) или технической службы на предприятие проникают посторонние, уточняя какими базами сейчас пользуются сотрудники и как бы желая обновить базы, дополнить новыми. Можно подружиться с системным администратором и подменить его, когда тому нужно по делам в рабочее время решать иные вопросы (организовать вызов ему в военкомат, в домоуправление и т.д. подбросив в почту повестку). И при проверке, позвонив системному администратору он подтвердит легальность своего товарища.
Другая распространенная схема, это трудоустройство менеджером по продажам на 1-2 месяца (на испытательный срок), после получения копии базы, не дожидаясь срока истечения уйти из организации, обосновав тем, что такая работа не подходит, буду пробовать на другой должности.
Самый распространенный случай, это уход ведущего менеджера или группы менеджеров вместе с базой клиентов. Причем, после ожжет достаточно легко появиться новая фирма в составе ушедших менеджеров и работающая с теми же клиентами, что и на предыдущем месте. Учитывая привязанность многих компаний к конкретному менеджеру, ведущего их фирму, и желающего работать только с ним (возможно, были какие-то устные договоренности, устраивающие обоюдно друг друга) ведут к прямым финансовым потерям и выработке негативного отношения на рынке самой организации, которую покинул этот менеджер или группа менеджеров по продажам.
Отмечу еще один нюанс, свидетелем таких ситуаций приходилось быть самому. Когда с руководящих постав компании (коммерческий директор, директор по связям с общественностью, начальник отдела маркетинга, начальник отдела продаж и т.д.) уходит сотрудник, тогда он обычно обращается в информационно-технический отдел к кому-то из технической службы или администратору, чтобы последний сохранил его рабочий профиль и записал профиль на диск или флеш-карту (которую последний сам предоставляет). В 99% случаев, среди этих данных обязательно присутствует база клиентов, с которой работает в настоящее время компания. Увольняющийся сотрудник, обычно аргументирует это как свои наработки за время работы в компании. Однако, некоторые сотрудники работали в компании 3-4 недели. При этом профиль пользователя по объему занимал почти столько же, сколько профиль сотрудника отработавшего в компании на аналогичной должности от года и больше. Причем, сохраняя с помощью IT-службы свои данные, он легализует эту операцию, делая её не своими руками, тем самым отводит ненужное подозрение от себя. Манипуляция происходит за счет личностных отношений («притирки») к сотрудникам IT-службы. Как правило, все руководители, начиная от технического звена и топ-менеджмент, стараются не сориться с данным подразделением, периодически их сдабривая.
В качестве примера, когда вынос клиентской базы может работать не основой для становления своего бизнеса, а всего лишь, как средство получения разовой прибыли. Украинские спецслужбы в 2006 г. раскрыли цепочку противоправных нарушений, начавшуюся с продажи диска с базой данных абонентов одного из харьковских интернет-провайдеров. Покупатель, некий народный умелец, ставший обладателем этой конфиденциальной информации, нашел себе «спонсоров» среди клиентов этого провайдера и произвел ряд перекрестных транзакций, тем самым лишив возможности провайдера восстановить состояние счетов. Компания вынуждена была начислить пострадавшим клиентам компенсацию, в результате её собственный ущерб составил несколько десятков тысяч гривен (точная сумма не указывается, но в долларовом эквиваленте это приличная сумма с учетом зарплат на Украине).
2.4.6 Рейдерские атаки
Рейдеры - это захватчики предприятий, которые поглощают или помогают поглотить насильственно выбранный объект, против воли поглощаемого объекта. Соответственно рейдерская атака - это атака по захвату предприятия.
В толковом словаре, понятие рейдер дословно означает, военный корабль, ведущий на морских путях самостоятельные операции по уничтожению транспортных судов противника.
В нашем случае, это сложная процедура, планирующаяся с инженерной точностью, имеющая в своем составе несколько ключевых этапов (рис.2.18).
/
1 этап. Сбор информации о предприятии.
На этом этапе наиболее широко используются методы социальной инженерии. Собирается и анализируется вся информация о предприятии: финансовая ситуация на предприятии, список контрагентов, список клиентов, список акционеров (реестр акционеров), информация о слабых и сильных сторонах предприятия, о вредных привычках руководства и сотрудников, кто поддерживает друг с другом дружеские отношения и против кого, информация о маркетинговых планах и прочее. Этап занимает 1-3 месяца в зависимости от масштаба предприятия, организационной структуры в нем. Ключевым моментом является получение копии реестра акционеров.
2 этап. Начало атаки.
Атакой является начало скупки акций у миноритарных акционеров (акционеры с небольшим количеством акций), которые рейдеры скупают по очень выгодной цене для держателя акций.
Одновременно со скупкой акций проходит работа по «закошмариванию» предприятия, т.е. организация по дезорганизации его работы. Что приводит к большему числу акционеров желающих расстаться со своими акциями.
В рамках ведения дезорганизационной (диверсионной, можно так назвать) деятельности, руководству «впариваются» иски от имени акционеров по поводу нарушения различных операций с акциями, нарушения порядка проведения сделок, возбуждаются уголовные дела в отношении сотрудников и руководству (чаще всего фиктивные и подделки), инициируются проверки деятельности предприятия различными службами (налоговая, противопожарная, санэпидстанция и т.д.) для парализации работы предприятия широко используется техника гринмейл (корпоративный шантаж, достигаемый реализацией прав мелких акционеров агрессивным образом или вышеприведенной деятельностью).
На этом этапе используется повсеместно набор техник социального программиста (глава 2.7). Осуществляется класс атак HDoS (Human denial-of-service) т.е. отказ в обслуживании самого человека, или метод «блокировки» используемый психологами. Такие атаки достаточно популярны в технике социоинженера и социопрограммиста.
Руководство предприятия в это время начинает идти на увольнение работников для локализации проблемы. Акции предприятия переводятся в доверительное управление или передаются в залог другой компании как правило, подконтрольной основному предприятию. Далее проводится дополнительная эмиссия акций и организуется самим предприятием контрскупка акций.
На этом этапе сегодня, часто привлекают социопрограммистов. В частности задача таких специалистов дискредетировать предприятие в сети Интернет, чтобы СМИ «раздули» скандал и обсуждение. Заводятся форумы, вычисляются партнеры и клиенты предприятия-объекта и создается негативное паблисити, как предприятия-объекта, так и его партнерам и клиентам. Если же у предприятия есть свой сайт и форум, все необходимое готово и социоинженер начинает работу с него.
3 этап. Внесение раскола в состав руководства предприятия.
Задача рейдеров, стать обладателями 30% + 1 акциями, чтобы свободно войти на предприятие. Консолидированный пакет у руководства сегодня, это не меньше 70% акций, чтобы обезопасить себя после кошмарных 90-х годов. Тогда рейдеры пошли по другому пути - внесение раскола между членами управления, играя на внутренних противоречиях между управляющим составом предприятия. О чем становится известно на 1-м этапе. Здесь имеют место интриги и скупка акций у основных держателей акций.
Параллельно формируется оппозиция из миноритарных акционеров, для последующего входа на предприятие или «легализации» своих отношений.
Действие руководства на этом этапе:
· Постараться смягчить конфликт между управляющим составом предприятия;
· Попытка смягчить оппозицию, частично уступая миноритарным акционерам.
На этом этапе, очень широкое поле деятельности для социального программиста. В силу предсказуемости многих поступков людей и групп. Создавая ореол неблагополучного предприятия, сотрудники его просто покидают.
4 этап. Работа с активами предприятия.
На этом этапе руководство предприятия пытается сделать так, чтобы захват предприятия потерял для рейдера смысл. Для этого руководству нужно либо вывести активы предприятия, либо каким-либо образом их обременить. Рейдеры пытаются этого не допустить.
5 этап. Вход на предприятие.
Для легального входа на предприятие рейдер пытается созвать внеочередное собрание акционеров для переизбрания совета директоров. Для этого, собирается пакет акций 30% +1 акция и посылается в действующий орган управления предприятия требование о созыве внеочередного собрания акционеров. После игнорирования руководством собрания, рейдер имеет право провести такое собрание самостоятельно (как правило скрытно, с присутствием на нем подконтрольных рейдеру акционеров, кто пытается присутствовать из управляющего совета, таких пытаются блокировать или обмануть). В таком случае первое собрание не является достаточным кворумом для принятия решения, поэтому на первом собрании констатируется отсутствие кворума, что заносится в протокол собрания и все расходятся. Если собрать повторное собрание, то 30% + 1 акция уже будит считаться кворумом и решения принимаются большинством голосов. Как правило, это прекращение полномочий прежнего совета директоров и избрать новый совет директоров (т.е. параллельный орган управления). Рейдеры делают еще один шаг, с помощью одного из участников собрания в суд направляется претензия к проведению собрания, чтобы признать его недействительным. Повод выбирается формальный, чаще вздорный, чтобы суд не признавал его значимости. Что суд и делает. Документ получаемый на руки рейдеру ценный, т.к. он признал очередное собрание легитимным и суд это подтверждает. После чего, параллельный орган начинает работать и предприятие в руках рейдера.
2.5 Общая классификация АТАК и связанные с ними угрозы, ОСНОВАННых НА МЕТОДАХ СОЦИОТЕХНИКИ
Корпорация Microsoft все угрозы связанные с использованием методов социотехники для упрощения восприятия, выделяет в пять основных направлений проведения атак [26]. Считаю её достаточно удачной классификацией и поэтому возьмем её в качестве общей структуры.
Направления атак:
1. Сетевые атаки.
2. Телефонные атаки.
3. Поиск информации в мусоре.
4. Персональные (личностные) подходы.
5. Обратная социальная инженерия (или инсайд).
Как упоминалось раннее, главной целью атак злоумышленников является так называемая чувствительная информация: персональная информация пользователей (имена, пароли, аккаунты, идентификационные номера, банковские реквизиты и т.п.) и данные о корпоративных сетях. С помощью такого рода сведений возможен обход многоуровневых систем защиты от вторжений. Злоумышленниками движут людские потребности - получение денег, получение социального статуса и поднятия собственной самооценки. Что это несет для компании-цели атаки, мы видели в аналитическом разделе (раздел 2.3).
Как было выяснено, самыми дорогими и потому, самыми опасными являются неправомерные действия сотрудников, т.е. внутренние угрозы. В разделе 2.3 (рис. 2.4, рис. 2.6, рис. 2.11, рис. 2.12 и рис. 2.15) на гистограммах указаны основные виды каналов утечки конфиденциальной информации. Специалисты по защите информации, считают, что основными причинами вызывающие утечку конфиденциальных сведений являются [27]:
1. Открытый доступ сотрудников к большому объему информации, зачастую не требующейся для выполнения их служебных обязанностей.
2. Это несвоевременная деактивация электронных аккаунтов сотрудников, уволенных из компании.
3. Косвенная, но важная причина - наличие (или разрешение) в компании средств коммуникации, опасных для использования. К таким средствам относятся, например, интернет-пейджеры и бесплатные почтовые сервисы (mail.ru, rambler.ru и т.п.).
4. Электронная почта и Интернет, если их использование не регламентируется соответствующими политиками и не контролируется специальными средствами.
2.5.1 Сетевые угрозы
У мошенников имеется целый арсенал отработанных средств и наработанного опыта, который постоянно пополняется и даже профессионалу часто сложно оценить ситуацию, чтобы не попасться на очередную уловку. В силу того, что сегодня основная масса информации любой компании обрабатывается в электронном виде и передается, как по внутренним, так и внешним телекоммуникационным каналам связи, рассмотрим наиболее опасные угрозы, которые используют наиболее популярные сегодня в любой компании каналы - электронную почту, Интернет, службы мгновенного обмена сообщениями.
2.5.1.1 Угрозы связанные с электронной почтой
Электронная почта стал обыденным инструментом любого сотрудника в компании. Ежедневно многие из нас получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. При таком потоке корреспонденции невозможно уделить должное внимание каждому письму, да и не редко, просто притупляется внимательность или возникает любопытство, а кто нам написал, или письмо по содержанию оказывается убедительным, чтобы нажать на ссылку внутри него или выслать определенные данные по указанному адресу. Даже темы, от незнакомых нам лиц бывают актуальными или сентиментальными. Например, письмо пришедшее от банковского агента, в котором заведен личный счет, с просьбой подтвердить свои данные.
Злоумышленник может отправить сотруднику компании письмо, в котором говорится об указании начальника прислать ему все расписания выходных дней для организации встречи, отправив копию ответа всем пользователям, включенным в прилагаемый список. Злоумышленник может легко включить в этот список внешний адрес и подделать имя отправителя, чтобы казалось, что письмо получено из внутреннего источника. Подделать данные особенно легко, если у злоумышленника есть доступ к корпоративной компьютерной системе, потому что в этом случае ему не могут помешать брандмауэры, защищающие периметр сети. Утечка информации о расписании выходных дней подразделения не кажется угрозой безопасности, но на самом деле благодаря этому злоумышленник может узнать, кто из сотрудников компании и когда будет отсутствовать на своем рабочем месте. В это время злоумышленник сможет выдать себя за отсутствующего сотрудника с меньшим риском разоблачения.
Фишинг Термин произошел от словосочетания «ловля и сбор паролей» (password harvesting fishing) - вид онлайнового мошенничества, целью которого является получение идентификационных данных пользователей с помощью техник социальной инженерии, когда пользователя ложным письмом или сообщением от той или иной организации пытаются заставить ввести определенные данные на сайте, контролируемом злоумышленником. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов, от имени партнеров, телекоммуникационных компаний (якобы оператора связи, услугами которого пользуется компания) и вставляют в них ссылки на фальшивые сайты. Оказавшись на таком сайте, пользователи рискуют сообщить преступникам информацию cугубо конфиденциального характера.
Например, на следующем рисунке (рис. 2.19) показана на первый взгляд корректная ссылка на страницу управления учетной записью веб-узла компании Contoso.
Используя фишинг, злоумышленник обычно действует наобум, просто запрашивая у пользователя информацию. Для придания правдоподобности таким письмам злоумышленники могут использовать в них корпоративные логотипы и шрифты и даже указывать реальные бесплатные телефоны службы поддержки, ФИО реальных сотрудников компаний, от чьего имени производится якобы рассылка. Информация у пользователей часто запрашивается под предлогом оказания помощи с обновлением систем или предоставления дополнительных услуг. Более продвинутой формой фишинга является направленный фишинг (spear-phishing) -- атака, целью которой является конкретный сотрудник или группа сотрудников. Этот подход гораздо более сложен, поскольку в этом случае злоумышленник должен быть знаком с личными и важными корпоративными данными, чтобы его обман выглядел убедительно. Однако и вознаграждение злоумышленника при этом выше: добившись успеха, он получит более подробные и конкретные сведения.
Если приглядеться внимательно к самой ссылке, можно заметить два несоответствия:
1. В тексте письма утверждается, что узел, на который указывает ссылка, защищен с помощью протокола https, тогда как по подсказке видно, что на самом деле при взаимодействии с этим узлом используется протокол http.
2. В тексте письма указано название компании Contoso, но на самом деле ссылка указывает на веб-узел компании Comtoso.
Раньше, чаще других фишинг-атаками подвергались пользователи различных банковских и платежных систем. Сегодня, помимо этой цели преследуется новые цели - это неавторизованная загрузка вредоносного кода пользователю, для осуществления «захода с боку» и проникновение в корпоративную сеть, удаленного администрирования компьютера подключенного к сети, воровство персонифицированных данных, выявления уязвимостей в системе и загрузка ботов. Злоумышленники рассылают пользователю письма с троянскими программами, осуществляющими кражу банковских реквизитов, номера и PIN коды платежных карт и другие персональные данные. Очень часто, преступники действуют цинично и не остаются без их внимания даже происходящие в мире трагедии. Так, декабрьское цунами 2004 г. в Юго-Восточной Азии, унесшее жизни сотен тысяч людей, вызвало внедрение многочисленных вирусов и краж конфиденциальной информации. Были зафиксированы рассылки троянских программ, выдаваемых за «фотографии цунами», «секретные отчеты о численности жертв» и т.п.
Фишинг-атаки осуществляются следующим образом: предварительно злоумышленники подготавливают сайт-двойник или специальный сайт с вредоносной страницей Взламывается, как правило, какой-нибудь относительно популярный веб-сайт. Известность подобного сайта играет немаловажную роль в привлечении к нему внимания пользователей. Кроме того, сайт с вредоносной страницей может быть создан на любом доступном хостинге. На практике подобные сайты существуют недолго: их закрывают сами хостинг-провайдеры при получении запроса от антивирусных компаний или правоохранительных органов. Третий способ создания вредоносного сайта - это заражение сервера владельца сайта или хостинговой компании с последующим доступом к аккаунтам для управления взломанными сайтами.. Затем при помощи так называемых ботнетов «Ботнет» или «зомби»-сеть - сеть из зараженных компьютеров и серверов, централизованно управляемых злоумышленниками. Существуют различные способы создания таких сетей: в основном, для проникновения на компьютер-жертву применяются различные уязвимости в системе Windows, способы подбора паролей к открытым на доступ сетевым ресурсам, а также рассылка почтовых червей, которые открывают на зараженной системе определенные порты и позволяют злоумышленнику получить полный доступ к системе. В дальнейшем «ботнеты» используются для рассылки спама, организации DoS-атак, а также распространения вредоносных программ. По оценкам специалистов, в настоящее время общее количество компьютеров, входящих в какой-либо «ботнет», составляет несколько миллионов, а их число ежемесячно увеличивается на 300-350 тысяч. осуществляется массированная спам-рассылка электронных писем и сообщений для интернет-пейджеров (SPIN-рассылки), призывающих получателя зайти на подготовленный инфицированный сайт. Рассылка может быть осуществлена не только по электронной почте, но и при помощи других средств коммуникации, например, через интернет-пейджеры. Цель рассылки создать мотивированную реакцию пользователя, т.е. посещение сайта по указанной ссылке в письме. При этом злоумышленник, как правило, подменяет DNS на целевой сайт (DNS poisoning) или каким-либо другим способом перенаправляет сетевой трафик Метод, часто называемый фармингом, от английского слова pharming., чтобы скрыть истинный адрес взломанного сайта. Изобретательности мошенников нет предела, есть целый ряд вариантов фишинга с помощью электронной почты, в том числе применение изображений в качестве гиперссылок на вредоносные программы и включение текста в изображения ради обхода фильтров проверки гиперссылок.
Затем на сайте пользователю предлагается ввести персональную информацию (банковские реквизиты, пароли, PIN-коды и т.п.) или изменить пароль для онлайновых операций в целях безопасности. Таким образом, в руках злоумышленников окажутся персональные данные пользователей банковских систем. Дальнейшее их применение с целью кражи финансовых средств со счетов становится «делом техники». Помимо финансовых махинаций, может быть предложено зарегистрироваться на сайте для ознакомления с новостями в интересующей пользователя сфере, финансовой например. Вероятность того, что пользователь введет логин и пароль который он использует в компании для личного доступа к корпоративным ресурсам равна 80% по проведенным исследованиям аналитического центра Info Watch.
Первым случаем в России фишинговой атаки произошел в мае 2004 г. когда владельцы кредитных карт Ситибанка получили письма от «администрации банка» с просьбой уточнить личные данные - номер карты и PIN-код. Поскольку держателей таких карт в России - десятки тысяч, рассылка этих писем была поставлена на поток и проводилась в течение трех месяцев. Мошенники действовали по отработанной схеме: все ссылки из писем вели на фальшивый сайт Ситибанка. В самом Ситибанке утверждают, что ни одного пострадавшего не было. Через несколько дней после начала скандала банк разослал заявление о своей непричастности к хакерской рассылке, подписанное президентом Алланом Херстом. Атаки на Ситибанк продолжались до осени. В конце сентября клиенты банка получили последнее письмо, в котором сообщалось, что на их счет пришла некоторая сумма, и для ее зачисления нужно подтвердить свои реквизиты.
Фарминг - метод хищения идентификационных данных интернет-пользователей. Суть его сводится к автоматическому перенаправлению пользователей на фальшивые сайты. В отличие от фишинга, этот способ хищения данных почти не требует участия потенциальной жертвы. Пользователи могут стать жертвой фарминга в силу уязвимостей браузеров, операционных систем и DNS-серверов. Механизм фарминга вступает в действие, когда жертва открывает почтовое сообщение с троянской программой (как правило, рассылаемое по спамерским спискам) или посещает веб-узел с исполнимым файлом, который тайно запускается в фоновом режиме.
Когда пользователь набирает интернет-адрес, чтобы получить доступ к веб-странице, адрес должен быть конвертирован в реальный IP-адрес в следующем формате: 000.000.000.000. Обычно требуется DNS-сервер, так как браузер не может совершить конвертацию. Эти серверы администрируют имена, соответствующие каждой из таких цифровых последовательностей и доставляют пользователя на запрашиваемую страницу.
Атаки фарминга могут проводиться напрямую против DNS-сервера таким образом, что изменение адреса повлияет на всех пользователей, обращающихся к серверу, или они могут быть выполнены локально, т.е. на отдельных компьютерах. Последний способ предполагает изменение на компьютерах, работающих под управлением ОС Windows файла hosts. Здесь хранится информация о серверах и соответствующих им IP-адресах, наиболее часто используемых, чтобы не нужно было обязательно обращаться к DNS-серверу для конвертации интернет-адресов (URL) в IP-адреса. Если этот файл перезаписан, и в него вносятся фальсифицированные адреса страниц, то каждый раз, вводя имя сайта в браузере, пользователь попадет на страницу, созданную злоумышленником, которая выглядит так же, как истинная страница. Ничего не подозревающая жертва затем может ввести конфиденциальные данные. При этом злоумышленник имеет возможность редактировать hosts-файл напрямую (осуществляя удаленный доступ к системе) или используя вредоносный код, обычно - троянцев.
2.5.1.2 Вредоносные программы
Вредоносные программы включают в себя вирусы, черви, троянские программы, а также различные скрипты и исполнимые программы.
Почтовые черви - это вредоносные программы, которые распространяются по каналам электронной почты во вложениях к почтовым сообщениям. Они запускаются при открытии пользователями вложенных файлов и используют уязвимости в почтовых клиентах. Почтовые черви снабжены механизмами саморазмножения и используют для распространения списки рассылки почтовых клиентов.
В настоящее время эпидемии почтовых червей происходят значительно реже, в связи с чем сегодня наблюдается морфологические мутации и зменения червей и на замену почтовым червям приходят черви для интернет-пейджеров (IM-черви, Instant Messaging) и файлообменных сетей (P2P-черви, peer-to-peer), защищенных гораздо хуже современных почтовых программ.
Распространение IM-червей осуществляется следующим образом: на атакуемые компьютеры рассылаются (как правило, по записям контакт-листов заранее взломанных интернет-пейджеров) сообщения, содержащие ссылку на специально подготовленный веб-сайт. Используя технологию социального инжиниринга, злоумышленник заставляет пользователя пойти по указанной ссылке. На сайте находится вредоносная программа. В момент ее загрузки червь (либо через эксплойты различных уязвимостей в Internet Explorer и клиентах интернет-пейджеров, либо путем прямой загрузки и запуска) проникает в систему.
Инсталляция Р2Р-червей на компьютер-жертву осуществляется в момент закачки файлов по файлообменной сети. При этом вредоносные программы внедряются в загружаемый файл и используют различные способы маскировки, чтобы не быть замеченными в момент передачи данных.
Большинство Р2Р и IM-червей способны устанавливать в систему и другие вредоносные программы. Так, существует немало червей, устанавливающие троянские программы на зараженные компьютеры. С помощью троянцев с компьютера жертвы осуществляется кража конфиденциальной информации или персональных данных. Сам же компьютер превращается в «зомби-машину» и включается в «ботнет».
Троянские программы -достаточно сильный и широкоиспользуемый инструмент любого мошенника при осуществлении атаки на корпоративную сеть. В зависимости от задач, которые выполняют троянские программы, различают соответственно:
· троянцы-шпионы и бекдоры (от английского trojan-backdoor - «черный ход»), предназначенные для кражи конфиденциальной информации и персональных данных, рассылки спама и осуществления атак типа «отказ в обслуживании»;
· троянцы-прокси, используемые злоумышленниками для построения «ботсетей»;
· уведомляющие троянцы, (от английского Trojan_Notifier), сообщающие злоумышленнику о том, что компьютер инфицирован;
· троянцы-загрузчики (от английского downloader), целью которых является установка и постоянное обновление вредоносных программ на инфицированных машинах;
· PSW-троянцы (от английского password), используемые для поиска, а также кражи паролей и кодов доступа.
Основным способом распространения троянских программ являются массовые спам-рассылки, а также почтовые и IM-черви.
2.5.1.3 Потенциально опасные программы
Достаточно новый вид угроз, который возник в виду изменившегося в последнее время портрета нарушителя. Это достаточно мощный и очень часто нужный класс программных средств, поставляемый с операционной системой и средствами администрирования и разработки легально непосредственным разработчиком или третьими разработчиками. Такие программы принято относить к классу «riskware» или «greyware» («потенциально опасные программы»). Хотя это легитимное ПО и созданы во благо, но в руках злоумышленников могут причинить значительный вред информационной системе. В связи с чем, специалисты по ИБ отнесли такие средства к угрозам.
Сюда входят: программы дозвона (dialers), программы-загрузчики (для скачивания файлов из Интернета), IRC-клиенты, FTP-серверы, серверы-посредники (proxy), telnet-серверы, web-серверы, программы мониторинга, PSW-утилиты, утилиты удаленного администрирования и т.п.
Полезность всех вышеназванных программ и утилит трудно переоценить. Однако в связи с коммерциализацией Интернета их начали (сначала легально) использовать, например, в поисках информации о предпочтениях пользователей в целях маркетинга, для продвижения собственных сетевых ресурсов любыми доступными средствами (в том числе с помощью фальсификации результатов поиска в Интернет). Затем злоумышленники стали применять эти программы в целях сбора и кражи конфиденциальных и персональных данных, изменения и уничтожения информации и т.д.
2.5.1.4 Программы-шпионы
Среди потенциально опасных программ, особенно выделяются программы-шпионы (spyware). Данное ПО позволяет собирать сведения об отдельном пользователе или целой организации скрытно.
Первыми такими программами были сетевые сниферы, отнесенные к классу программ-bags, следящей за действиями пользователя и протоколирующая все, что видит. Набор таких программ представлен в Сети в богатом ассортименте позволяющего отслеживать и протоколировать любой доступный канал.
Spyware - это, по сути, тот же снифер, только устанавливается он объектом слежки на свой компьютер добровольно. Среди программ-шпионов выделяют следующие типы:
· Считыватели клавиатуры (монитора) - key/screen loggers. Специальные программы, обеспечивающие сбор и отправку информации, которую пользователь набирает с клавиатуры (выводит на экран).
· Сборщики информации. Программы-шпионы, которые осуществляют поиск на жестком диске определенных данных (пароли, персональные данные, конфиденциальную информацию и т.п.) и отправку их внешнему адресату.
· Программы-загрузчики. Специальный код, позволяющий проделать бреши в системе защиты и загружать на инфицированный компьютер дополнительные вредоносные программы.
Такое ПО распространяется разными способами, но чаще всего - массовой спам-рассылкой. В этом случае можно выделить два варианта: одноэтапный и двухэтапный. Для первого характерно, что в качестве распространяемого спам-рассылкой файла выступает одна из разновидностей шпиона, во втором - сначала на компьютер-жертву устанавливается троянская программа-загрузчик, которая затем осуществляет загрузку одной или нескольких шпионских программ рассматриваемой группы. Другой способ распространения - с почтовыми червями. Такие черви, попадая на компьютер, либо сами загружают шпионскую программу, либо устанавливают на инфицированной машине троянца-загрузчика, который впоследствии осуществляет инсталляцию шпионского ПО. Некоторые версии программ-шпионов используют для распространения HTTP и FTP-трафики.
Все вышеперечисленные способы распространения программ-шпионов объединяет одна, пожалуй, главная причина - неправомерные и небезопасные действия пользователей. Как правило, spyware попадают во внутренние корпоративные сети:
· путем пересылки во вложениях к электронной почте;
· через уязвимости в интернет-браузерах, при загрузке вредоносного содержимого с инфицированного сайта;
· через уязвимости в IM и Р2Р-клиентах;
· с мобильными накопителями (компакт-диски, USB-накопители);
· во время on-line игр.
2.5.1.5 Рекламные коды или adware
Рекламные коды (аdware) - это программное обеспечение, которое проникает на компьютер в рекламных целях. Данное ПО относится к разряду потенциально опасных. Формально аdware- программы являются легальными, что позволяет производителям открыто их разрабатывать, а рекламным компаниям - свободно распространять. Появившись несколько лет назад в виде простейших скриптов, автоматически открывавших множество дополнительных окон в браузере, сейчас они окончательно перешагнули грань между нежелательным, но все-таки легальным, софтом и вредоносными программами.
Более изощренными и нелегальными становятся приемы доставки рекламного контента на компьютеры пользователей. Некоторые современные adware-программы используют вирусные технологии для проникновения и скрытия себя в системе. Все больше обнаруживаемых программ данного класса содержат черты троянцев. Это отражается в способе инсталляции в систему (например, при помощи уязвимостей в браузерах) либо в поведении на компьютере пользователя. Adware-программы серьезно затрудняют свое обнаружение и деинсталляцию из системы (rootkit-технологии, запись собственного кода в системные файлы или подмена собой системных приложений), ищут и удаляют
Программы-конкуренты, занимая их место. В них могут содержаться модули для сбора и отправки третьим лицам информации о посещаемых сайтах и вводимых владельцем компьютера данных. Кроме того, представители класса adware могут конфликтовать с установленным программным обеспечением.
Еще одним свойством adware-программ является подмена результатов поиска. По результатам действий они имеют сходство с вредоносным кодом, осуществляющим фарминг-атаки. Используя уязвимости в браузерах, такие программы перенаправляют пользователя на нужный рекламодателю сайт вне зависимости от того, какой адрес интернет-ресурса он набрал.
2.5.1.6 Всплывающие приложения и диалоговые окна
Как было отмечено adware часто используют такой подход со всплывающими окнами. Отчасти, сотрудники компании также будут использовать средства доступа к Интернет как в рабочих целях (поиск новостей, анализ материалов, отслеживание за маркетинговыми исследованиями, сайты партнеров и авторизованный доступ к закрытым ресурсам через сайт-партнера и т.д.), так и в своих личных целях. Например для совершения покупки в интернет-магазинах, заказать доставку товаров или билетов на мероприятия, разыскивая иную интересующую их информацию. Для мошенников, такое проявление активности корпоративных пользователей важно и на руку, т.к. есть возможность получить через них доступ к корпоративным ресурсам, даже если сама компания не интересна. Но могут заинтересовать вычислительные ресурсы компании для проведения своих атак на другие мишени.
2.5.1.7 Спам
По данным ведущих отечественны провайдеров, объем спама на рунете на май месяц 2008 года доходит до 95-97% от общего количества входящей электронной почты. Ущерб от спама в России от спама в 2004 г. составлял 150-200 млн. евро, при объеме спама 70-80% от общего количества входящей электронной почты.
Сегодня это крайне опасный вид угроз сочетающий технологии спама, фишинга/фарминга и вредоносного кода вместе интегрированные в сочетании с социальной инженерией. По разным оценкам, на спаме предприятия теряют от $100 до $300 в год в расчете на одного офисного сотрудника. По аналитическим данным на 2004 г. убытки от спама составляют ежегодно от $10 млрд. ежегодно в мире.
Совершенствование средств фильтрации ведет к регулярной эволюции способов рассылки спама. Сегодня выделяют в рунете ряд технологических особенностей рассылки спама:
· Распределенность спам-рассылок. Существенная доля спам-сообщений рассылается через «ботнеты». Как правило, отдельный инфицированный компьютер используется для посылки небольшой доли сообщений, при этом в рассылке участвуют сотни и тысячи пользовательских машин. Спамерам удалось наладить сквозной мониторинг доставки сообщений, в результате письмо, отвергнутое при попытке доставки с одного IP-адреса, отправляется заново только с другого IP. Это делает отражение (reject) почты по DNSBL-спискам DNSBL_DNS Black lists - черные списки доменных имен Интернета. Содержат базу адресов, наиболее часто используемых спамерами. неэффективным - попытки доставки сообщения повторятся с других IP-адресов.
· Уникальность спам-сообщений. Спам-сообщения, рекламирующие один и тот же товар или услугу, но отправленные разным пользователям, уникальны. Другими словами, в каждое отдельное письмо вносятся случайные последовательности символов (часто невидимые для читателя), персональные обращения, анекдоты, большие куски связного текста и так далее, что делает спам-сообщения невидимыми для фильтров, основанных на технологии проверки сигнатуры или одинакового текста. Случайные последовательности символов добавляются автоматически, с применением специализированных программ Данный метод получил название obfuscating text - буквально «текст, сбивающий с толку».. В противном случае стоимость и время изготовления индивидуальных сообщений будут слишком большими.
· Маскировка под легальные письма. Спамеры делают техническую информацию в рассылаемых письмах максимально похожей на легальную переписку. В результате большая часть спама легко проходит через формальные фильтры.
К другим особенностям относятся:
· Использование технологии социальной инженерии. Уже не секрет, что тексты спамерских писем составляются специалистами в области психологии.
· Использование технологий обхода антиспам-фильтров. Появление средств обнаружения спама, основанных на анализе содержания письма (контентный анализ), привело к эволюции содержания спамерских писем - их составляют таким образом, чтобы автоматический анализ был затруднен. Кроме того, спамеры стараются фальсифицировать адреса отправителя, заголовки писем, модифицировать сообщения так, чтобы обмануть антиспамерские фильтры. Рекламное сообщение приходит пользователю в виде графического файла, а это крайне затрудняет автоматический анализ.
2.5.1.8 Интернет-пейджеры или служба мгновенного обмена сообщениями
Интернет-пейджеры (в английской терминологии Instant messaging, далее сокращенно - IM) - это средства диалогового обмена сообщениями.
К таким средствам относятся:
· AOL (AOL IM - AIM, AIM Express (web-based), Trillian, Apple iChat, SameTime Connect, как правило, использует для соединения tcp 5190_5193);
· ICQ8 (ICQPro, ICQ Lite, ICQ2GO (web-based);
· Microsoft (MSN Messenger, Windows Messenger, Trillian, как правило, использует для соединения tcp 1863, tcp 6891);
· Yahoo! (Yahoo! Messenger, Yahoo! Web Messenger, Trillian, как правило, использует для соединения tcp 5050).
Двумя основными видами атак, основанных на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы, а также один из способов запроса и передачи конфиденциальной информации.
Мгновенный обмен сообщениями имеет несколько особенностей, которые облегчают проведение социотехнических атак. Одна из таких особенностей -- его неформальный характер. В сочетании с возможностью присваивать себе любые имена этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки, основанной на подделке данных.
Выдавая себя за другого известного пользователя, злоумышленник (красный) отправляет письмо или мгновенное сообщение, получатель которого считает, что получил его от известного ему человека. Знакомство с предполагаемым отправителем ослабляет внимание получателя, и он часто без всяких подозрений щелкает ссылку или открывает вложение, присланное злоумышленником. Большинство поставщиков услуг мгновенного обмена сообщениями позволяют идентифицировать пользователей по их адресу, благодаря чему злоумышленник, определив используемый в компании стандарт адресации, может инициировать с помощью службы мгновенного обмена сообщениями виртуальное знакомство с другими сотрудниками компании. Само по себе это не представляет угрозы, но значительно расширяет диапазон сотрудников и систем, которые могут подвергнуться атакам.
Наличие уязвимостей в IM-клиентах (активные элементы ActiveX, эксплойты JPEG_файлов и т.п.) позволяют злоумышленникам похищать пароли и конфиденциальную информацию, получать несанкционированный доступ к внутренним корпоративным сетям, устанавливать троянские программы, которые позволят включать его в «ботсеть», рассылать через него спам и вредоносные программы.
Как спам, рассылаемый по каналам электронной почты, является серьезной проблемой для безопасности корпоративных сетей, точно также спим Рекламные сообщения, распостраняемые по IM-трафику, называются SPIM (unsolicited instant messages, по аналогии со SPAM) становится угрозой номер один для интернет-пейджеров. Подобно своему собрату спим является не только свободно распространяемой рекламой, но и способом рассылки вредоносных программ через IM-канал. Именно поэтому борьба со спимом также актуальна сегодня, как и защита от вирусов и червей.
Важнейшей особенностью IM-сетей является то, что в настоящее время не существует каких-либо общих стандартов и протоколов, описывающих их архитектуру. Это осложняет контроль использования данных приложений на корпоративном уровне. Межсетевые экраны и прокси-серверы не в состоянии обеспечить должный контроль IM-трафика. Последние версии IM-клиентов способны, например, добавлять HTTP-заголовки к каждому передаваемому пакету, обманывая фильтры протоколов межсетевых экранов. Более того, очень частый выпуск обновлений IM-протоколов и клиентов (практически каждый месяц) не позволяет компаниям, производителям антивирусных программ выпускать соответствующие продукты, способные обеспечивать защиту от вредоносных программ (IM-червей, троянцев и т.п.).
Другая проблема на пути обеспечения безопасного обмена данными по IM-сетям - это появление множества других сетей и IM-клиентов. Среди них можно назвать Trillian (для ОС Windows), Fire (для ОС Mac), кросс-платформенный gaim и другие клиенты. Популярность IM-клиентов «произвела на свет» множество вспомогательных утилит для них, которые содержат нежелательные с точки зрения обеспечения безопасности компоненты, создавая в IM-приложениях дополнительные уязвимости.
2.5.1.9 Приложения класса peer-to-peer
Peer-to-peer (сокращенно P2P) - это технология построения распределенной сети, где каждый узел может одновременно выступать в роли и клиента (получателя информации), и сервера (поставщика информации).
P2P_приложения - это класс приложений, совместно использующих распределенные ресурсы (дисковое пространство и файлы, вычислительные ресурсы, каналы связи и т. д.). Сегодня P2P приобретает все большую популярность и многие производители программного обеспечения объявили о поддержке P2P в своих новых продуктах.
Области применения P2P.
* Файловые обменные сети (file-sharing). P2P выступают хорошей альтернативой FTP-архивам, обладая при этом целым рядом преимуществ: балансировкой нагрузки, более широкой полосой пропускания, высокой «живучестью» и широкими возможностями по публикации контента. Примеры - Napster, Gnutella, eDonkey, KaZaa, BitTorrent, FastTrack, IRC, WinMX и их производные.
* Распределенные вычислительные сети. Например, SETI@HOME. Этот проект продемонстрировал большой вычислительный потенциал для хорошо распараллеливаемых задач. В настоящий момент в нем принимают участие свыше трех миллионов пользователей.
* Службы сообщений (Instant-messaging). Некоторые IM-клиенты способны обеспечивать поддержку архитектуры «клиент-клиент».
* Сети групповой работы (P2P Groupware). Интенсивно развивающиеся приложения. Одними из самых перспективных считаются Groove Network - сеть, предоставляющая защищенное пространство для коммуникаций, и OpenCola - технология поиска информации и обмена ссылками на наиболее интересные источники, где в роли поискового сервера выступает не сервер, а каждый из пользователей сети.
Р2Р являются потенциально опасными приложениями. Через Р2Р-каналы возможна утечка конфиденциальной информации, распространение вредоносных программ и кодов (P2P и IM-черви, различные троянские программы), рассылка спама и т.п. Применение этих приложений сегодня практически не контролируется, поэтому их использование создает реальную угрозу корпоративным информационным сетям.
P2P-приложения, такие как KaZaa или Gnutella (клиент Limewire) могут соединяться с другими клиентами мгновенной отправки сообщений, используя любой открытый TCP или UDP-порт. К тому же данные приложения способны передавать файлы по HTTP-протоколу, который является типичным для веб-трафика и разрешается для прохождения любым межсетевым экраном или прокси-сервером. Это делает фильтрацию P2P-трафика крайне затруднительной.
2.5.1.10 Угроза судебного преследования
Данный вид угроз крайне акутален для компаний, если их сотрудники могут пользоваться файлообменными сетями, скачивая и/или расспространняя мультимедийный контент и другое содержимое, защищенное авторскими правами. В частности P2P продукты и сети в основе своей создавались именно для обмена данными пользователей.
Судебное преследование возможно и за распространение клеветнической и/или порочащей информации, касательно третьих лиц.
2.5.1.11 On-line игры
Современный рынок этого вида электронных продуктов сейчас переживает период максимального расцвета. С увеличением объемов и качества рынка онлайновых игр не заставили себя долго ждать и вредоносные программы, предназначенные для кражи пользовательской информации. В начале 2003 г. появились первые троянские программы, ворующие учетные данные пользовательских аккаунтов к играм. Российские «умельцы» также участвуют в процессе кражи данных пользователей-игроков и продажа их на eBay и других электронных рынках с получением реальных материальных средств, переведенные с электронных на физические. В частности, в зону их внимания попала популярная российская игра «Бойцовский клуб».
Периодически в компании выявляются сотрудники «подсевшие» на виртуальную реальность и происходит не целевое используется ресурсов компании. Такие вопросы должны регулироваться жестко, т.к. социальный фактор толкает «игроков» к различным видам мошенничества, только бы получить больше «виртуальных благ», в ущерб компании и непосредственно выполняемой работе конкретным сотрудником.
2.5.2 Телефонные атаки
Данные тип атак является классическим типом, которые в силу ограниченности распространения в 70-х - 80-х годах персональных компьютеров являлся самый популярный.
Данная угроза обеспечивает мошенникам уникальные возможности для проведения социотехнических атак. Это привычное и в то же время обезличенное средство общения, поскольку жертва не может видеть злоумышленника. Коммуникационные функции, поддерживаемые большинством компьютерных систем, могут также сделать привлекательной мишенью корпоративные телефонные станции.
Сегодня данные атаки стали сложнее и более безопасными для мошенника, т.к. появились средства подделывающие голос как свой, так и например сотрудника компании, с которым уже состоялась встреча и его голос был записан на диктофон (как вариант). Эти же разработки позволяют создавать необходимый фон (например, шумного офиса call-центра), что создает доверие у говорящего на другом конце. Более того, технические средства позволяют подделывать номера и если на другом конце включен АОН, а мошенник выставит себе на линии номер, заведомо всегда занятый (это несложно вычислить), тогда шансы проверить звонящего затруднены или приближаются к нулю.
Выделяют несколько подтипов основных атак:
1. На корпоративную АТС/УАТС.
2. На техническую службу поддержки в компании.
3. На конечного пользователя.
4. На корпоративные телефонные ресурсы использующие технологию доступа VoIP.
5. На мобильного пользователя.
2.5.2.1 Корпоративная АТС/УАТ
Злоумышленник, атакующий корпоративную телефонную станцию, может преследовать три основные цели.
· Запросить информацию (как правило, выдавая себя за легального пользователя), обеспечивающую доступ к самой телефонной системе или позволяющую получить удаленный доступ к компьютерным системам.
· Получить возможность совершать бесплатные телефонные звонки.
· Получить доступ к коммуникационной сети.
Все эти цели объединяет общий сценарий: злоумышленник звонит в компанию и пытается узнать телефонные номера, позволяющие получить доступ к самой корпоративной телефонной станции или опосредованный доступ через нее к телефонной сети общего пользования. Сами злоумышленники называют взлом телефонных систем словом «фрикинг» (phreaking). Как правило, телефонные злоумышленники представляются инженерами по обслуживанию телефонных систем и запрашивают у сотрудника компании внешнюю линию или пароль якобы для анализа и устранения проблем с внутренней телефонной системой
Фантазии мошенника при использовании данного метода безграничны. Как правило, пред тем как осуществить такой вид атаки, изучается объект:
· кто оператор связи и провайдер;
· освещение жизни компании в СМИ;
· есть ли сайт компании и есть ли там конкретное указание:
o конкретных лиц и контакт с ними(чаще руководителей- генеральный директор, главный бухгалтер, системный администратор, руководитель службы поддержки и т.д. );
o какое офисное оборудование и какого бренда используется в компании;
o партнеры и клиенты компании.
Как правило, после узнаются внутренние номера ряда сотрудников. Узнается кто находится в настоящий момент в командировке или в отпуске. Вычисляются новые сотрудники компании и т.д.
Запрос информации или доступа по телефону -- сравнительно неопасный для злоумышленника вид атаки. Если жертва начинает что-то подозревать или отказывается выполнять запрос, злоумышленник может просто повесить трубку. Злоумышленник описывает правдоподобную ситуацию, прося о помощи или наоборот, предлагая ее, а после накопления и получения необходимых данных, начинает запрашивать личную или деловую информацию, как бы между прочим.
Объектом атаки чаще всего являются секретари и лица коммутационного распределения звонков (call-центры, приемные), которые имеют прямые выделенные городские телефоны.
2.5.2.2 Техническая служба поддержки
Сегодня, эта служба является пристальным объект мошенников, так и механизмом защиты от них самих.
Многие сотрудники служб поддержки знают и помнят об угрозах, но сама суть их работы предполагает, что они должны оказывать пользователям помощь и давать рекомендации. Иногда энтузиазм специалистов служб технической поддержки превосходит их готовность следовать процедурам обеспечения безопасности, и тогда возникает проблема. Если они решат строго соблюдать стандарты безопасности, запрашивая у пользователей подтверждения их подлинности, они могут показаться бесполезными или даже произвести неприятное впечатление. Сотрудники производственных отделений или менеджеры по продажам и маркетингу, считающие, что ИТ-отдел не удовлетворило их требования, склонны жаловаться руководителям высшего звена также часто не нравится дотошность службы поддержки, если они сталкиваются с ней сами.
Цели атаки на службу поддержки:
· Получение информации
· Получение доступа
· Получение квалифицированной (и бесплатной) поддержки по IT-разработкам, программным, программно-аппаратным комплексам, выдавая себя за легального пользователя.
2.5.2.3 На конечного пользователя
Еще одним видом атак является кража PIN-кодов кредитных и телефонных карт через телефонные будки или внутренним нарушителем в компании. Чаще всего при этом крадется личная информация конкретных людей, но иногда злоумышленникам удается раздобыть таким способом PIN-коды корпоративных кредитных карт, что дает неограниченные возможности для использования телефонной сети для звонков по всему миру за счет компании.
Большинство людей довольно осторожны при вводе PIN-кодов в банкоматы, но при пользовании общественными телефонами многие из них ведут себя более беспечно.
2.5.2.4 С использованием технологии VoIP
Растущая популярность средств для передачи звуковой информации между компьютерами (называемых также Voice over IP (VoIP)) заставляет принимать меры к контролю передачи такой информации. Есть разные реализации для звонков с компьютера на компьютер и/или на обычные телефоны.
Существуют стандартизированные протоколы для обмена такой информацией, сюда можно отнести Session Instatiation Protocol (SIP), принятый IETF и H.323, разработанный ITU. Эти протоколы являются открытыми, что делает возможным их обработку.
Кроме того, существуют протоколы, разработанные конкретными компаниями, которые не имеют открытой документации, что сильно затрудняет работу с ними. Одной из самых популярных реализаций является Skype, завоевавший широкую популярность во всем мире. Эта система позволяет выполнять звонки между компьютерами, делать звонки на стационарные и мобильные телефоны, а также принимать звонки со стационарных и мобильных телефонов. В последних версиях поддерживается возможность обмена видеоинформацией, передачей файлов. Что несет дополнительные угрозы. Причем, сам проток имеет защищенный канал передачи данных, по которому достаточно свободно можно передавать конфиденциальную информацию и вести разговоры, плюс показывать через подключенную веб-камеру, фотоаппарат или видеокамеру происходящее вокруг, как и самого собеседника.
2.5.2.5 На мобильного пользователя
Варианты 'сотового' мошенничества, относительно новая угроза в России. На мобильные телефоны приходят СМС с уведомлением того, что мол вы подключены к новой услуге и если вы желаете отписаться, наберите 4-х значный номер указанный на экране. Разумеется, при наборе этого номера на виртуальный счет мошенника с баланса мобильного пользователя снимается сумма. Если таких абонентов будит 200-300, то сумма окажется месячной средней заработной платы в Москве.
Разновидность этой вариации является приход примерно такого сообщения. «Привет! Ты не мог бы мне положить на счет 100-300 руб. У меня закончились деньги, а возможности положить сейчас нет. Обязательно верну! Лена». Интересно то, что статистика ужасающая. Либо абонент перезванивает на этот номер, чтобы понять, что за «Лена» и с него снимается кругленькая сумма за звонок на этот номер, который тарифицируется совсем иначе и имеет сервисные настройки снятия денег при звонке на него. Либо абонент переводит некоторую сумму.
Кстати, похожий прием используется на форумах знакомств. Когда мошенник создает анкету, вставляет «видную девушку» в качестве образа, взятого в Интернете из фотографий модельного агентства. Сочиняет 100% анкету, что мужская половина дрожит от желания познакомиться. За ночь, сутки появляется несколько сотен сообщений от желающих. Готовится стандартное сообщение для всех и дается мобильный номер, на который можно перезвонить жаждущего любви молодого человека и отсылается «всем желающим». Разумеется, тарификация такого звонка очень дорогая. Прием тот же. После накопления баланса деньги обезличиваются. Часто используются арендуемые через интернет виртуальные номера с набором массой дополнительных услуг, чего лишены операторы сотовой связи.
2.5.3 Поиск информации в мусоре
Несанкционированный анализ мусора -- или, как это еще называют, «ныряние в мусорные контейнеры» -- часто позволяет злоумышленникам получить ценную информацию. Бумажные отходы компании могут содержать сведения, которые злоумышленник может использовать напрямую (например, номера учетных записей и идентификаторы пользователей) или которые облегчают ему проведение дальнейших атак (списки телефонов, схемы структуры организации и т. д.). Для злоумышленника, использующего социотехнику, сведения второго типа особенно ценны, потому что они помогают ему проводить атаки, не вызывая подозрения. Например, зная имена и фамилии людей, работающих в определенном подразделении компании, злоумышленник имеет гораздо больше шансов при поиске подхода к ее сотрудникам, большинству из которых будет легко поверить, что человек, так много знающий о компании, является их коллегой.
Электронные средства хранения информации бывают для злоумышленников более полезными. Если в компании не действуют правила сбора отходов, предусматривающие утилизацию списанных носителей данных, на выброшенных жестких дисках, компакт-дисках и дисках DVD, факсимальных лентах, можно найти самые разнообразные сведения. Современные электронные носители данных надежны и долговечны, поэтому службы, отвечающие за защиту ИТ-систем, должны обеспечить соблюдение политик, предусматривающих уничтожение этих носителей или стирание хранящихся на них данных.
В случае инсайдерской деятельности корзины способны содержать самые невероятные сведения, включая финансовые сведения, действующие учетные записи, маркетинговые планы компании, список сотрудников с номерами телефонов (включая мобильные), планы информационной сети и помещений и другие конфиденциальные сведения, способные причинить компании, как финансовые убытки, так и значительно сыграть на репутации компании.
2.5.4 Персональные (личностные) подходы
Пожалуй, это наиболее дешевый и простой метод с одной стороны, т.к. требуемую информацию злоумышленник на прямую запрашивает у объекта воздействия, с другой стороны в связи с невозможностью изучить человека и предсказать его до конца, он является самым сложным.
Злоумышленник использует чаще всего следующие четыре стратегии:
· Запугивание. Злоумышленники, выбравшие эту стратегию, часто заставляют жертву выполнить запрос, выдавая себя за лиц, облеченных властью.
· Убеждение. Самые популярные формы убеждения -- лесть и ссылки на известных людей.
· Вызов доверия. Этот подход обычно требует достаточно длительного времени и связан с формированием доверительных отношений с коллегой или начальником ради получения у него в конечном итоге нужной информации, стандартная стратегия модели ОСИ.
· Помощь. Злоумышленник, выбравший этот подход, предлагает сотруднику компании помощь, для оказания которой якобы нужна личная информация сотрудника. Получив эту информацию, злоумышленник крадет идентификационные данные жертвы.
В контексте социотехники интересен тот факт, что большинство людей, признавая, что сами иногда лгут, исходят из того, что другие всегда говорят им правду. Безоговорочное доверие -- одна из целей злоумышленника, использующего методы социотехники.
При персональном подходе используется весь арсенал угроз и средств, который рассматривался до этого. Начиная от виртуальных методов и банальной переписки по электронной почте или интернет-пейджера с объектом, и завершая физическим контактом с объектом воздействия. Физическим доступом в служебные помещение с помощью сотрудников компании. Физический доступ к информационной системе, выдавая себя за специалиста сервисной службы или специалиста производящего обновления базы данных информационной системы (например, правовой информационной системы «Консультант Плюс»). Попытка физического выявления наличия беспроводной сети в здании и последующее подключение к ней. Физическая компрометация сотрудников работающих дома и подключающихся к ресурсам корпоративной сети с их помощью, или выдавая себя за друга сотрудника находящегося в командировке. А также, попытка подсмотреть за набором пользователя логина и пароля из-за спины или с боку. Попросить его самого дать свои параметры для входа в сеть с целью что-то улучшить или срочно напечатать один документ. Непосредственная кража мобильного устройства, осуществляющего вход в корпоративную сеть.
2.5.5 Обратная социальная инженерия
Как было отмечено раньше, это излюбленная техника социоинженера, которая действует наверняка. Лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль, им не нужна эта информация для решения проблем. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Злоумышленнику даже не нужно спрашивать об этом.
Использующий методы социотехники, злоумышленник создает проблемную ситуацию, предлагает решение и оказывает помощь, когда его об этом просят. Один из простых сценариев следующий.
Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу и не возиться с ИТ-подразделением. Злоумышленник говорит, что проблему возможно решить только под пользовательской учетной записью жертвы, хотя корпоративная политика запрещает это. На что получает согласие жертвы. Злоумышленник не спешит соглашаться, но делает это и восстанавливает файл, узнав при этом идентификатор и пароль жертвы. Возможно, он в глазах коллег заработает репутацию специалиста на месте. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.
Также, злоумышленник может имитировать проблему с помощью диалоговых окон. Как правило, при такой атаке на экране компьютера жертвы отображается окно с уведомлением о проблеме или необходимости обновления конфигурации системы. В этом же окне приводится ссылка на соответствующее обновление или исправление. После загрузки и установки файла сфабрикованная проблема исчезает, и пользователь продолжает работу, не подозревая о том, что он установил вредоносную программу.
Возвращаясь к схеме атаки ОСИ (рис. 2.2.), выделяем три фазы атаки - диверсия, реклама, помощь.
Итак, после диверсии у коллеги возникает необходимость как можно скорее разобраться с проблемой, желательно, чтобы решение было под рукой и чаще всего, избежать по возможности контакт с ИТ-подразделением.
Диверсия подразумевает создание у объекта в компьютере неполадку или сделать так, чтобы пользователь не смог на нем работать. Обычно, это подразумевает такую неполадку, чтобы пользователь не мог войти в систему так, как положено или не смог запустить типовую офисную программу, с которой ежедневно работает. Как правило, это хорошо замаскированная неполадка, легко исправимая и не нарушающая работу системы. Общие идеи по созданию такой неполадки могут выглядеть следующим образом:
· Изменение какого-либо параметра, неизвестного новичкам или такого, о котором они не подумают. Например: устанавливаемые по умолчанию порты принтера, разрешение экрана, макросы, скрытые коды принтера, периферийные технические установки.
· Установка файлов в режим “только для чтения”, переименование их, или перенести в другую папку файлы запуска программы. Пример: если рабочий файл текстового процессора называется WP.EXE, переименуйте его в WP.$A$.
· Прямое вмешательство в аппаратное обеспечение. Например: переключить цветной монитор в монохромный режим или в самый минимальный поддерживающийся на ПК режим, отключить шлейф жесткого диска, отключить на плате питание, отключить клавиатуру.
· Инсталлирование больших резидентные программ, занимающие много оперативной памяти, не позволяющие запускать одновременно 2-3 программы.
· Запуск эмулятора программы, которая выдает служебные окна с системными ошибками, либо перехватывает загрузчик logoff.exe (в OS Windows) не позволяя осуществить вход в систему.
· Небольшое изменение ключа в реестре в LOCAL_MACHINE (в OS Windows).
Нельзя производить инсталляцию вирусов, которые легко выходят из-под контроля.
Предположим, было переименование или перенос файла текстового процессора. Причем на диске был размещен .bat файл с именем setup.bat который, имел инструкции о переименовании WP.$A$ в WP.EXE и команду проверки выполнена ли эта операция или нет. После успешного переименования следующая инструкция в setup.bat сама должна уничтожить этот файл.
Допустим, все прошло как «диверсант» пожелал, и к нему позвонили. После загрузки системы, пользователь увидел что «неполадка» никуда не исчезла. Тогда достаточно просто продиктовать последовательность действий пользователю на клавиатуре, чтобы помочь ему.
В случае создания проблемы с аппаратным обеспечением, как правило социоинженер рассчитывает затратить на устранение неполадки столько времени, сколько потребуется, чтобы успеть определить необходимую информацию на ПК жертвы и либо скопировать её, либо подготовить для этого.
Создание рекламы может происходить по следующим сценариям.
1) Замена пометок с телефоном техподдержки. Обычно, если видно листок рядом со столом с таким телефоном или на телефоне стикерс, его заменяют на свой с номером социоинженера или номером рядом стоящего аппарата.
2) Размещение объявления. Может быть помещено на доску объявлений с достаточно ярким оформлением и примерным тестом:
Указывается точный адрес самой компании, где произведена диверсия или будит произведена. Такие объявления могут быть закреплены на дверях кабинетов или над столами, где была произведена/будит произведена диверсия.
3) Социальная инженерия. Обычно несколько часов или за день, до диверсии, может быть произведен звонок и подошедшему сотруднику сообщить новый номер техподдержки. Попросить держать его под рукой на всякий случай и сообщить коллегам сидящих рядом о новом номере.
4) Изменение в телефонном каталоге. В каталоге компании добавить номер социоинженера в списке, либо заменив текущий номер техподдержки на свой номер, или написав его разборчиво в конце каталога.
5) Диалоговая реклама. Обычно размещается на электронной доске объявлений, на странице внутреннего сайта, либо в рекламный модуль (скриншот например) с приятным запоминающимся выделением цвета.
Каналы коммуникации: СМИ, устные встречи, деловые переговоры и переписка, рекламные материалы и наглядная агитация, специальные события (фестивали, выстаки, митинги и т.д.).
Различные курилки и место у главного входа в компанию.
2.5.6 Инсайд
По статистике в разделе 2.3 видно, что внутренние атаки и связанные с ними угрозы наиболее чувственно отражаются на любой компании.
Говоря об инсайдерстве (подразумевая каждого сотрудника компании) уместно говорить о лояльности сотрудника к компании. Чем выше этот уровень, тем меньше риски. Для этого требуется проведение значительной психологической работы и прививание корпоративной культуры в компании. Нужно понимать, что группы могут значительно видоизменяться, и в зависимости от этого, в них могут появляться мне-дидеры, что чаще способно «выдавливанию» из группы сотрудников (отдел, департамент и иные организационные единицы) - энтузиастов пришедших работать, а не «баклуши бить», т.к. им некогда заниматься интригами, шантажом и саботажем. Что провоцирует последующую ситуацию изменения групп (), когда риск утечки информации становится максимальным. По этой причине сочетание работы с персоналом и технических мер, способно иметь какое-то действие. С учетом дефицита квалифицированных специалистов, не приходится полагать, что вся группа людей в рамках каждого подразделения за короткий срок можно подобрать качественную по составу и квалификации. Это дорогой и выращивание внутри компании кадров, может стоить дешевле и безопаснее.
Ключевыми внутренними угрозами являются:
· Угроза утечки конфиденциальной информации
· Обход средств защиты от утечки конфиденциальной информации
· Кража конфиденциальных данных по неосторожности
· Нарушение авторских прав на информацию
· Мошенничество
· Нецелевое использование информационных ресурсов компании
· Саботаж ИТ-инфраструктуры
Глубоко рассматривать эти угрозы и приводить примеры в работе не стану. Множество угроз, которое было рассмотрено выше, актуальны и здесь. Примеры читатель сможет посмотреть сам в изобилии по этим инцидентам в сети Интернет. В этом разделе рассмотрим в общем перечисленные угрозы.
2.5.6.1 Угроза утечки конфиденциальной информации
Разглашение/неправомочное разглашение корпоративных конфиденциальных и для служебного пользования данных, когда информация покидает корпоративный периметр и попадает к лицам неправомерно их использующим. Класс такой информации ценен, как правило - это коммерческие и промышленные секреты фирмы, интеллектуальная собственность, персональные данные служащих, клиентов и партнеров. Для реализации этой угроз используются всевозможные подручные средства и доступные каналы, рассмотренные выше - это сетевые каналы передачи данных (корпоративная почта, веб-почта, Интернет (чат, форум и т. д.), интернет-пейджеров (ICQ, MSN, Yahoo!, Miranda, AOL Messenger), P2P-сети, VoIP-программы и др.)
Другой канал - мобильные носители (USB-устройства, память мобильного телефона или фотоаппарата, MP3-плеера). Проблема актуальная и сложная, и часто не наказуема (см. 5.2.). Для защиты требуются организационно-технические меры, это и контентная фильтрацию трафика (почты, Интернета, интернет-пейджеры), контроль на уровне рабочей станции (принтер, USB- устройства), архивирование корпоративной корреспонденции (для эффективного расследования инцидентов внутренней ИТ-безопасности), административные ограничения (блокирование Р2Р-сетей, IM-агентов, WEB-mail и любых других открытых каналов на уровне межсетевого экрана).
2.5.6.2 Обход средств защиты от утечки конфиденциальной информации
Если потенциальный инсайдер попытался что-то переслать, а у него не получилось, или скопировать документы на мобильное устройство, немало людей это останавливает, т.к. они понимают, что есть Большой брат, который за всем смотрит и бумаги, которые они подписывали, не фиктивны, меры предприняты и работают. Однако, если человек желает что-то вынести, то его остановит только пуля.
Если инсайдеры знают, что в компании установлены средства фильтрации почтовых сообщений и веб-трафика, тогда будут искаться иные каналы, для обмана/обхода средств технической защиты. Так, с помощью преобразования данных инсайдеры стараются помешать средству фильтрации. В ход идут шифрование, архивация с большой глубиной вложенности, преобразования в графический формат или редкие текстовые форматы, изменение кодировки (а их для русской раскладки не меньше 8), использование неизвестного программного обеспечения или иностранного языка для общения. Замена через функцию текстового редактора ряда слов для служебного пользования. Однако, сегодня не стоит недооценивать потенциал сотрудников и покупка, казалось бы дорогого средства защиты, может оказаться на порядки дешевле хотя бы одного инцидента утечки. Кроме этого, немало современных систем защиты от утечек способны прозрачно интегрироваться с системами шифрования. В этом случае заказчик может обеспечить полный контроль над трафиком и вдобавок криптографическую защиту за пределами корпоративного периметра.
2.5.6.3 Кража конфиденциальных данных по неосторожности
Немало сотрудников невнимательны, как к своему рабочему столу, так и к ряду действий которые они делают в течении дня на своем рабочем месте, подвергая тем самым корпоративные секреты риску непреднамеренно, и часто по неосторожности или незнанию. Например, они могут случайно выложить секретные документы на веб-сайт, перенести данные в ноутбук или карманный компьютер, который впоследствии будет украден или потерян, а также отослать конфиденциальные сведения по неверному почтовому адресу. Технические средства защиты и в этом случае используются одни и те же (фильтрация трафика и контроль операций на уровне рабочих станций) плюс шифрование данных на мобильных устройствах. Часто, столкнувшись с проблемой, сотрудник спрашивает у коллег, почему мол, не могу выложить документ на сайт или в папку на файл-сервере, которые смогут разъяснить неправомерность выполняемых действий. Именно этим, согласно экосистеме внутренних нарушителей, халатные и манипулируемые инсайдеры отличаются от обиженных и нелояльных.
2.5.6.4 Нарушение авторских прав на информацию
В рамках данной угрозы инсайдеры могут реализовать целый букет неправомерных действий. Например, скопировать части документов одного автора в документы другого автора (а также в почтовые сообщения, формы и т. д.), произвести индивидуальное шифрование документов, при котором компания лишается возможности работать с документом в случае утраты пароля или после увольнения сотрудника. Сюда же относится опубликованные в Интернете материалы в своих документах без обработки и указание на авторов, а также использование файлов мультимедиа (графику, аудио- и видеозаписи), программы и любые другие информационные объекты, защищенные авторским правом. Другой вид нарушения, тесно связанный с мошенничеством (а также такими излюбленными лакомствами, как зависть, злоба, гонор, присущи таким субъектам) инсайдер может попытаться подделать адрес отправителя с целью опорочить его доброе имя или скомпрометировать компанию. Для защиты от указанных угроз применяются средства контроля над всеми операциями, которые инсайдеры осуществляют на своих рабочих станциях.
2.5.6.5 Мошенничество
На практике мошенничество часто сводится к искажению финансовой документации, превышению полномочий при доступе к базе данных, модификации важной информации. В качестве защиты организациям следует использовать средства контроля финансовой отчетности, мониторинга всех действий пользователей и протоколирования любых операций с классифицированной информацией. Очевидно, что внедрение систем защиты от утечек позволяет создать целый ряд средств контроля конфиденциальной информации в корпоративной среде. В результате организация может выявить искажение чувствительных сведений и, следовательно, идентифицировать виновного инсайдера -- мошенника.
Часто, инсайдер может играть на чувствах другого (любви, озлобленности, зависти) другого сотрудника, скажем занимаемую должность, при которой мошенник сможет заполучить желаемую информацию через это лицо или доступ к ней. Почему, в большинстве компаний, например, корпоративная влюбленность не приветствуется. Только, если эти сотрудники показали себя как высокие профи и лояльные к компании. Тогда, такие пары образуют некоторый костяк культуры. Но это тема отдельной работы и мы её не рассматриваем здесь. Нужно понимать главное, что некоторая подозрительность у сотрудникам к ряду поведения и вопросам своих коллег смогут снизить этот риск. А также постоянная работа руководителя с подчиненными, чтобы выявить некоторое неудовольствие иных в зачатии.
2.5.6.6 Нецелевое использование информационных ресурсов компании
Или злоупотребление сетевыми ресурсами, проблема 98% компаний. Здесь актуальны все те угрозы, что всегда подстерегает серфингиста по Интернету. А также использование рабочего времени в своих целях, что может играть на скорости и качестве выполнения рабочих задач, а также увлеченность ряда романтичных натур может позволить третьим лицам использовать этот факт для кражи конфиденциальной информации. Погоня за «халявой» как мультимедийных файлов, программ, иных информационных ресурсов способно занести в корпоративную сеть немало гадости в виде троянских программ, загрузчиков, вирусов и т.д.
Итак, что подразумевается под нецелевым использованием ресурсов:: посещение в рабочее время сайтов неделовой (общей и развлекательной) направленности, не имеющее отношения к исполнению служебных обязанностей. Загрузка, хранение и использование файлов мультимедиа и развлекательных программ в рабочее время. Использование ненормативной, грубой, некорректной лексики при ведении деловой переписки, загрузка, просмотр и распространение материалов «для взрослых». Использование материалов, содержащих нацистскую символику, агитацию или другие противозаконные данные. Использование ресурсов компании для рассылки информации рекламного характера, спама или информации личного характера, в том числе персональных данных сотрудников, финансовых данных и т. д.
Защита от всех этих угроз обеспечивается с помощью жесткой централизованной политикой корпоративной ИБ, фильтрацией почтовых сообщений и веб-трафика. Однако, в отличие от фильтрации трафика при защите конфиденциальной информации от утечки, в данном случае производится фильтрация по совсем другим параметрам. Средства защиты от нецелевого использования информационных ресурсов не позволяют предотвратить или выявить утечку. И в тоже время системы предотвращения утечек не защищают от нецелевого использования ресурсов.
2.5.6.7 Саботаж ИТ-инфраструктуры
Один из самых опасных видов инсайдеров -- «обиженные», или «саботажники», т.к. они стремятся нанести вред по личным, чаще всего бескорыстным, мотивам. Это люди, психологически вбившие в свою голову цель, и идущие на пролом, для которых все средства хороши, и им не важно чего стоит информация которой они способны нанести вред или уничтожить. Обиженные сотрудники в своем арсенале способны использовать любой сценарий описанный выше, включая диверсию - скопировать крайне важную для компании информацию на свой мобильный носитель, а потом уничтожить ее на всех серверах фирмы и в резервных копиях на материальных носителях. В руках саботажника оказывается сильный манипулятивный механизм. Не редок случай удаления всей информации вообще (при увольнении или перед оглашением о своем увольнении). Поэтому мониторинг рабочей атмосферы и корпоративных конфликтов важен, в сумме с техническими ограничениями действий каждого сотрудника.
Комплексного решения для защиты от таких действий пока нет. Разные компании предлагают различные варианты решений, позволяющих минимизировать те или иные риски. Например, компания Info Watch поставляет систему комплексной защиты от утечки конфиденциальной информации, которая покрывает также и все другие угрозы, за исключением нецелевого использования сетевых ресурсов. Целый ряд других компаний -- «Инфосистемы Джет», Clearswift, SurfControl и ISS -- решают проблему злоупотребления информационными ресурсами компании.
2.6 Некоторые примеры социальной инженерии
2.6.1 Интернет мошенничество
По данным американского Центра по борьбе с интернет-мошенничеством, в 2002 г. 42 тысячи пользователей сети Интернет стали жертвами сетевых мошенников, а ущерб от их действий превысил $54 млн. По России подобная статистика, пока неизвестна, однако в последние несколько лет волна мошенничества прокатилась и по отечественному сегменту сети Интернет. При этом мало кто из активных 'интернетчиков' ни разу не столкнулся бы с тем или иным проявлением мошенничества в сети
Основные составляющие мошенничества в сфере высоких технологий
Наиболее распространенным в России является высокотехнологическое мошенничество использующее методы 'социальной инженерии', что подтверждает как статистический опрос, так и мнение экспертов за информационной безопасности, а также риск-менеджеров. Как уже было выяснено выше, этот вид мошенничества имеет две стороны одной медали - психологическую и технологическую. Психологическая составляющая воздействует на значимые элементы мотивационной пирамиды потенциальной жертвы, для побуждения ее к совершению действий, необходимых мошенникам. Повторюсь, что такими элементами мотивационной пирамиды могут быть:
· Стремление к получению материальной прибыли. Быстрое обогащение - основа большинства мошеннических предложений. Используется в мошенничестве с так называемыми 'нигерийскими письмами', в инвестиционном мошенничестве и различных пирамидах.
· Желание бесплатно получить некоторые платные услуги и товары. Яркими примерами являются предложения неоплачиваемой сотовой связи и доступа в Интернет, примеры которого ниже.
· Стремление к приобретению отдельных предметов, которые затруднительно или невозможно приобрести другими путями. Сюда относятся различные виды аукционного мошенничества и продажи несуществующих товаров и услуг (например, продажа мест в раю, участков на Луне).
· Жалость и альтруизм. В основе этих элементов мошенничества лежит попрошайничество (мнимый сбор средств для детского дома, на спасение лесов Амазонки).
· Стремление к сохранению своей социально-психологической безопасности и личностного комфорта. В этот раздел можно отнести мошенничество с 'русскими невестами', и с оплатой за посещение adult-сайтов.
Технологическая составляющая дает современному мошеннику возможность:
· донести необходимую информацию до потенциальной жертвы,
· обеспечить свою анонимность и безопасность,
· получить от жертвы деньги, не вступая с ней в непосредственный контакт.
Достаточно подробное описание принципа получения бесплатной связи являющееся прототипом целой массы похожих примеров в разных сферах и областях, суть которых одна и мы её выяснили Далеко не все читают книги по технологиям сотовой связи (как и другим областям, интересных потребителю) и не знают как в действительности происходит регистрация и работа мобильного аппарата в сотовой сети.
Варианты 'сотового' мошенничества в Рунете
Вариант №1. 'Бесплатные разговоры по мобильному телефону' (www.forcallfree.narod.ru)
Цитата с сайта: 'Вам предлагается полностью избавиться от оплаты за свои исходящие мобильные звонки с Вашего телефона. Система кодов, которая известна только лишь некоторым сотрудникам GSM компаний, которым просто необходимо держать связь с кем бы то ни было бесплатно. Эта система кодов была придумана только лишь с одной целью: обеспечить бесперебойную связь между сотрудниками компании независимо от состояния их счета. Код набирается сразу же после набора номера и обеспечивает бесплатную связь в любое время суток. Я - бывший сотрудник одной из мобильных компаний в России (по известным причинам не могу сказать какой) но, тем не менее, я владею системой кодов, которая и Вам позволит разговаривать по мобильному телефону без границ'. Стоимость обладания 'системой кодов' -10$, деньги необходимо перевести на счет в электронной платежной системе WebMoney.
Ключевое слово здесь - бесплатно (оно даже выделено в тексте на сайте), и оно закрывает глаза некоторым посетителям сайта на то, что предложение является, по сути, достаточно примитивной и абсурдной выдумкой.
Вариант №2. 'Бесплатные исходящие звонки и SMS-сообщения с GSM телефона' (www.proshivka.com, www.sweb.cz/crack-gsm, www.mobil2003.by.ru и ряд других)
Выдержка с сайта: 'Основа работы моей системы - ASN-коды. ПО на сервере оператора сотовой связи несовершенное, что позволяет путем перепрограммирования телефона добиться возможности бесплатных звонков. Принцип работы - получение с сервера нового ASN-кода, не стирая старый. При звонке сервер наш номер не определяет, так как с его точки зрения мы находимся под временным кодом авторизации, без привязки к конкретному номеру, тем не менее из-за 'ошибки' в телефоне он позволяет совершить звонок. После такого исходящего звонка телефон может работать в обычном режиме и входящие звонки идут через основной ASN-парольЕ'. Стоимость программы для 'перепрошивки' сотовых телефонов - 50$, предоплату (100%) предлагается перевести на счет в электронной платежной системе WebMoney.
Вкратце опишем этот процесс. При включении (или появлении в зоне обслуживания сети связи стандарта GSM) с сотового телефона посылается специальный запрос на доступ в сеть в центр аутентификации сотовой сети. В ответ на этот запрос центр аутентификации через коммутатор передает на телефон сформированное случайным образом число RAND. Получив это число, телефон при помощи записанного в сим-карте зашифрованного абонентского ключа Ki и специального индивидуального алгоритма аутентификации формирует из него отклик SRES, который направляет обратно в коммутатор. Коммутатор осуществляет сравнение полученного SRES со SRES, сформированным внутри сети. При совпадении этих двух чисел сотовому телефону разрешается доступ в сеть.
Такая схема аутентификации используется во всех сетях сотовой связи стандарта GSM. Очевидно, что она не имеет ничего общего со схемой, изложенной на сайте http://vwvw.proshivka.com. Более того, можно с полной уверенностью утверждать, что 'принцип смены ASN-пароля на сервере' вообще не имеет никакого отношения к технологиям сотовой связи и является абсолютной выдумкой автора данного сайта.
Вариант №3. 'GSM Spy'
Выдержка из текста (орфография оригинала сохранена): 'Предлагаем к вашему вниманию GSM SPY SCANER. Он предназначен для отслеживания местоположения передвижных мобильных терминалов в области одной соты (условно) для перехвата передачи данных во время сеанса связи и авторизации мобильного терминала в сети.
Данные возможности позволяют:
· записывать и воспроизводить в дешефрованном виде данные (разговор, SMS)
· по значению RAND и ответа SRES калькулировать ключ идентификации Ki
· определение временного ключа Кс 4 также IMSI, ICCID, TMSI, IMEIE' Для приобретения этого устройства необходимо направить заявку на адрес электронной почты gsmspy2000@yahoo.com, стоимость его составляет 300 долларов. Деньги переводятся, естественно, по WebMoney.
Заметим, что в данном примере мошенник оперирует реальными терминами сотовой связи (IMSI, TMSI, IMEI и др.), однако их использование не имеет ничего общего с существующими технологиями. Вообще, один из применяемых жуликами методов введения потенциальной жертвы в заблуждение - взять и применить большое количество 'умных' терминов и составить из них текст (как, например, в случае с ASN-кодами). Для специалиста такой текст будет абсурдным, а незнающему человеку придаст уверенности в действительном существовании продаваемого товара.
Вариант №4. Генераторы карт оплаты (www.cardgenhack.narod.ru и другие)
Выдержка с сайта (орфография оригинала сохранена): 'Генератор платежных карт Би+. Генеренная сумма 5$, 10$, 20$, 50$, 100$. Генерирует только 5 номеров (все рабочие - проверено временем. Я не даю Вам ложных обещаний, а даю 100 % гарантию на высылку и работаспособность данных программ. На других сайтах выслав деньги вы либо получите ничего не делающею программу либо вообще ничего'. Такие 'предложения' несут для потребителя двойную угрозу: во-первых, естественно, потерю денег, затраченных на покупку 'генератора', и, во-вторых, возможность вместо 'генератора' получить замаскированную вредоносную троянскую программу.
Спектр информационных угроз, рассмотренными примерами не ограничивается. В Рунете можно встретить также различные 'GSM Пираты', 'TMSI-коды', 'SMS-центры', однако все они в той или иной степени очень похожи на эти примеры.
Технологические основы совершения мошенничества
Рассмотрим, технологические особенности объединяют перечисленные варианты мошенничества:
· В качестве канала доведения информации используется Интернет. Причем либо мошенниками создается информационный сайт, либо используются спам-рассылки (по статистике Федеральной комиссии по торговле США, 2/3 приходящих от спамеров электронных писем содержат ложную информацию и пишутся с мошенническими целями).
· Свои ресурсы мошенники размещают, как правило, на серверах, предоставляющих услуги бесплатного 'хостинга', адреса электронной почты также регистрируют в бесплатных почтовых доменах, что позволяет им при регистрации не указывать свои реальные данные, и, как следствие, обеспечить свою анонимность.
· Прием денег от жертвы осуществляется через систему WebMoney, которая, в отличие от других вариантов перечисления денежных средств, также позволяет обеспечить полную анонимность получателя.
· Мошенники не идут на личную встречу с потенциальным покупателем, не предоставляют возможность протестировать свой товар и требуют оплату вперед.
Тем не менее, потенциальная жертва преступления в большинстве случаев сама может защитить себя от мошенников, достаточно лишь придерживаться ряда простых правил:
· критически рассматривать любые коммерческие предложения в сети, особенно если там предлагается быстро разбогатеть или что-то купить значительно дешевле;
· обращать внимание на дизайн и домен сайта, а также домен электронной почты;
· поискать отзывы о продавцах и предлагаемых ими услугах (при этом не стоит обращать внимание на форумы непосредственно на сайте продавца, т.к. отзывы в этих форумах могут быть написаны самими мошенниками);
· обращать внимание на варианты оплаты товаров или услуг, а также на наличие физического офиса у виртуального продавца;
· не доверять обещаниям типа 'если вам не понравится, мы вернем деньги', поскольку как только мошенники получают свое, они перестают отвечать на письма.
Мошенниками эксплуатируются извечные черты человеческой натуры, такие как стремление быстро разбогатеть или получить что-то бесплатно. Это стремление подчас так велико, что человек вовлекается в аферу даже тогда, когда он про такие аферы где-то что-то слышал, и считал, что уж его-то обмануть невозможно. К примеру, мошенничество с т.н. 'нигерийскими письмами' существует уже около 15 лет, о нем много говорили и писали, особенно в США. Тем не менее, по оценкам 'Международной конференции по афере 419', проходившей в сентябре 2002 г. в Америке, примерно 1% лиц, получивших 'нигерийские письма', до сих пор выражают желание поучаствовать в этом предприятии.
2.6.2 Примеры из практики специалистов по аудиту безопасности
Заказ 1: ICQ
Заказчик Куваев - сотрудник крупнооптовой фирмы-импортера компьютерных комплектующих, работает старшим менеджером по закупкам в США. Традиционно большая часть переговоров Куваева с партнерами происходит по ICQ.
Руководство фирмы прочитало в газете 'Известия', что программа ICQ - ненадежная. Учитывая, что список американских компаний, у которых закупается товар, есть информация конфиденциальная, цены и объемы закупок - средне-конфиденциальная, а из фирмы недавно со скандалом ушел один из ключевых сотрудников, руководство решило провести аудит компьютерной безопасности. Перед экспертом был поставлен вопрос: что может сделать враг с бюджетом в $1000?
Изучение ситуации показало, что ICQ-номер Куваева зарегистрирован больше семи лет назад. При регистрации нужно было указывать e-mail-адрес. Вероятно, в тот момент у Куваева не было e-mail-адреса или он не хотел его давать, - так или иначе, был указан адрес qwert(гав-гав)lkjlkj.asdfsdfs.com.
Предположительно, Куваев набрал на клавиатуре случайную последовательность символов, выглядящую как e-mail-адрес (даже доменного имени asdfsdfs.com не существовало).
Атака состояла в регистрации доменного имени asdfsdfs.com, создании в домене компьютера lkjlkj.asdfsdfs.com и заведении на нем пользователя qwert после этого в фирму Mirabilis (владельцы системы ICQ) была направлена просьба выслать якобы утраченный пароль на адрес, указанный при регистрации, что и было выполнено. Зная пароль, можно его сменить (то есть сделать невозможным пользование данным номером для легального адресата), а можно и получать всю текущую информацию от многочисленных поставщиков.
Если бы атака была проведена врагом, как подсказал нам Куваев, враг мог уведомлять соединяющихся по ICQ поставщиков об изменении адреса склада в Финляндии и просить их срочно перенаправить поток грузов по новому адресу. Учитывая объемы поставок и принятую в этом бизнесе оплату с отсрочкой 60 суток после получения товара, враг мог неплохо поживиться и создать немало проблем организации, в которой работает Куваев.
Демонстрация уязвимости была осуществлена за двое суток, расходы по осуществленному пути составили $150. В Москве есть десятки организаций, способных осуществить такую атаку.
Заказ 2: Кража информации из замкнутого помещения
Специфика работы заказчика была такова, что клиенты в офис не приходили, а деятельность в целом носила сугубо конфиденциальный характер. Перед аудитором был поставлен вопрос: может ли враг, располагающий суммой в $5000, украсть какие-либо данные. Персонал заказчика о мероприятиях уведомлен не был.
Изучение ситуации показало, что физическая защищенность офиса исключает проникновение посторонних лиц; подкуп сотрудников тоже был маловероятен, благодаря специфике их подбора по национальному признаку и личной преданности заказчику.
Удачной оказалась следующая атака:
Наружное наблюдение позволило предположить, что системный администратор заказчика Чхеидзе увлекается мексиканскими народными песнями. Это было подтверждено осмотром открытых форумов Рунета, где Чхеидзе размещал сообщения по данной теме под своей фамилией. Сообщения Чхеидзе в форумах были проанализированы. Выяснилось, что он разочарован имеющимися в Рунете музыкальными серверами, уделяющими недостаточное, на его взгляд, внимание песням народов Мексики.
Был создан русский сайт, полностью посвященный мексиканским песням (усилиями внешнего специалиста была переведена часть известного испаноязычного сайта, а также сделаны два изменения, соответствующие критике Чхеидзе в адрес существующих сайтов).
На Чхеидзе была осуществлена социальная атака - плакат с рекламой сайта был трижды опущен ему в почтовый ящик, повешен на дверь подъезда, положен под дворник лобового стекла машины, ему был послан спам с рекламой сайта. Аналогичные меры были предприняты в отношении девушки, которая, как предполагалось, имела виды на Чхеидзе.
Чхеидзе с рабочего компьютера зашел на созданный под него сайт. Основной удар планировался по линии продажи ему, как 'первому правильно ответившему на все три вопроса', за $20 слегка модифицированного 'фирменного' диска, которого в продаже в России не было и о цене которого в США ($110) Чхеидзе не раз сожалел в форумах. Но аудитору повезло - удалось обойтись более простыми средствами. На рабочем компьютере Чхеидзе был установлен Internet Explorer 5.01, хоть и с SP1, но без заплатки Q275609. Поэтому, пока Чхеидзе наслаждался музыкой и переписывал с сайта файлы, сайт переписал несколько файлов с сетевых дисков заказчика.
Показательна реакция руководства на демонстрацию распечаток файлов - побледневший начальник, не дожидаясь объяснений, позвонил в службу безопасности и потребовал организовать полную сверку журналов входа/выхода сотрудников с видеозаписью.
Демонстрация уязвимости была осуществлена за девять суток, прямые расходы по осуществленному пути составили $1200. В Москве есть организации, способные осуществить такую атаку.
Заказ 3: Враждебный клиент
Заказчик Петренко - работающий индивидуально консультант по таможенным вопросам. Важную информацию к клиентам и от них он, не доверяя Интернету, переносил в наручных часах, в которые было встроено устройство с энергонезависимой flash-памятью и USB-интерфейсом (далее - флэшка). Данные на флэшке - сугубо конфиденциальны. Содержимое шифровалось идущим в комплекте с флэшкой программным обеспечением. Перед экспертом был поставлен вопрос: насколько такой способ гарантирует сокрытие данных в случае потери или физического изъятия флэшки при бюджете врага $2000?
Изучение ситуации показало, что Петренко неправильно оценивает слабое место в системе.
К одному из своих клиентов Петренко сел в машину, благодаря чему выяснилось, что клиента зовут Вахитов Сергей Рустемович. Заказчику позвонил сотрудник эксперта Дятлов, которого Петренко не знал в лицо. Он представился живущим в Норильске другом Сережи Вахитова, который якобы дал Дятлову телефон Петренко и посоветовал обсудить с ним свои таможенные проблемы. Дятлов рассказал выдуманную проблему с таможней, подобранную внешним специалистом по просьбе эксперта так, чтобы на ее решении консультант мог немало заработать и получить постоянного клиента. Не проверяя контакта у Вахитова, Петренко выехал к Дятлову в гостиницу, вставил в ноутбук Дятлова свою флэшку и ввел свой пароль. После этого Дятлов, изображая плохое владение встроенной в ноутбук мышью, не торопясь переписал свой файл Петренко. В это время ноутбук Дятлова скопировал с флэшки вообще все файлы.
На следующий день ничего не подозревающему Петренко были предъявлены и пароль, и все его файлы. Удивленный, он лишь огорченно вымолвил: 'Черт возьми, я так и думал, что она не просто так на ночь старалась остаться. Но как ей удалось открыть сейф?!'
Демонстрация уязвимости была осуществлена за шесть суток, прямые расходы по осуществленному пути составили $800. В Москве есть десятки организаций, способных осуществить такую атаку.
Заказ 4: Куда уходит Интернет?
Заказчик Левитов - руководитель фирмы, занимающейся финансовыми консультациями. Перед экспертом был поставлен общий вопрос о слабых местах в компьютерной безопасности фирмы. Сотрудники Левитова были уведомлены о предстоящей экспертизе.
Исследование показало, что в здании используются устаревшие радиотелефоны, что дает возможность врагу, находясь в пределах досягаемости базы радиотелефона (например, в этом же здании, но на другом этаже), позвонить с трубки-двойника по номеру 02 и сообщить о заложенной на вокзале бомбе. При этом милиция определит, что звонок произошел с номера организации Левитова, что прервет нормальную работу на некоторое время.
Также исследование показало, что один из компьютеров без ведома Левитова использовался в качестве сервера для хранения и распространения фотографий и видеозаписей порнографического содержания. Кто именно организовал порносервер, выяснить не удалось, но счета за Интернет оплачивал Левитов.
Заказ 5: Что русскому хорошо, то немцу смерть
Российская компания, обслуживавшая компьютерный парк крупного корпоративного клиента, использовала программный комплекс автоматизации предприятий, поставляемый одной из ведущих немецких софтверных фирм. Руководство компании обдумывало поступившее от немецкой стороны предложение стать их эксклюзивными представителями на территории России и стран СНГ по системам САПР, дававшее возможность выйти с этими продуктами на рынок других корпоративных клиентов. План предусматривал значительные затраты как в виде платежей немецкой стороне, так и в виде вложений в России. Руководство компании поставило перед экспертом вопрос: верно ли утверждение немецкой стороны о невозможности взлома защиты данной программы и записи ее на пиратский CD?
Бюджет врага был оставлен на усмотрение эксперта и задан как 'типичный для пирата'.
Исследование показало, что уровень цен на базовый модуль САПР данной фирмы в Германии составляет около 15000 евро (лицензия на десять пользователей), и каждый дополнительный модуль стоит от 700 до 4000 евро. Для домашнего пользователя программа интереса не представляет. Отсюда был сделан вывод о малой вероятности попадания программы к пиратам путем ее закупки и взлома легальной версии. Однако вероятным является приобретение крупной компанией лицензии на десять пользователей, взлом защиты усилиями своих или сторонних специалистов и установка программы внутри компании на значительное число компьютеров. После этого при неблагоприятном стечении обстоятельств можно ожидать появления взломанного дистрибутива и у пиратов.
Исходя из этого, бюджет проекта был оценен в $5000.
Изучение предоставленного заказчиком дистрибутива показало, что для защиты используется комплекс, состоящий из двух частей: программной защиты, сделанной специалистами фирмы-разработчика, и ключа HASP фирмы Aladdin для LPT-порта. Как известно, некий хакер из Санкт-Петербурга еще в 2000 году написал низкоуровневый драйвер ключа HASP, который устанавливается на место стандартного драйвера и самостоятельно обрабатывает вызовы к ключу. Однако фирма-разработчик либо не знала об этом, либо не сочла возможным приобрести новую версию HASP (для которой общеизвестного пути взлома по состоянию на сегодняшний день нет).
Изучение программной защиты, написанной специалистами фирмы-разрабочика, показало, что она заключается в привязке к MAC-адресу сетевой карты (MAC-адрес представляет собой уникальный шестнадцатеричный серийный номер, назначаемый каждому сетевому устройству Ethernet для идентификации его в сети, например 12:34:56:78:90:AB). Атака на эту защиту состояла в установке второй сетевой карты, в которой можно изменять MAC-адрес (такие, вопреки стандарту и общественному мнению, существуют).
Таким образом, было выяснено, что при наличии дистрибутива данной программы и одного HASP-ключа ее можно инсталлировать на любое количество компьютеров. Поточные расходы состоят в установке в каждый из компьютеров дополнительной сетевой карты стоимостью $10 (при инсталляции клиент-серверной версии дополнительную карту нужно вставлять только в сервер). Эмулятор ключа можно записать на CD (то есть можно изготовить дистрибутив, позволяющий инсталлировать программу без оригинального носителя и без доступа к ключу HASP).
Демонстрация уязвимости была осуществлена за пять суток, прямые расходы по осуществленному пути составили $500. В Москве есть организации, способные осуществить такую атаку.
Заказ 6: Подмена системного администратора
Заказчик - частная организация, созданная на базе существовавшей в СССР государственной структуры и участвующая в конкурсах на выполнение госзаказа.
Перед экспертом был поставлен вопрос о том, может ли враг получить доступ к материалам конкурсной заявки при бюджете в $10000.
Исследование показало, что здание, в котором расположена структура, по старой памяти охраняется вооруженными часовыми и войти в него непросто. Подкупить рядового сотрудника можно, но доступ к материалам заявки есть лишь у высокопоставленных должностных лиц, причем точный их список выяснить не удалось.
Оказалось, что здание имеет два выхода в Интернет, но используются они не как основной и резервный, а параллельно (некоторые отделы пользуются одним провайдером, остальные - другим). Роутинг был настроен так, что с пятого этажа на седьмой письма шли не по внутренней сети, а через провайдеров (и, более того, через США - но это уже проблема провайдеров). Один из провайдеров был небольшой организацией.
Атака была произведена следующим образом: Преснякова, сисадмина мелкого провайдера, переманили на другую работу (представитель дружественной организации написал ему письмо с хвалебным комментарием статьи последнего в журнале 'Connect', завязалась переписка, в результате которой Преснякову предложили такую зарплату, от которой невозможно отказаться). Руководство провайдерской компании срочно стало искать нового сисадмина, в частности, дав об этом объявление на www.job.ru. К ним пришел на беседу человек, которого было невозможно не взять, особенно с учетом его склонности получать удовольствие от решения проблем, а не от большой зарплаты.
Спустя сутки 'засланный казачок' наладил копирование всей внутренней почты, идущей, как вы помните, через провайдера. Полного текста искомой заявки в e-mail-ах не оказалось, но нашлись ее существенные куски. Попутно обнаружились:
· два факта воровства;
· шантаж одного сотрудника другим;
· не известный руководству факт болезни ребенка одного из важных сотрудников (ребенку была нужна операция, которую делают в Израиле за $60000, а сотрудник имел право подписывать финансовые документы);
· фотография сотрудницы, использующей рабочее место для осуществления неподобающего поведения по отношению к неустановленному мужчине.
Демонстрация уязвимости была осуществлена за восемнадцать суток. Прямые расходы по осуществленному пути составили $4800. В Москве есть организации, способные осуществить такую атаку.
2.7 ОСНОВЫ СоциальноГО программиСТА ИЛИ ВВЕДЕНИ В ПСИХОЛОГИЮ ЛИЧНОСТИ И ГРУППЫ
Не редко, в самой литературе и докладах, публикациях и даже учебниках, встречается путаница между социальной инженерией и социальным программированием. Не будут лишними некоторые пояснения по этому вопросу.
Мы определили, что социальная инженерия имеет место там, и только там, где происходит манипулирование человеком или группой людей с целью взлома систем безопасности для похищения важной информации и работает в системе «человек-компьютер».
Применение социального программирования намного шире, работает со всеми категориями людей, независимо от того, какой частью системы они являются, и применяется безотносительно от какого-либо взлома. Оно также, не имеет отношения к системе «человек-компьютер». Примером применения социального программирования может служить обуздание агрессивно настроенной толпы, обеспечение какого-либо кандидата на очередных выборах, для «очернения» кандидата и вызова в массах негативного отношения к нему и т.д.
Другим важным отличием является то, что социальная инженерия, это преимущественно отрицательная область применения, а социальное программирование, как любая область знания, имеет как положительную, так и отрицательную область применения.
Путаница происходит прежде всего потому, что социальная инженерия, является частным случаем отрицательного применения социального программирования. Сами корни социального программирования идут в древний Рим и более ранние периоды существования человеческой цивилизации. Причем, методы, используемые в социальном программировании, хорошо нашли свое применение и в социальной инженерии. В связи с чем, рассмотрение методов социального программирования дают лучшее понимание сути работы множества методов используемых социальными инженерами.
Под социальным программированием будим понимать науку, изучающей методы целенаправленного воздействия на человека или группу лиц с целью изменения или удержания их поведения в нужном направлении. То есть, основная задача социального программирования, это овладение искусством управления людьми. Основная концепция социального программирования заключается в том, что многие поступки людей и их реакции на то или иное внешнее воздействие в большинстве случаев предсказуемо. Все это возможно, благодаря стереотипам восприятия, стереотипам мышления, стереотипам поведения.
Общая схема методов работы социального программирования имеет следующий вид:
/
В социальном программировании разработка схемы воздействия ведется с определения желаемого итога, т.е. с конца.
Приведу один достаточно популярный для России. Некая компания заинтересовалась поглощением другой компании, либо поглощением множества компаний в зоне Москва, Подмосковье отнесенных к определенной сфере деятельности или занимающей определенные территориальное размещение. Для этого существует масса механизмов. Один из самых действенных и надежных пришедший из техники спецслужб - внедрение своего агента в состав руководства среднего и высшего звена компании-цели. После анализа рынка была выявлена компания-цель. В этой компании оказалась вакансия на должность заместителя начальника АХО. После тщательного изучения требований, выяснения ряда деталей психотипа начальника АХО, кадровой службе компании-захватчика был сделан заказ на человека (как среди своего персонала, так и на заказ через агентства), который бы наиболее соответствовал предъявленным на вакансию требованиям и оптимально подходил под психотип начальника АХО. Допустим, такого человека нашли, сделали ему безпроигрышный имидж и послужной список, в результате чего, начальник АХО радушно встретил своего заместителя. Последующий анализ на месте психотипа выявил, что начальник АХО не равнодушен к выпивке и у него больное сердце. Заместитель начальника АХО, внегласно заключает определенные соглашения с поставщиками различных хозяйственных товаров, концелярии, в результате поставщики часто приглашают в гости начальника АХО или приезжают сами в гости, где потихоньку спаивают этого начальника. В результате место начальника АХО после сильного ослабления сосудов и перенесенного геморрагического инсульта переходит к заместителю. При этом между бывшим начальником и настоящим, остаются теплые отношения, а вся работа по устранению сделана не своими руками. Дальше широкое и неограниченное поле деятельность для компании-захватчика.
Замечу, что похожим образом, был «убран с пути» кандидата на должность заместителя деканата один из перспективных молодых сотрудников одного из деканатов нашего вуза, в продвижении которого был заинтересован и сам декан. Но некоторые коллеги думали иначе и видели себя в этой должности.
Это одна из самых простых схем применения социального программирования в отрицательных целях. Итак, нужный итог - физическое устранение соперника с должности. Далее проработка психофизических характеристик, по которым подбирается нужный человек, а также выявление того, что у человека склонность к алкоголю и наличие хронических сердечно-сосудистых заболеваний. Далее разрабатывается мера воздействие (чрезмерное употребление алкоголя), при правильном планировании и применении дающая запланированный результат. Причем, важная деталь, это естественное поведение для самого человека. Для этого и производится расчет психофизических характеристик. То есть, социальное программирование, это когда происходит моделирование ситуации под конкретного человека, в которой производится прогнозирование его поступков и поведения, исходя из знания психотипа этого человека. Работа с группами лиц производится похожим образом, только учитывается дополнительные критерии.
Базовые концепции социального программирования
Социальное программирование базируется на достаточно большом количестве психологических концепциях, но наиболее популярными являются:
· трансактном анализе;
· сценарном (скриптовом) программировании;
· нейролингвистическом программировании (НЛП);
· социологии (наука о поведении людей в группах);
· психологической типологии.
Достаточно кратко познакомимся с ними. Исключение составляет концепция психологической типологии, в виду сложности раздела. В конце работы можно обратиться к дополнительной литературе, чтобы ознакомиться с этим разделом психологии самостоятельно. Для понимания механизмов социального программиста, нам будит достаточно познакомиться с трансактным анализом, психологической типологией, и рассмотрим несколько позднее примеры.
2.7.1 Трансактный анализ
Данную систему предложил известный психолог Эрик Берн Берн Э. -- американский психотерапевт и психолог, основатель трансактного и скриптового (сценарного) анализа, так называемая система Эго-состояний (или Я-состояний) человека: Родитель, Взрослый и Дитя.
Каждый человек проходит три этих состояния, например, утром, дискуссируя с самим собой, пытаясь по звонку будильника поднять себя с постели и уговаривая перевести на часок еще будильник (Дитя проснулось), возражая себе, что это невозможно и не положено так себя вести (Родитель начинает читать наставление ), нет нужно на совещание не опоздать (утверждает Взрослый).
За все наши желания, за наше 'хочу', за интуицию, за шалости, за сексуальные желания и т. д. -- отвечает Дитя. За то, что мы должны делать, -- отвечает Родитель. А за обдумывание, за принятие решений отвечает Взрослый. У нормально развитой личности присутствуют все три Я-состояния, а у счастливой личности они еще и находятся в гармонии между собой.
Согласно М.Литваку Литвак М. Е. -- известный российский психиатр, психотерапевт, писатель. в норме, если существует отношение 75% - Взрослый, 12,5% - Родитель и 12,5-Дитя.
Схематично, структура личности по Берну изображается так, как показано на рисунке ниже (рис. 2.24)
/
Рис. 2.24. Три Эго-состояния человеческой личности
Если какая-то части личности заблокирована, т.е. происходит одна из блокировок Взрослый-блокировка, Родитель-блокировка или Дитя-блокировка, такие люди развиваются не гармонично и являются потенциальной мишенью для воздействия на себя.
Блокировка Взрослого (В-блокировка)
/
Рис. 2.25. Схема личности с В-блокировкой
Это человек, у которого отсутствует Взрослый. Такой человек постоянно раздираем противоречиями, т. к. в структуре его личности присутствуют только капризное Дитя и жестокий Родитель. «Я знаю, что это не стоит делать, но вот так кок-то получилось…» - обычно говорит такой человек. Такой тип человека очень часто попадает под плохое влияние. Повлиять на него проще всего. Из-за чего он излюбленный объект социальных программистов и социоинженеров.
Следует избегать, чтобы на работе, на руководящей должности любого уровня находился такого типа человек. Ему нельзя доверять конфиденциальную и важную информацию, ответственные дела. От таких личностей лучше избавляться сразу. Особенно проблематично если такие люди находятся в структурах или сотрудниками охранных предприятий. К ним легко войти в доверие и стать их лучшими «друзьями».
Так, очень часто такие люди - алкоголики, пассивные или активные. Так в милиции и даже в ОМОНе не редки случаи «бесбашенных» сержантов.
Блокировка Родителя (Р-блокировка)
/
Рис. 2.26. Схема личности с Р-блокировкой
У такого человека полностью заблокирована позиция Родителя, и его Взрослый работает только на желания Дитяти. Такой человек без тормозов, общаться с которым крайне сложно, т. к. для него, кроме его 'Хочу!!!', ничего не существует. Как правило, это люди у которых нет совести, потому что у них нет Родителя, который и является нашей совестью. Люди такого типа тоже очень хороши как мишени для социального программирования, т. к., к примеру, очень легко берут взятки. Если найти способ ублажить Дитятю такого человека, -- он ваш. Правда, не надолго, потому что желания Дитяти очень быстро меняются.
Таких людей немало среди обеспеченных богатых родителей, позволявшим своим детям делать все что угодно, причем безнаказанно, включая убийства, насилие, езда за рулем в нетрезвом виде. Особенно, если папа чиновник. Человек такого типа может быстро прекратить общение с тем, кто не ублажает его вечное «Хочу». В преступном мире таких людей много, которые привыкли получать, но отдавать не умеют. 75% наркоманов - по статистике такой психотип людей. Остальные 25% - люди с В-блокировкой, севшие на иглу по принуждению.
Блокировка Дитя (Д-блокировка)
Рис. 2.27. Схема личности с Д-блокировкой
Люди с Д-блокировкой -- это люди, у которых заблокировано Дитя, и все их поведение определяется в основном действиями Родителя-контролера, который вмешивается во все, не давая Взрослому нормально оценивать ситуацию. Это люди, которые не умеют шутить, играть, радоваться, веселиться. Это люди, которые не могут быть счастливыми. За счастье ответственно именно Дитя, позиция которого у них заблокирована. В жизни такие люди руководствуются принципом 'Как бы чего не вышло' и строго, до безумия, соблюдают все возможные инструкции. Таких людей много в армии, среди преподавателей и некоторых начальников среднего звена.
Если имеют место быть блокировки одного из Я-состояний, т. е. также и гипертрофированность состояний, при котором у человека сильно развито только одно из состояний, а два других находятся в зачаточном развитии, т. к. то состояние, которое сильно развито, не дает развиваться двум другим. Эти патологии называются Р-, В- и Д-исключительность или Р-, В- и Д-постоянность (т.е. это состояние присутствует у человека всегда, независимо от ситуации) соответственно.
Исключительности
Р- исключительность присутствует у человека у которого исключительно развит Родитель. Это личность, мгновенно пресекающая все проявления Дитя (чувства, игры, восхищения и т.д.), а слабый Взрослый не может этому помешать. Среди такого типа личности немало моралистов, любители осуждать и читать нравоучения и нотации. Никогда не дают себе слабости и возможности сделать что-то не так, как они привыкли. Среди таких людей немало самоубийц, которые в собственном мире зашли в тупик и не знают как выйти с него.
В-исключение, этот тип присущ настоящим, матерым программистам. Часто люди за тридцать, любители копаться в схемотехнике, компьютерах, программах. С одной стороны лишены веселости, непосредственности, очарования (Дитя задавлено) с другой стороны - не способны проявить негодование даже, когда нужно и постоять за самого себя или близкого товарища. Он способен на планирование, обработку данных, решение поставленных задач.
Д-исключение, как правило, нарциссически импульсивные люди, т.е. люди любящие только себя, во всех своих проявлениях, и только веселье (и все остальные эмоции) для себя. Они уверены в том, что их все вокруг должны веселить. У таких людей в жизни только чувства, веселье, радость или печаль, плач или смех... Важно то, что все эти эмоции исходят только из состояния Дитя, и только этим состоянием контролируются.
/
Рис. 2.28. Схема трансакции
Таким образом имея разобравшись со структурой личности по Берну, можно рассмотреть основные положения трансактного анализа. Например, схема трансакции, т.е. общения между двумя людьми А и Б выглядит так. Собеседник А обращается к собеседнику Б, посылая тем самым ему стимул. Собеседник Б отвечает демонстрируя свою реакцию на посланный собеседником А стимул. Стимул и реакция представляют собой трансакцию, являющуюся элементом активного общения.
Различают параллельные и пересекающиеся трансакции. В один момент между собеседниками А и Б у каждого из них только одно Я-состояние принимает участие в беседе.
Рис. 2.29 (а) и (б). Трансакция В - В и Р - Р
На рис. Приведены параллельные трансакции первого типа. Их смысл в том, что они возникают только на одном уровне общения, т.е. Р - Р, В - В, Д - Д. Т.е. партнер отвечает из того Я-состояния, к которому направлен Стимул и отвечает он тому же Я-состоянию, который этот стимул наприавил. Причем, в ходе разговора собеседников в один и тот же момент времени они могут говорить только на единственном уровне Я-состояния и менять его в процессе своего общения.
Так, например, если двое коллег обсуждают спокойно производственную проблему, они общаются через своих Взрослых т.е. по линии В - В.
Если двое преподавателей встречаются после приема зачета у студентов, то один может вздыхая говорить другому: «Да Иван Семеныч, не та нынче молодежь пошла…», на что получает ответ - «Да Петр Михалыч, не та! Вот в наше время, как мы учились и к сдаче готовились!». Это позиция Родителей.
Пример Детей. Два студента разговаривают: «Слышишь Мишка, а ну её в бану эту механику! Может по пивку или в кино сходим и на пары забъем?», на что получает ответ «Да Саня! Правда, чего-то мне тоже не охота идти. Давай, пойдем по пивку возьмем!».
Так в этом примере по линии В - В мы работаем, по линии Р - Р сплетничаем, по линии Д - Д любим.
Основная цель трансактного анализа в том, чтобы выяснить в каком из своих трех Я-состояний находится человек при данном конкретном общении.
Другой тип трансакций, это параллельные трансакции типа Р - Д, Д - Р.
Рис. 2.30 (а) и (б). Трансакция Р - Д и Д - Р и пересекающаяся трансакция Р-Д, В-Д
Трансакция типа Р -- Д возникает в случае заботы, опеки, тирании и т.д. Трансакция типа Д-- Р -- это трансакция капризов, восхищения, беспомощности. Если партнер на стимул Р -- Д отвечает реакцией Д-- Р, то трансакция остается параллельной и конфликта не будет. При параллельных трансакциях, когда вектора не пересекаются, конфликт не происходит. Причем трансакции типа Р - Д, Д - Р неравноправны. Один всегда вверху (Родитель), другой внизу (Дитя).
Примером может служить диалог начальник-тиран, подчиненный-овечка, когда стимул дает начальник к разговору, ругая подчиненного за несделанную работу.
Трансакции типа Р -- Д, Д -- Р перестают быть параллельными (т. е. развивается конфликт) тогда, когда исчерпают себя связи по линии В -- В (рис. 2.30 (б)).
Такая ситуация может возникнуть например, когда аспиранты уходят из аспирантуры, как только защитят кандидатскую диссертацию, или отпадет необходимость 'косить' от армии, подчиненные увольняются, как только получат для себя материальные блага, ожидание которых заставляло терпеть их тиранию начальника, и т. д. Также, когда руководитель не руководит, а поучает своего подчиненного.
Чтобы избежать конфликтов, необходимо трансакции параллелить, т.е. соблюсти направленность вектора, чтобы это выглядело как на рис (а), после чего можно вывести трансакцию к виду В - В или Р - Р.
Для социального программиста, социоинженера самая лучшая манипуляция Д - Р. Вообще позицию Д, лучшая позиция для начала манипуляции.
У Берна имеется понятие скрытой трансакции. Все рисунки (2.29 и 2.30), которые мы рассмотрели, являются явным общением, т.е. общением на социальном уровне, а скрытое общение - это общение на психологическом уровне (подтекст). Это когда общение приводит к тому, что собеседник начинает делать что-то не по своей воле, как бы подталкиваемый к тому, что нужно другому собеседнику.
Рис. 2.31. Скрытое общение по линии В - В научного руководителя и аспиранта
Например, в схеме общения Руководитель - подчиненный, между аспирантом и научным руководителем существует скрытая связь на уровне В - В, являющаяся скрытой трансакцией. Основная связь руководитель является опекуном аспиранта, а аспирант, опекаемым. Пока существует скрытая трансакция В - В работа между ними получается, т.к. руководителю нужно, чтобы аспиранты выполняли работу, а аспиранту было нужно защитить диссертацию. Когда это произойдет, дальше может последовать разрыв, т.е. конфликт, как на рис. 2.30 (б).
Также допустимы угловые трансакции, т.е. исходит обращение по линии В - В и скрытое обращение (подтекст) по линии В - Д. В результате образуется «угол» из одного Я-состояния исходит стрелка явного общения и стрелка скрытого сообщения одновременно.
Например, два руководителя (рис. 2.32) проектов ведут общение и один А, говорит другому В:
· Да, этот проект, о котором ты говоришь намного интереснее, сложнее и финансово более выгодный. Но боюсь, ты не уложишься по календарному плану, даже если сверх положенного тебе дать два консультанта.
· Да, вероятно ты прав. Возьму у другого заказчика тот, который смогу уже по аналогии сделать, а то и правда, тема новая, могу не рассчитать свои силы и подведу всех.
Рис. 2.32 (а) и (б). Бесконфликтная угловая трансакция
Сотрудник А скрыто «уколол» Дитя сотрудника В, дав понять, что тот еще не дорос до таких сложных проектов и с таким большим бюджетом. На скрытый стимул от А, сотрудник В отвечает параллельной реакцией Д - В и конфликт не происходит.
Перед тем как привести несколько примеров применения трансактного анализа, следует сказать, что в для социального программиста это мощный инструмент в умелых руках. Трансактный анализ говорит о том, что любой человек в любой ситуации общения проявляется в одной из трех позиций: Р (Родитель), В (Взрослый) или Д (Дитя). На его основе можно спрогнозировать многие ситуации с говорящим. Более того, при этом можно использовать различные каналы общения, как непосредственно общение с глазу на глаз, так по телефону, по электронной почте или в онлайн-пейджере.
Как пройти мимо охранника.
Один из действенных методов пройти через пост охраны в компанию, это перевести охранника с позиции Родителя (в которой он должен быть по 'служебной инструкции') в позицию Дитя. И это один из самых общих принципов социального программиста. Потому что в позиции Д люди не способны мыслить разумно. Зато они очень восприимчивы к жалости, восхищению, лести, любопытству и т. д. Если у охранника порез на руке или вид усталый, ему можно посочувствовать, либо взбодрить, например подобной фразой:
- Ну как дела, рана подживает, надеюсь? А то болеть нам некогда! Давай, поправляйся скорее, а то рыбу всю выловят, пока мы с вами соберемся!
Иной метод, это использование позиции Родитель - Дитя, когда проходя через турникет выступаешь в роли одного из руководства компании. В любом случае нужно оценить ситуацию и подобрать оптимальный вариант, т.к. непосредственное наблюдение за мелочами, в частности как проходят сотрудники, дает много информации.
Манипуляции «Сотрудник-начальник»
Как правило, сотрудник всегда находится в состоянии Д, а руководитель в состоянии Р. Пока сохраняется отношение сотрудника Д - Р, а руководителя к сотруднику Р - Д, то руководитель никогда не выгонит сотрудника, если только последний очень сильно не провинится или сильно обидит начальника. Манипулировать в таком положении всегда удобно и нужно приловчиться к такой игре, чтобы не перейти вдруг на позицию В. Когда дети вырастают до взрослого, тогда есть шансы быть уволенным с работы или провиниться перед руководителем.
2.7.2 Скриптовое программирование
Атакам социальных программистов, подвержены люди, с точки зрения психологии не вполне полноценные. Проблемные люди, т. е. те, у кого слишком много нерешенных проблем, комплексов. Эти люди живут не по своей воле, хотя им кажется, что все идет как и нужно тому быть. Они различимы в толпе: идут, погрузившись в свои мысли, отсутствующий взгляд, неуверенная походка. Ввести в транс такого человека проще всего. Но есть и другие идущие бодрой походкой, с целеустремленным взглядом, способные оценивать ситуацию.
Данная тема очень сложна в виду совей психоаналитической и парапсихологической направленности. Но краткое рассмотрение будит полезно с точки зрения понять, что вопрос оценки кадров с ходу, как у военных, это 70% успеха дела в дальнейшем. Так, например, если компания планирует серьезно подбирать кадры, особенно для руководящего состава, либо проводить аудит кадрового состава предприятия, данный раздел используется повсеместно, как в интервировании, так и анкетировании сотрудников или при рекрутменте.
Современная психология выяснила, что у человека есть подсознательный жизненный план, согласно которому он живет. Этот самый план и называется скриптом. Термин этот введен Э. Берном, основателем скриптового анализа. Скрипт (или сценарий) в психологии, как правило, употребляется в отрицательном смысле. Таким образом, если человек неудачник, значит, он живет в рамках какого-то неудачного сценария или скрипта. Есть хорошие скрипты, но они редко рассматриваются в психологии и поэтому, слово скрипт, часто употребляется в отрицательном смысле.
Какой будет наша жизнь, мы решаем очень рано -- в возрасте от 3 до 6 лет. Э. Берн говорил на эту тему примерно так: 'Каждый человек в раннем детстве решает, как он будет жить в жизни, как он умрет, и этот план, который всегда с ним, где бы он ни был, и называется скриптом или сценарием. Его поведение может быть обусловлено здравым смыслом, но все важнейшие решения в его жизни уже приняты: кого он выберет в супруги, сколько будет детей и будут ли они вообще и т. д.'.
Иными словами, скрипт-- это жизненный план, сформированный в раннем детстве под влиянием родителей, бабушки, если она воспитывала внуков в этот возрастной период. Скрипт -- это та психологическая сила, которая толкает человека к его судьбе.
Вместе с Э. Берном это направление развили такие известные психологии, как Э. Карпмпан, М. Литвак. Они попытались в частности ответить, как стать строителями своей жизни, даже если до этого мы живем по написанному кем-то скрипту. Поэтому, в психологии это направление стали называть сценарное или скриптовое перепрограммирование. Человеческую жизнь не нужно сводить к формулам, в них мы не нуждаемся. Однако, основная масса людей живет по формуле или по сценарию.
Вся цель скриптового анализа -- превратить неудачников в удачливых, выяснив предварительно, согласно какого скрипта они действуют. Это и есть сценарное перепрограммирование.
Итак, в отделе кадров или при проведении социально-психологического анализа персонала, основной из задач ставится определить потенциальные наклонности, слабые и сильные стороны личности человека. Составляется, казалось бы список вопросов далекий от специализации и вообще, непонятно что. Но с учетом привычек, каких-то уже выработанных реакций человека на те или иные события, воспоминаний из детства, психологи достаточно грамотно определяют, что за человек перед ними сидит.
Так, стандартный вопрос может звучать следующим образом: «А есть ли у вас личное авто? Если есть, то случалось так, что за несколько метров до заправки у Вас заканчивался бензин? А после приходилось толкать машину… Если да, то с какой периодичностью такие случаи происходят?», далее «А вы всегда пунктуальны или иногда немножечко опаздываете?». И если человек отвечает, что «…да вы знаете, бывает и машину толкаю и происходит это периодически, да и невозможно не опаздывать в наше время.», тогда не стоит удивляться, что можно услышать ответ: «Извините! Но вы нам не подходите».
В ходе такого общения, психолог пытается понять, как у человека атмосфера в семье сейчас, и там где он рос. Какие параметры характера для него характерны. Склонен ли человек к суициду (особенно если требуется позиция управленца высокого уровня), или бывает психологически неуравновешен и его можно вывести из себя, спровоцировать нежелательный разговор для него с точки зрения социального манипулирования и захвата.
2.7.2.1 Основные критерии определения параметров характера
Э. Берн предложил описать характер человека по трем параметрам:
· Я (отношение к себе);
· ВЫ (отношение к близким);
· ОНИ (отношение к людям)
Российский психотерапевт М.Литвак добавил 4-й параметр - ТРУД (отношение к предметной деятельности).
Структура характера гармоничной личности определяется формулой:
Я+, ВЫ+, ОНИ+, ТРУД+ , где
Я+
Такой человек воспринимает себя как благополучную личность и ведет себя как благополучная личность.
Я-
Этот человек воспринимает себя как неблагополучную личность, как неудачника. Даже если у него и случаются успехи, то он их считает случайными. И даже в моменты успеха его не покидает чувство неуверенности, чувство непрочности этого успеха. Все неудачи же воспринимаются им как совершенно закономерное явление. Такой человек -- дитя жизненных обстоятельств. Как правило, у таких людей чрезмерно высокий уровень притязаний. Это закономерность: чем выше у человека уровень притязаний, тем ниже его самооценка, и даже при наличии реальных успехов он будет чувствовать себя несчастным (потому что уровень притязаний слишком завышен). В этом, кстати, корень большинства неврозов.
ВЫ +
Человек со знаком плюс в позиции ВЫ считает близких людей благополучными людьми и в разговорах с ними вербально и невербально обращается только к их положительным качествам. Такой человек дружелюбен, предпочитает компромиссы ссоре. К недостаткам своих партнеров по общению (которые он прекрасно видит) относится уважительно, не показывая своего отношения и чаще видя преимущества в этом.
ВЫ -
Такой человек рассматривает людей своего близкого окружения как неблагополучных и изначально настроен на конфликт с ними. В людях он видит только недостатки. Такие люди придирчивы, стремятся перевоспитать других, излишне саркастичны. Они готовы даже по незначительному поводу затеять большую ссору с дальнейшим разрывом отношений. Безболезненно сосуществовать рядом с такими людьми можно только постоянно, и во всем им уступая.
ОНИ +
Личность с плюсом в позиции ОНИ расположена к людям, легко заводит новые контакты.
ОНИ -
В этом случае наоборот: человек стремится избегать новых контактов, при возникновении новых знакомств застенчив и неуверен. Очень медленно адаптируется к новой обстановке.
ТРУД+
Такой человек живо относится к своей деятельности, постоянно самосовершенствуется, ему нравится сам процесс труда, он хочет внести свой творческий вклад в то, что он делает. Важно то, что процесс труда для такого человека-- первичен. Материальные ценности, награды и прочие блага отходят на второй план, при этом самое интересное, люди с позицией ТРУД+ почти всегда их получают, не в пример тем, у кого материальные ценности на первом месте.
ТРУД-
У такой личности процесс труда -- вторичен. На первое место выходят те материальные блага, которые личность может получить в процессе своего труда. Такой сотрудник, к примеру, постоянно ищет более выгодную работу, и все время смотрит, как бы его не ущеми в распределении благ.
Задача сценарного перепрограммирования -- привести структуру личности к этому идеалу. Фактически каждому ребенку в возрасте трех лет в благополучной семье свойственно именно гармоничное развитие. Когда начинается воспитание ребенка родителями, объяснения, что дворником быть плохо, а моряком - хорошо и дружить нужно только с теми, у кого папа военный, это и есть убивание или подавление в ребенке какого-то параметра (ОНИ-). В основе своей родители уже не гармоничные личности (в одной или нескольких позициях они Родители (Р)). Поразителен и тот факт, что когда ребенок видит, как приходят родители его родителей и начинают ругать своих детей, за то, что те неверно воспитывают своего ребенка, ребенок очень хорошо это понимает и уже с недоверием относится к воспитанию со стороны своих родителей, формируя тем самым у себя параметр «ВЫ-». Поэтому, хороший руководитель никогда не будут ругать своего подчиненного или нравоучением заниматься в присутствие других подчиненных. Он вызовет его к себе и отдельно потолкует, как принято в армии.
Так, если вдруг начальник начинает жаловаться что в компании проблемы и сотрудники не умеют работать с клиентами, приходят периодически жалобы от клиентов, то после знакомства с сотрудниками, выясняется как правило, что один параметр точно в минусе, это «ОНИ-». Таких сотрудников принимать на работу для работы с клиентами не стоит. Хотя, если у них только один этот минус в гармоничной формуле, они себя будут отлично чувствовать в своем микроклимате, среди хорошо знакомых им коллег своего отдела, например, где им комфортно и при этом быть отличными работниками.
С позиции М. Литвака, крайне нежелательны на предприятии люди с позицией «ТРУД-». Так , типу характера человека, которого Литвак назвал «Евгений Онегин» соответсвует формула:
Я+, ВЫ+, ОНИ+, ТРУД-
Это типичные «лентяи». Причем немало среди них отличников в школе, в вузе, победителей кучи олимпиад и соревнований и т.д. Словом, без знания психологии, такого человека ждут с распростертыми руками. Сопоставление с образом Евгения Онегина здесь появился потому, что он с хорошими способностями, и ему все давалось, что в результате привело его к тому, что «труд упорный ему был тошен», т.е. неспособность к упорному труду. Сперва, такие люди показывают хорошие результаты, чем и привязывают к себе учителей, преподавателей, работодателя. А поскольку они как бы «лидеры» во всем, то ни одной профессией они не владеют. Там где начинаются препятствия, они их перекладывают на других или бросают и переключаются на другие направления. Так, не достигнув уровня хотя бы в чем-то, они разочаровываются и часто становятся отличными ловеласами к 22-25 годам, ищут утешение в любви. Поскольку ответственности они брать на себя не любят, то до семейной жизни редко доходит дело. Для них, это большой ответственный труд. Причем, когда от «онегиных» начинают отделяться коллеги, понявшие суть такого человека, у них уже начинает формироваться минус в позиции ВЫ. И привыкнув к любовным утехам, они и там не ходят радости. Как только «ВЫ-» начинает прогрессировать, он становится депрессивным человеком, заканчивающаяся либо суицидом, либо алкоголизмом. Как правило к 30 годам.
Для социального программиста, находкой являются подозрительные, мстительные, жадные люди. Которые пытаются преследовать своих жертв, избавляясь всевозможными способами от них, или принижая своих «соперников». Дело в том, согласно правилу Треугольника Карпмана (Треуголинк судьбы ), преследователи после того, как избавятся от своей жертвы, сами занимают место «жертвы». Так, за счет интриг, если сотрудник добился увольнения ряда своих оппонентов, то при наступлении в его жизни «гармонии», есть большая вероятность увольнения его самого.
2.7.3 Базовые понятия нейролингвистического программирования
Каждый заключен в тюрьму собственных убеждений.
Альберт Эйнштейн.
Основателями Нейро-Лингвистического Программирования (далее НЛП или NLP) являются лингвист Джон Гриндер (бывшего военного переводчика участвовавшего во многих спецоперациях) и психолог Ричард Бендлер (а также он был известный философ, математик, антрополог, биолог и кибернетик). Это методологическая концепция моделирования эффективного поведения и обучения этим моделям. Первоначально НЛП базировалось на шаблонах эффективной психотерапии, в основном - Эриксоновского (т.е. неявного) гипноза, семейной психотерапии (В. Сатир) и гештальт-подходе (Фриц Перлз, суть которого быстро и эффективно достигать результат, приводящих к самосознанию). В настоящее время НЛП используется в основном в бизнес-контекстах и является одним из направлений в психологии: развитие коммуникативных навыков и лидерских качеств, освоение стратегических моделей развития организации. Время основания приходится на 1975 г., но позднее к основателям НЛП примкнуло еще несколько известных личностей и группа основателей НЛП насчитывала уже порядка 15-20 человек. Первый русский психотерапевт в этом направлении стал Юрий Анатольевич Чекчурин.
Часть 'Нейро' расшифровки этой аббревиатуры относится к нервной системе, а часть 'лингвистическое' -- к нашей способности использования речи и к тому, каким образом употребляемые нами речевые обороты характеризуют наш внутренний мир. Программирование здесь появилось затем, чтобы показать, что наши мысли, чувства и действия являются результатом выполнения наших 'внутренних программ', изменив которые можно изменить свою жизнь. Одна из ключевых задах НЛП, это техника сбора информации об актуальном состоянии человека.
НЛП содержит массу техник и раздело практической психологии. Здесь имеет смысл рассмотреть небольшую часть, которая серьезно влияет на общение с друг с другом и названа системами представления в НЛП.
Согласно концепции НЛП, человек обрабатывает информацию, пользуясь четырьмя основными системами представления:
· Визуальной (зрение);
· Аудиальной (слух);
· Кинестетической (ощущение);
· Аудиально-дискретной (внутренний диалог с самим собой).
Определив, какая система у человека превалирует над всеми остальными, возможно осуществить подстройку и таким образом более конструктивно и результативно построить диалог. Следует во время общения употреблять те же слова, что и ваш собеседник, т. е. на вопрос 'Вы это видите?', неверно будит ответить 'Да, я это чувствую'. Ваш собеседник визуал, и отвечать ему тоже надо визуально 'Да, я это заметил'.
К каждой системе представлений существует свой собственный сенсорный предикат, выражающий «мыслеформу», свойственную конкретной системе представления человека. Только что такие мыслеформы были использованы в вопросе и ответах.
Рассмотрим основные признаки этих систем.
Визуальная система
Люди этого типа запоминают информацию с помощью мысленных образов, и их внимание сложно отвлечь звуками. В разговоре пользуются визуальными предикатами, к примеру: 'У меня сложилось такое видение ситуации', 'как мне видится, это надо сделать так-то', 'итак, что мы видим'. Такому человеку в разговоре лучше начертить схему и сказать 'давайте посмотрим на эту схему'. Если человек с визуальной системой долго слушает только одну речь, то его внимание начинает 'плыть', что тоже нужно учитывать. Люди визуальной системы практически всегда собранны и опрятны, что также ожидают от собеседника. Манера речи -- быстрая, высота голоса, как правило, немного повыше нормальной, взгляд направлен чуть вверх.
Аудиальная система
Люди аудиальной системы склонны пользоваться аудиальными предикатами (в скобках для сравнения приведены визуальные предикаты): 'звучит неплохо' (вместо 'смотрится неплохо' для визуальщика), 'что я слышу?!' (вместо 'что я вижу?!'), 'вы слышали, что вчера по телевизору сказали?' (вместо 'вы видели...'). Люди с аудиальной системой говорят ритмично, с богатыми голосовыми интонациями. При обдумывании проблемы склонны отводить глаза в сторону, как бы прислушиваясь к чему-то. Аудиальщики легко усваивают информацию на слух и предпочитают слышать отклик собеседника на свои высказывания.
Кинестетическая система
В речи кинестетики склонны пользоваться кинестетическими предикатами, обозначающими различные ощущения: 'меня в озноб ударило от этой мысли', 'все идет гладко', 'я получил заряд бодрости', 'это нагоняет тоску', 'проблема обрушилась на меня' и т. д. Когда кинестетик пребывает в задумчивости, взгляд его направлен, обычно, вправо вниз. Темп речи в спокойном состоянии медленный, нередко с большими паузами между словами. Кинестетики хорошо реагируют на дружеские прикосновения, похлопывания по плечу, и сами могут себе такое позволять. Процесс запоминания нового происходит путем мысленного повторения всего процесса (к примеру, если надо запомнить основные моменты беседы, кинестетик мысленно 'проиграет' ее всю от начала до конца). Это человек ощущений. Кстати, такие люди неплохо относятся к решению различных вопросов во время застолий, совместных походов в баню и т. д.
Аудиально-дискретная система
Люди с такой системой представления много времени уделяют мысленному общению с самими собой. Для них важно только то, что имеет логику. Обороты их речи достаточно сложные. В речи любят пользоваться обилием подробностей. Как правило, очень эгоцентричны. Не дай вам бог такого человека похлопать по плечу, или предложить 'порешать вопрос в баньке' -- такого обращения они не терпят, считая это недопустимым панибратством. Подобные методы они могут позволить лишь только очень узкому кругу близких людей. Во время внутреннего диалога смотрят, как правило, влево вниз. Иногда таких людей называют дигиталами, среди таких людей немало программистов и шахматистов. Если такие люди не самозацикленны, это потрясающие люди, эрудированные, глубокие с которыми всегда интересно и время уходит незаметно во время общения.
Разобравшись с типами, пронаблюдав, например за домашними, коллегами в переговорах важно научиться немного подстраиваться под собеседника, к его нейтральным и положительным жестам. Но, это должно осуществляться частично. Как к некоторым позам и жестам, так и к тембру голоса. Одна из незаметных и наиболее эффективных подстроек к собеседнику является, подстройка к частоте дыхания. В НЛП, это называется признаком глубокого раппорта или отзеркаливанием. Иначе, если мимика и жесты выражают недоброжелательность по отношению к собеседнику, лучше тогда его отвлечь. Например, попросить рисовать на бумаге схемы своего объяснения, мол, так понимается лучше вами. Причем, существует метод ведение, суть которого подстройка на первом этапе к человеку, а потом постепенная отстройка от него, тем самым увлекая собеседника за собой. Так в частности поступают родственники, если один из них вступил в секту, чтобы последний осознал свою глупость и вышел из неё.
Такие техники очень актуальны, особенно, при утихомировании собеседника на переговорах. Подстраиваешься сперва к их гневу, повышая тембр, жестикуляцию, а после сам постепенно сводишь эмоции на нет и приходя в норму, что за вами осуществляет делать сам собеседник. Здесь хорошим примером может послужить пример с ребенком. Когда стараешься его уложить спать, а он хочет играть. Вступаешь с ним игру, и по истечении 7-10 минут, начинаешь показывать своим видом, что усыпаешь. Т.е. начинаешь зевать, прикрывать глаза, дремать на ходу, встряхиваться и как бы просыпаться… Как правило через 15 минут ребенок готов самостоятельно улечься спать.
Для проведения успешных переговоров, очень важно иметь положительную установку на себя с собеседником. Например, если о нас замолвили хорошее слово кто-то, кто общается с будущим нашим собеседником. Тогда переговоры превращаются в приятную беседу. Если же промелькнула где-то информация о нас негативная, результат переговоров может быть непредсказуемым. Установлено психологами, что очень часто, агрессивные люди, это как правило, люди себя такими настраивающие и в основе своей они наоборот трусливы и очень уязвимы. Так, установка руководителя подразделения в том, что все в концов, ворюги, приводит к тому, что с таким руководителем никто не хочет работать.
2.7.3.1 Игра на человеческих слабостях
Определив те или иные слабости, которые присущи каждому из нас, социальный программист может успешно ими пользоваться.
Неуверенность в себе
Неуверенному человеку сложно сказать 'нет'. Поэтому стратегия его убеждения, как правило, сводится к следующему приему: ему нужно убедительно продемонстрировать, что ничего страшного от того, что он согласится с вами, не произойдет. Если даешь ему возможность не говорить 'нет', он никогда этого не скажет.
Медлительность
Для того чтобы медлительный человек согласился с вами, его нужно поставить в условия, в которых нужно быстро принимать решения и искать быстрый ответ. Обдумать свое решение он не успеет и будет вынужден согласиться с вами.
Тщеславность
Каждый человек в той или иной мере тщеславный. Но когда эта характеристика становится неприкрытой м человек начинает любить себя совсем уж сильно, манипулировать таким человеком становится просто. Достаточно им слегка польстить, поднять его в собственных глазах, а потом коньячок хорошенький, или что он там любит. И можете управлять им как хотите.
Невежество
Невежество присутствует у каждого из нас, т.к. мы уже являемся невеждами в вопросах, лежащих достаточно далеко от собственной профессиональной деятельности. Этим хорошо можно пользоваться.
Азартность
Если такого человека сподвигнуть на какое-то дело, он скорее согласится, нежели не примет участие. Достаточно потакать его азарту, и воспламеняться вместе с ним, чтобы он внутри себя уверовал в вас.
Не любовь к смене собственных установок
Этот эффект приводит как правило к эффекту обобщения. Простой пример, в госдуму часто голосуют за тех людей (актеров, военных, артистов, ученных и т.д.) которые добились успеха в той или иной деятельности, и что в думе они будут профессионалами. Или другой пример. В учебные годы достаточно первые 2-3 года учиться на отлично, чтобы потом, это стало спрогнозированной оценкой до конца учебы. Совсем обратная картина, если начинаешь получать тройки, тогда подсознательно, у преподавателей выбиться в «отличники» стоит невероятных усилий, независимо от уровня знания предмета и области. Что на самом деле не происходит. А что для человека смена установок - это признание своих ошибок. Большинство руководителей компаний и топ-менеджеров не желают признавать свои ошибки. Данный эффект распространяется не только на человека, но и на группу. Например, если работаешь изначально в компании, о которой существует дурная слава, то к каждому сотруднику из этой компании будит отрицательная установка у любого кадрового агентства.
Кстати, это действенный метод в конкурентной разведке. Когда создаются форумы, порталы и раскручиваются слухи о том, чего в объекте-жертве, какой-то копании, на самом деле ничего такого не происходит. Если у компании-жертвы есть партнеры, то на них также обобщается эти слухи. Более того, так удаленно, можно через партнера компании действовать на компанию-жертву.
Эффект близости
Данной слабостью людей пользуются во всю политтехнологи. Этот эффект, является дополнением вышеупомянутого эффекта. Так например, если нужно снизить рейтинг какого-то человека, то на ТВ после его выступления запускают криминальную хронику или передачу об убогости существования какого-то региона с массой примеров и развалин. Иная картина, чтобы поднять рейтинг, запускается после выступления этого человека по ТВ, какая-то программа восхищающая людей - о красоте природы, например. Отождествление людей с тем или иным событием и в последствии распространяя на личность приводит к такому эффекту. Так же в СМИ часто подделывают фотографии или выуживают папарацци фото, где фон оставляет желать лучшего (развалины, мусорки и свалки, бывают какие-то следы крови и т.д.).
2.7.4 Немного о социальной психологии
Термин социальная психология был велен в 1908 г. английским психологом У. Мак Доуголла и американского социолога Э. Росса в своих работах.
Социальная психология -- это наука о поведении человека в обществе. Под обществом понимается что угодно: и большой коллектив, и небольшая группа, и толпа.
Это не менее значительный и большой раздел психологии, который очень важен для понимания друга-друга в обществе людей. С точки зрения выявления социальной атаки на человека и защиты от такой атаки, это тренинг сензитивности (тренировка межличностной чувствительности) который позволяет в человеке развить психологическую наблюдательность и способность прогнозировать поведение другого человека и просчитать свое воздействие на него. Знание поведение человека в обществе, позволяет это сделать.
Группа-- это люди, между которыми существуют реальные интеллектуальные отношения, направленные на достижение общей цели. Например, семья, класс, коллектив. Когда между людьми нет никаких отношений, группой их назвать нельзя. К примеру, люди, идущие по улице -- это не группа. Люди на демонстрации, болельщики на стадионе -- это толпа.
Существует разница отношений, которое свойственно только для группы или только для толпы. В группе люди объединены интеллектуально, а в толе - эмоционально.
Таким образом, приходим к выводу, что у группы имеется общая цель и точное определение этой цели, для руководителя является основной задачей при достижении результата. Есть еще замечательное свойство группы. Каждый человек в группе находится до тех пор, пока его собственная цель удовлетворяется в составе работы с этой группой людей. И прежде всего, одна из основных потребностей человека является зарплата в составе рабочей группы. В связи с чем, руководитель должен четко для себя по отношению к каждому человеку группы определить мотивацию. Следовательно, заинтересовывать и наказывать необходимо тем, за чем человек пришел в эту группу. Так, аспиранта для мотивации его результата работы с его руководителем можно наказывать тем, что дать понять, если нее будит работать, то армия за ним плакать начнет. Это в том случае, если у этого аспиранта его призывной возраст и не белый билет. Иначе, это только останется на словах, а на деле, никаких обязательств и мотивов к работе аспират чувствовать не будит. Иначе говоря, важно понять систему ценностей каждого человека, с которым приходится работать. По достижению вершины в системе ценностей, которые дает ему руководитель, такой сотрудник уходит.
социальный инженерия программа информация
2.7.4.1 Простая классификация групп
Любую группу можно разделить на два типа формальная и неформальная.
Формальную группу можно определить как группу, созданную на основании каких-либо документов, например - работники предприятия, школьники в конкретном классе, гости и т. д. Неформальная группа-- это группа, сформированная на основании каких-либо личностных предпочтений - любви, дружбы, личных симпатий и т. д. Одна и та же группа может быть одновременно и формальной и неформальной (семья например). Формальной группой управляет руководитель, а неформальной -- лидер. Если руководитель стремится быть к тому же лидером, тогда у него формируется хорошая команда сотрудников.
В своих работах М. Е. Литвак выделяет три типа неформальных групп:
· Учебно-карьеристская;
· Культурно-развлекательная;
· Алкогольно-сексуальная.
Учебно-карьеристская группа
В учебно-карьеристские группы входят те, кто стремится к профессиональному росту, продвижению по службе и вообще любому личностному совершенствованию. В вузах, к примеру, студенты, входящие в такую группу, сидят на лекциях в первых рядах и внимательно слушают лектора. С такими группами и просто и сложно. Чтобы успешно работать в такой группе и успешно ею руководить, нужно постоянно самосовершенствоваться. У руководителя или члена группы, которые заботятся о своем личностном росте, никаких проблем при работе с такой группой не возникает. И если остановиться в своем личностном росте, работать с такой группой становится сложно. Из-за регулярного несоответствия принадлежности к разным группам руководителя и подчиненного возникает немало конфликтов.
Культурно-развлекательная группа
В такую группу входят те, кто остановился в своем личностном росте, но, 'набивши руку' на рутинной и часто повторяющейся работе, неплохо ее выполняет. На предприятиях в эту группу часто входят те, кто имеет какие-либо интересы 'на стороне'. Причем интересы могут быть самыми разными: свой бизнес, ведение домашнего хозяйства, вечерняя выпивка с друзьями и т.д. По большому счету, больших хлопот с членами такой группы нет, свои обязанности они выполняют ровно, но от и до. Задерживаться на работе они не любят, как и повышать свою карьерную планку, осваивая новые методов. Курсы обучения для них, это только потому, что нужно пройти переаттестацию в дальнейшем.
Если руководитель относится к такой группе, возникает другая картина. Для тех, кто хочет делать что-то новое и интересное, этот тип руководителя вряд ли подходит. Он почти всегда автократ и никому не доверяет, самолично вмешивается во все дела. Даже мелкий вопрос никто кроме него не может решить. Таким образом, он сам не успевает следить за всеми делами, подчиненным самостоятельности не дает их осуществлять и нерешенных дел становится все больше и больше.. Обычно он занят с утра до позднего вечера. В его приемной толпится всегда много народа. С работы он всегда уходит очень поздно. И даже находясь в отпуске, он или выходит временами на работу, или руководит по телефону. Он вечно занят. Нередко он отыгрывается на своих помощниках, которые служат информаторами и козлами отпущения, и тратить время с ними на решение вопросов не стоит, просто бесполезная трата времени. Но если они не возражают ему, дают ему выкричаться и не донимают реформаторскими идеями, то могут довольно сносно с ним существовать. Конфликтует он с карьеристами, которых зажимает настолько, насколько сможет, а от особенно ретивых попросту избавляется при любом удобном случае. Карьерист всегда более уязвим, чем культурник, ибо он старается ввести в работу что-то принципиально новое, не устоявшееся, не апробированное. К нему легче придраться. Ведь принципиально новое в практическом плане менее надежно, чем устоявшееся. Пробить принципиально новое через него трудно. Сами они карьеристов не увольняют, но карьеристы если догадываются, то уходят сами, а если не догадываются, то уходят на тот свет. Но пока они работают под началом культурника, то вынуждены находиться все время в скрюченном состоянии.
Такой руководитель четко выполняет все инструкции. Поэтому снять его невозможно, т.к. рост на предприятии ведь все равно хоть какой-то, но есть.
Для карьериста единственный способ выжить под таким руководством -- это начать расти с боку, а в основной организации выполнять свою работу 'от и до' и не более того. Та как статистика показывает, что руководитель-культурник замедляет рост развития группы.
Достаточно важно разобраться в причинах, почему человек относится к такой группе, даже в силу того, что человек всегда желает быть в чем-то, но обязательно первым. Если он растет с боку, это признак потревожиться за функции, возложенные на него. Рано или поздно он уйдет. А может уйти с базой данных и массой наработок. Если же «с боку» является семья, это хороший сотрудник и беспокоится особо не за чем, так как это нетребовательная рабочая лошадка, не требующая повышений оклада. В основе своей это хорошие специалисты и если в компании создать им место для развития их хобби и интересов, где они смогли бы быть отчасти карьеристами, тогда такой сотрудник будит и душой группы и не станет искать другое место работы.
Алкогольно-сексуальная группа
Такая группа наиболее неудобная группа в любом коллективе, особенно в её алкогольной части. Разбивать их нужно решительно и даже цинично, никого не щадя. Речь не идет об алкоголиках, но если в жизни таких людей ничего не менять, то они к этому сами приходят. Основное внимание уделяется стилю поведения людей, входящих в эту группу.
Никакие переговоры и уговоры с такой группой ни к чему не приведут. Если же вы подчиненный-карьерист, то как можно быстрее выходите из такой группы, если не хотите собственной деградации. Потому что уклониться от выпивки в такой группе невозможно, а материальные и иные блага в такой группе распределяются только среди тех, кто принимает наиболее деятельное участие в 'процессе'. Чтобы там не обещали, ни о чем не нужно жалеть и скорее уходить из группы. Если начальник-алкоголик не совсем 'спился', он понимает, что кто-то должен работать, поэтому и будит обещать золотые горы. У такой группы никаких хороших перспектив нет. Единственное исключение -- это когда создается такая ситуация, при которой руководитель является единственным алкоголиком в возглавляемой им формальной группе, а большинство группы составляют карьеристы. В этом случае они имеют возможность развиваться 'сами по себе', т. к. руководителю не до них и они друг - другу не мешают.
Референтная группа
В социальной психологии есть очень важное понятие так называемой референтной группы. Референтная группа --это эталонная группа, т. е. это такая группа, которая является эталоном для личности и в которую он стремится попасть. К примеру, для какого-либо мелкого чиновника референтной группой может являться, скажем, Правительство Российской Федерации, а для члена правительства референтной группой может быть ближайшее окружение президента. Если человек группы, в которой он находится, не считает эту группу референтной, он будет пытаться из ее уйти, и наверняка, ничего не будет делать для укрепления этой группы. Работник в нереферентной для него группе никогда не будет работать с полной отдачей, и даже не редко вредить этой группе каким-либо образом. Для сотрудников карьеристов, это та группа, которую они должны выявить у себя в организации и стремиться попасть туда. Более того, руководителю стоит стремиться создать именно такую группу, чтобы работать в ней был престиж. Тогда вопрос утечки кадров будит однозначно решен.
Так, военные, выбравшие своею карьерой службу, мечтают служить в спецназе ГРУ, ВДВ или «Альфа», «Вымпел». Для них это референтная группа.
2.7.4.2 Групповые процесс
Групповой процесс (или групповая динамика) -- это налаживание отношений между членами группы или взаимодействие между различными группами.
Данное понятие было введено в 30-х годах прошлого века, когда только-только начало происходить изучение групповых процессов. Ввел понятие Курт Левин, который к динамическим (или групповым) процессам в группе относил всю совокупность внутригрупповых социально психологических явлений, характеризующих жизнедеятельность группы: образование группы, формирование группы, развитие, стагнация, регресс, распад.
Конфликт, не перешедший границу группы, называется интригой. Об интригах руководство узнает от осведомителей. Сразу замечу, что осведомители -- люди не очень умные по определению, потому что осведомителями они становятся в силу своей профессиональной некомпетентности. Профессионал никогда не будет заниматься интригами хотя бы потому, у него на это просто нет времени. Осведомителей при приеме на работу следует выявить в первую очередь, и вести себя с ними очень аккуратно. При этом, следует понимать, что начальство которое пользуется услугами осведомителей, не блещет умом если он идет на поводу у человека неумного (осведомители чаще всего лишены этого). Умный руководитель предпочитает сам говорить с людьми и составлять свое мнение о сотруднике и происходящем. Осведомители есть практически во всех организациях, а к новичкам он относится с большим трепетом (это как новая игрушка для ребенка). И хорошим вариантом проверки правдивости информации, это устроить очную ставку осведомителю и того человека, на которого он наговаривает. Кстати, это хорошая профилактика для всех тех, кто в компании склоняется к интригам и сплетням.
2.7.4.2.1 Несколько замечаний об антилидерстве
Если интриги направлены на лидера группы, то это уже называется агитацией, а людей, которые этим занимаются, называют агитаторами или антилидерами. Борьба с такими субъектами бывает очень непростой. Психологи исследовали таких людей и пришли к единственному мнению, что антилидеры, как правило, глубоко закомплексованные люди с серьезным комплексом неполноценности, у которых не хватило каких-то личностных качеств, для того, чтобы стать настоящим лидером.
Поэтому не стоит вступать к группу, где правит балом антилидер, даже, если с его мнением конкретный сотрудник будет согласен. Как правило, своих целей антилидер не добиваются, а если и добиваются, то от этого всем становится только хуже.
Основное правило борьбы с антилидером - бороться с ним не нужно. Ему надо только уступать. Как правило, антилидер -- это всегда подчиненный руководителя. И, борясь с ним, руководитель проигрываете в любом случае: даже если он и проигрывает схватку с руководителем, то все равно получает психологическую компенсацию, т. к. приобретает в своих собственных глазах (да и в не редко в глазах коллег) репутацию смелого и принципиального человека. Руководитель проигрывает, даже если он победил, потому что возникнет мнение в коллективе, мол, все понятно, он начальник, значит на его стороне власть! А если руководитель потерпите поражение, то его авторитет будет стремительно уменьшаться. Коллективу же, особенно состоящему из культурников, борьба руководителя с антилидером тоже выгодна, т.к. можно заняться своими делами под прикрытием. При этом можно лишиться карьеристов в своей группе во время борьбы, потому что они пришли работать и личностно расти, а не наблюдать выяснять отношение начальник-подчиненный и тем более участвовать на чьей-либо стороне. Следовательно, пока руководитель будит бороться с выскочкой-антилидером, вся группа может развалиться.
Потеря внимания к такому агитатору, способно сильно задеть его самолюбие лишая его скандала. В практике психологии есть понятие «психологический вампиризм». Скандалисты, как раз чаще всего относятся к такой категории людей и если они не поругались по мелочи за день, тогда день у них прошел мимо. Своего рода провокаторы.
Другой прием борьбы с антилидером -- это дать ему повышение. Например, поставить его заместителем, на время отпуска руководителя. Чаще всего, такой человек наломает дров и убавит армию своих почитателей и поклоников, вызвав обратную реакцию. Антилидеры, считают, что не хуже руководителя справятся, забывая пословицу 'легка гиря в чужих руках' и с большим желанием получить результат сразу.
В антилидерской группировке существует человек, названный М. Литваком, как «Цепной Собакой». Он как правило подходит к новенькому с целью проверить его и начинают «лаять», не имея реальной власти, но очень желающих её заполучить. Как правило, пытаясь пригреть и обласкать, чтобы позднее укусить. Они стараются познакомить с ситуацией, авторитетами в группе, дать не лестные отзывы ряду сотрудников и руководителю, настроить на свои традиции антилидерской подгруппы. Здесь правило одно - приходящий новый сотрудник, должен иметь свое мнение на происходящее и когда по приходу оно еще не сложилось, то дать себе время чтобы присмотреться лучше, кто есть кто. Очень часто, в коммерческих компаниях, особенно небольших и средних, можно обратиться к руководителю напрямую или к руководителю службы безопасности.
2.7.4.2.2 Краткая классификация видов конфликтного поведения в группе
Классификацию конфликтных ситуаций по типу поведения людей в ней,один из первых предложил американский психолог Томас Стили, которую позднее назвали концепцией Стили.
Конкурент
Стремится добиться удовлетворения своих интересов в ущерб интересам других. Характеризуется активной борьбой за свои интересы с применением всех доступных ему средств для достижения поставленных целей.
Приспособленец
Приносит в жертву собственные интересы ради соблюдения интересов других. Действие индивида направлены на сохранение или восстановление благоприятных отношений с оппонентом путем сглаживания разногласий за счет собственных интересов. В ходе приспособления возможны: уступки, договор, интрига, идущая от бессилия и невозможности напрямую влиять на ситуацию.
Ищущий компромисса
Его действия направлены на поиск решения за счет взаимных уступок, на выработку решения, устраивающего обе стороны, при котором никто не выигрывает, но и ничего не теряет.
Избегающий
Это и не конкурент, и не приспособленец: он не отстаивает ни свои, ни чужие интересы. Данная форма поведения выбирается тогда, когда индивид не хочет отстаивать свои права, сотрудничать для выработки решения, воздерживается от высказывания своей позиции, уклоняется от спора. Этот стиль предполагает уход от ответственности за решения.
Сотрудник
Если участники конфликта действуют по типу сотрудников, то они приходят к альтернативе, полностью удовлетворяющей интересы обоих сторон. Данная форма требует продолжительной работы и участия всех сторон. Стиль сотрудничества предполагает устранение причин конфликта, поэтому является самым трудным стилем, который выбирается не многими. Но, конечно, это и самый плодотворный стиль.
2.7.4.3 Некоторые особенности толпы
Толпа-- это скопление людей, лишенных ясно осознаваемой общности целей и организации, но связанных между собой сходством эмоционального состояния и общим центром внимания.
Превращение группы в толпу осуществить несложно, обратное происходит крайне редко. У толпы есть некоторые особенности в поведении, чем пользуются социальные программисты и социальные инженеры. Она из них, это названный социальными психологами и психологами изучающие эмоции, так называемый эффект циркулярной реакции. Понятие циркулярной реакции очень важно для ответа на вопрос о том, когда группа превращается в толпу. Потому что группа существует только до тех пор, пока циркулярное кружение остается в рамках некоторой меры, которая своя для каждого конкретного случая. При превышении же этой меры группа вырождается в толпу. Простой пример этого можно найти в кабаках, где выпивающие сначала смеются, расположены друг к другу, т. е. образуют группу, а потом вдруг ни с того ни с сего они 'словно взбесились' и вот уже группа выродилась в толпу, и начала крушить все вокруг себя.
У человека в толпе, охваченного циркулярной реакцией, происходит одновременное снижение восприимчивости к внешним импульсам и повышение восприимчивости к импульсам внутри толпы. Естественно, что всякие рациональные доводы в этот момент применять бесполезно, т. к. на их пути стоят очень большие барьеры. Более того, иногда это опасно для жизни. В толпе сознание личности исчезает. Как писал Г. Лебон Г. Лебон -- выдающийся французский социолог и психолог. Автор книги 'Психология народов и масс', 'в толпе может происходить только накопление глупости, а не ума'. Отчасти это происходит из-за того, что в толпе себя человек ощущает анонимным, а потому свободным от груза ответственности и каких-либо моральных норм. Из исследований социологов, известно, что вероятность возникновения циркулярной реакции, скажем, в обществе, появляется в периоды социальной напряженности, которое возникает не тогда, когда обстановка плохая или очень плохая, а наоборот, когда в обществе наблюдается подъем. Многочисленные исследования историков говорят о том, что революции возникают не тогда, когда все плохо, а наоборот: революциям предшествует рост экономических показателей, снижение цензуры и т. д. Данным феноменом занимался американский ученый Д. Девис, исследования которого подтвердили наши соотечественники. В настоящее время результатом исследования явилась миру концепция получившая название графиком Девиса (рис. 2.33) На этом графике сплошной линией показано реальное положение дел в обществе, а пунктирной линией-- ожидания членов этого общества. Видно, что до определенного момента наблюдается совокупный рост потребностей населения от времени и реальная экономическая и политическая ситуация в стране способна его обеспечить. Но вот, в силу тех или иных причин, реальный рост показателей стал снижаться, а потребности людей так и продолжали расти. Вот эта область, обозначенная на графике как SOS, и является очень опасной, т. к. именно с этого момента реальное положение дел в обществе перестает соответствовать ожиданиям людей. Что приводит к революции.
Рис. 2.33. График Девиса
Пунктирная линия - ожидания ленов общества, сплошная - реальное положение дел в обществе
Таким образом, опасность социальных волнений, начиная от фирмы и заканчивая государством, возникает тогда, когда имеются растущие ожидания. И эта опасность намного выше той, которая может быть при 'стабильно плохой ситуации'. Вернее, при стабильно плохой ситуации вероятность взрывов вообще минимальна.
Так, пусть например в компании начинается рост показателей, зарплаты сотрудников повышаются, а на определенном этапе рост показателей вдруг снизился, пусть даже и не намного. И зарплату сотрудникам повышать перестали. А ожидания того грядущего и все более хорошего будущего у сотрудников не снизились. Таким образом, налицо конфликт: руководство фирмы не может удовлетворить все более растущие ожидания сотрудников, а сотрудники совершенно не намерены их снижать. А уже если в фирме после высоких зарплат вдруг станут их снижать, то большинство сотрудников из нее, скорее всего, уволится. Опытные управленцы об этом осведомлены, и стараются не повышать резко 'уровень жизни' сотрудников (зарплату т. е.), даже если к тому есть реальные экономические основания. Гораздо лучше повышать уровень жизни постепенно, так гораздо больше шансов удержать стабильность в фирме. А вот если повысить (когда хорошо было), а потом понизить (когда плохо стало), то серьезный дефицит кадров этой компании обеспечен.
Ситуация только описанная хорошо используется в конкурентной разведке. А потому, переманить сотрудника (ков) из компании, в которой у него шло все хорошо, а после, стало чуточку похуже, практически не стоит больших усилий. Просто нужно контролировать ситуацию о делах компании-жертвы.
Чем опасно превращение группы в толпу? Тем, что можно спокойно вести допрос о любой тайне, что коммерческой, что государственной. Выведывать самые сокровенные секреты новых технологий и разработок, исследований. Достаточно пригласит в ресторан интересующую персону с коллегами. Стать душой компании для них, своего рода лидером, и можно делать что угодно.
По типу поведения людей в толпе психологи и социологи выделяют четыре следующих главных вида толп:
1. Случайная или оказионная толпа - Это толпа людей, которая собралась поглазеть на какое-то происшествие. Такие толпы нередко можно видеть, к примеру, на местах ДТП.
2. Конвенциональная толпа - Это толпа, которая собралась по поводу какого-либо события, информация о месте проведения которого была известна заранее (футбольный матч, концерт «Нашествие», и т.д.). Конвенциональной эта толпа называется потому, что до определенного времени она следует определенным конвенциям (условностям). Интересно именно то, что конвенциональная толпа следует этим условностям до поры до времени, а потом она вполне может превратиться уже в другую толпу, к примеру, экспрессивную.
3. Экспрессивная толпа - это толпа, которая выражает своим поведением какую-либо эмоцию, причем неважно какую. Основная отличительная черта такой толпы -- ритмичность движения. Такую толпу составляют люди, скандирующие лозунги на митинге, ритмично пляшущие в такт музыки на рок-концерте и т. д. Экспрессивная толпа может перерасти в свою крайнюю форму и стать экстатической экспрессивной толпой (т.е. неуправляемых фанатиков).
4. Активная толпа (действующая толпа) - Это наиболее опасный вид толпы. Действующая толпа может быть агрессивной, или панической (пример, это 9 июня 2002 г. массовый беспорядок с жертвами и разрушениями на Манежной площади в Москве, после футбольного матча Россия - Япония).
По степени активности толпы выделяют три вида толп:
1. Пассивные толпы, которые отличаются малым эмоциональным возбуждением.
2. Активные толпы, которыми являются любые толпы, находящиеся в состоянии эмоционального возбуждения. Существенно то, что главное отличие активной толпы от пассивной, это то, что в активной толпе возникает циркулярная реакция (эмоциональная зараженность), которая и приводит к появлению у людей готовности к совместным действиям.
3. Агрессивные толпы -- это толпы, в которых уровень эмоционального возбуждения очень высок. Для того чтобы перевести активную толпу в агрессивную, достаточно любого небольшого слуха или античеловеческого лозунга, который вызовет в толпе бурю негодования, после чего толпа пойдет крушить и сметать все на своем пути.
Выделяют два главных свойства толпы:
1. В толпе легко распространяется циркулярная реакция (ее еще называют эмоциональным кружением), про которую мы уже подробно говорили. А если кратко, то это быстрая, заразительная передача эмоций -- смеха, паники, ярости, гнева...
2. Толпа может переходить из одной своей формы в другую - быстрая превращаемость (трансформация). На этом свойстве толпы строятся методы воздействия на толпу.
Особенности поведение человека в толпе:
· Снижение самоконтроля вплоть до полного отсутствия.
· Деиндивидуализация поведения.
· Неспособность удерживать внимание на одном и том же объекте.
· Человек легко воспринимает разнообразную информацию, быстро перерабатывает ее и распространяет.
· Повышенная внушаемость.
· Повышенная физическая и психическая активность.
· Стираемостъ обычных социальных ролей.
2.7.5 Примеры социального программирования
Несколько примеров, позволяющих взглянуть серьезно на социальное программирование и то, как оно может быть использовано в более локальном масштабе и применении, нежели, использование его в политических избирательных играх.
2.7.5.1 Пожар в кинотеатре
Это классический пример, описанный одной из газет еще в советское время. Случай рассказывает, как группа «шутников» во время просмотра очередного кинофильма, бросила в зрительный зал несколько дымовых шашек и истошно начала вопить «Пожар! Пожар!». В этот момент образовалась паника и давка, в результате чего несколько человек погибли задавленные толпой выбегающих из зала зрителей. Остается только предполагать, какие были намерения и побуждения этих «шутников», и какую цель они преследовали. Пару-тройку таких инцидентов и кинотеатр просто разорится, обретя славу «кровавого кинотеатра». Очевидно то, то момент выбран удачно, как и инсценировка дальнейших действий. Так, бросание шашек и крики «Пожар!» был выбран тогда, когда на экране и по ходу действия сюжета фильма разыгралась трагическая картина и зрители находились в большом напряжении и страхе, находясь в эффекте психологического транса. Далее, один из участников этой группы находился при просмотре в зала перед выходом и при первых криках и развернувшемся действии, он бросился к выходу, инстинктивно подав пример остальным зрителям, которые этим и воспользовались.
Таким образом, использовалась классическая схема. Сперва толпе необходимо дать некоторый внешний стимул, после которого в качестве ответа на этот стимул последовала вполне прогнозируемая реакция. Внешним стимулом был крик «Пожар!», реакция на стимул - возникшая массовая паника.
Несколько похожие шутки устраивал известный физик Роберт Вуд, который приходил на просмотр фильма с генератором низкочастотных колебаний в диапазоне 7-9 Гц. Когда он включал генератор, люди начинали метаться в панике и выбегали из кинотеатра на улицу. В ряде случаев это приводило к травматическим последствиям. Это возможно потому, что внутренние органы человека имеют собственное колебание в диапазоне частот 7-9 Гц. При включении генератора Вуда, возникал эффект резонанс, вызывающий сильный дискомфорт и паническое настроение. Известны случаи применения генератора в злостных намерениях, когда люди кончали жизнь самоубийством или сходили сумма. Генератор имел применение в структурах различных стран мира, включая нашу.
2.7.5.2 Венки на трассе или черный пиар
Одному PR-агентству был сделан заказ в результате которого была поставлена задача, сделать так, чтобы по новой трассе ездило как можно меньше машин, возобновив тем самым интенсивное движение по старой трассе, на которой расположилась целая сеть торговых точек и магазинов, а в результате строительства новой трассы, эта сеть терпела убытки. Новая трасса была удобнее, шире, освещена с хорошо заасфальтированной дорогой и большинство автомобилистов выбирали её для своих поездок. Как была решена эта задача пиарщиками? Они закупили несколько сотен венков в ряде ритуальных компаний и развесили их фактически на каждом 3-5-м дереве новой трассы. Поток машин на старой трассе стал значительно прибывать. Людям психологически дискомфортно ездить по такой трассе, где через небольшое количество метров обязательно кто-то «погиб» и они стали выбирать объездной путь, которая хоть и изношена и побита, но при поездкам по ней все остаются живы. Агентство на этом ни остановилось и пошло дальше, в городах примыкающих к новой трассе в СМИ была заказана серия публикаций компрометирующая новую трассу. Мол, на ней что-то творится нехорошее и каждая 10-я машина проехавшая по ней разбивается. После чего поток машин ездивших по новой трассе значительно уменьшился и почти совсем иссяк, когда в дополнении к венкам появились кресты с памятниками. Когда разобрались в причине, это не сильно спасло ситуацию. На восстановления репутации новой трассы потратили много средств вкладывая в различные PR-акциями и компаниями. Приводили доводы, что износ машин велик из-за плохой старой дороги, на ней неудобно и медленно ехать и т.д. Все эти действия были «обрублены» единственным ходом со стороны агентства, который привлекал к старой трассе автомобилистов и поставил перед развилкой (выездом) на старую и новую трасу плакат с указателем, на котором крупными буквами написал «Хочешь доехать быстро или живым?». Над словом «быстро» стрелка уходила на новую трассу, над словом «живым» - на старую.
2.7.5.3 Реклама и антиреклама посредством Интернет
В 2001 г. в Москве и области со слов достаточно большой аудитории начал действовать новый оператор сотовой связи. Но никакой внешней рекламы о нем не было, и салоны связи не предлагали его в качестве альтернативы подключения. И все-таки, реклама была. К ней подошли с инновацией. Рекламой занимались несколько человек, которые посещали специализированные форумы и чаты, отслеживали текущие темы, и когда речь заводилась о мобильной связи, включались в тему разговора, говоря о достоинствах нового оператора “OnCoCo”. По словам PR-агентства, рекламной компанией всего занимались пять человек.
Существует давно сложившееся мнение, что самая действенная реклама - это реклама из уст друзей и хороших знакомых относительно каких-то услуг или товара. Примером может служить покупка КПК, смартфонов. Статистика показывает, что из числа респондентов, которым задавали вопрос «Почему вы выбрали эту модель, а не другую?», ответ в 60% звучал похожий: «Мне посоветовал мой знакомый». Согласно статистике проводимой туроператорами, 45% людей выбирают турфирму на основании отзыва знакомых.
Иными словами, достаточно стать «своим» в блоге, на форуме или в чате, для этого вести активно беседы, увеличивая рейтинг своих сообщений (он всегда фиксируется и счетчик указывает активный это пользователь форума или чата, или пассивный) чтобы после написать только одну фразу «а по мне, так лучше воспользоваться услугами этого оператора…» или «лучше приобрести эту модель КПК или смартфона…» и с вероятностью 30-40% такой рекомендацией воспользуются. Кстати, ряд рейтингов туроператоры делают именно за счет такой скрытой рекламы, т.к. многие люди в регионе Москва и Подмосковье достаточно интенсивно заняты на работе и тратят много времени в поездках в общественном транспорте. Причем, мобильность многих на уровне, за счет постоянному доступу к Интернет-каналу через портативные и карманные устройства. По этой причине, немало людей читают ветки форумов, смотрят статистику по фирмам (которую также готовят социологические агентства на основании данных Интернет) со стороны Интернет-сообщества.
Традиционная реклама уже слишком вольготно себя чувствует и стоимость услуг таких агентств несопоставимо с результатом, т.е. очень дорого и как правило, это выброшенные на ветер деньги. В связи с этим реклама в Интернет с помощью социального программирования, это перспектива сегодняшнего и завтрашнего дней. С учетом статистики, проводимой разными социологическими группами, а также публикацией в деловой газете «Взгляд» от 20 мая 2008 г. в статье «Бизнес в паутине» 70% американских руководителей черпают деловую информацию из Интернет. При этом 87% топ-менеджеров в 2007 году заявило о позитивном влиянии Интернет на бизнес. Причем, немало газет и журналов 30-40% своих новостей берут из Интернет-изданий и порталов. Примерно такая же статистика по России. В частности, в России в регионах, где доступ к Интернету возможен, многие обычные люди берут информацию из паутины, и по статистике, рейтинг наших читателей выше, нежели за океаном.
Интернет-канал сегодня вошел бурно в жизнь каждой организации. Мало того, что коммерческий шпионаж посредством Интернет-канала получает базовую информацию в таком объеме, чтобы во-первых разработать четкий план своих действий и на 80% учесть многие возможные риски, которые способны повлиять на успех будущей операции. Во-вторых, чтобы принять само решение, насколько интересен выбранный объект, либо узнать о партнерах объекта и разработать множество схем для получения желанной информации.
Неплохо себя зарекомендовал Интернет и в качестве инструмента, создания негативного паблишен о компании или конкретном человеке. В частности, при проведении различных операций, целью которой будит «убийство» неудобного кому-то форума или сайта, который отражает собственное мнение и взгляды, не устраивающие какую-то группу или конкретного заказчика. Под убийством понимается превращение форума в «помойку», когда наблюдается отток с него постоянных посетителей, лояльно относившихся к форуму, администрации и модераторам форума. Особенно плачевно это отразится, если форум принадлежит компании, о которой в последствие начинает распространяться дурная репутация в Интернете. Это мнение обязательно попадет на страницы периодических изданий, т.к. на «шоу» отечественная СМИ, делает большие деньги. Механизм прост и по затратам очень дешевый. Суть его в следующем.
Создается никнейм Ник (nick name) - псевдоним, который посетители Интернет часто себе выбирают в качестве членов форумом, чатов, онлайн-пейджеров, бесплатных почтовых серверов и т.д. на желаемом форуме. Как правило, их в последствие будит несколько, принадлежащие физически одному лицу. Цель создания - создать вокруг себя сплоченную антилидерскую группировку из реальных посетителей и членов форума. Механизм действия такого человека полностью соответствует всем классическим схемам социального программирования. Общение основного ника с администрацией и модераторами Модерирование - это контроль за поведением посетителей на различных форумах, чатах, блогах и т.д. и контроль за информацией, которую они размещают в своих сообщениях. ведется несколько вызывающе, но достаточно профессионально в русле темы ветки или веток на нем, при этом явный подтекст и нападение на непрофессионализм и безграммотность руководства форума в ряде вопросах присутствует. Таким образом, удалить этого пользователя фактически, не за что, реплики и замечания его не выходят за нормы поведения, а подчас справедливы. Вокруг такого лидера формируется еще несколько ников, пока пассивных, но постепенно создающих поддержку своему лидеру. Разумеется их создает и ведет один человек. Для расширения влияния, на других форумах формируется этим же человеком некоторое настроение в несправедливости и неадекватности администрации того форума, где он создает антилидерскую группировку. Мало того, что примыкают к этой группировке уже бывалые посетители, которые начинают быть более активными ссылаясь на психологию, что «теперь я не один такой», так и приходят по ссылке новые люди, которые особо не разобравшись, примыкают к настроения своего мне-лидера, недовольные поведением администрации форума. В результате, форум становится полем боя, на котором становится сложно продвигать идеи, услуги, товары, мнения и т.д. В частности, не редко среди членов форума появляются сотрудники компании, которые сами могут что-то написать не подумав и сделать эту информацию достоянием многих. Причем, достаточно их спровоцировать, упрекнуть в чем-либо и тем более в ненадлежащей компетенции и занимаемой должности. Если организация, которой принадлежит форум, имеет какой-то вес на информационном рынке или славится своей продукцией, то такое поведение на форуме освещается интенсивно специализированной прессой. Последствия понятны.
2.7.5.4 Цыганка с картами, дорога дальняя
Есть интересный жизненный пример. Одно кадровое агентство нанимала на работу для переманивания интересующих их (в лице заказчика) перспективных сотрудников цыганок, известных манипуляторов сознания.
Одну известную компанию интересовал сотрудник, в лице которого они видели развитие своих нескольких департаментов. Не раз приглашая его на работу и перепробовав массу всевозможных способов, отчаявшись, компания обратилась в агентство по подбору кадров, к так называемым «охотникам за головами» (head hunters). Посвятив агентство во многие детали, пояснив, что уже не раз пытались сами пригласить к себе на работу этого сотрудника, передав собранную информацию по нему, они стали терпеливо ожидать результата. Агентство решило прибегнуть к нестандартному способу. Довольно далеко от места работы сотрудника и, естественно 'чисто случайно', к сотруднику подошли две цыганки с предложением погадать. Как разумный человек, он от этого отказался, но и 'цыганки' были опытными психологами. На его ответ 'мне это не нужно' просто пожали плечами и, когда он отошел на несколько шагов, крикнули вслед 'А ведь у тебя дочка болеет, милый' и отправились не спеша от него. Поскольку подробное Досье на этого сотрудника было собрано заранее, 'цыганки' знали не только то, что она болеет, но и чем болеет и даже как ее лечить. Что и рассказали незадачливому сотруднику, когда он их сам догнал. А заодно и всю его жизнь ему пересказали. Правдиво, конечно. И между всеми этими рассказами заодно и сообщили ему, что 'не в том месте работаешь милок, оттого и все твои неприятности'. 'Плохое это место, вижу -- кустов много рядом, Помойка (краткое описание места расположения фирмы, в которой на данный момент работает сотрудник)... Плохая энергетика. Другое место тебе нужно, другое. Иди туда, где две улицы пересекаются, большое здание и большие двери (у переманивающей фирмы был весьма здоровый офис, о котором в городе знали все и очень вычурные огромные двери). И все у тебя вскоре сложится'. После такого количества правды о себе по меньшей мере человек задумается. Тем более если в семье есть неприятности со здоровьем у родных, тем более у ребенка. Через несколько дней этот сотрудник ушел в ту компанию, откуда поступил в агентство заказ на него.
2.7.6 Управление слухами
Сколько слухи наши уши поражают…
В.С. Высоцкий
Одно из мощнейших оружий в социальном программировании.
Слух -- это информационное сообщение, которое распространяется между людьми, как правило, в устной форме, без предоставления доказательств его достоверности.
Ключевые слова в этом определении -- 'без предоставления доказательств его достоверности'. Естественно, когда люди разносят слухи, в свое 'информационное сообщение' они вкладывают смысл о том, что оно достоверно.
Следовательно, основной закон распространения слухов, гласит «слухи распространяются только тогда, когда нет объективных критериев достоверности слухов, но людьми этот слух воспринимается как правдивая информация». Значит, если относительно какого-то предмета или события есть достоверная информация, то в такой среде слух распространяться не может. Например, если москвича или жителя ближнего Подмосковья попытаться на словах убедить, что мер города Москвы именно сейчас, является Вася Пупкин, то этот слух совершенно не живуч, т.е. вероятность его распространения равна нулю. Он достоверно знает, что мэром города Москвы в 2008 году является Лужков.
В своей книге Гордона Оллпорта и Лео Постмана 'Психология слухов' (1974 г.), авторы приводят очень важный вывод: при отсутствии объективной информации люди прогнозируют развитие событий на основе своих субъективных ощущений. Это означает, что если человек не владеет реальной информацией относительно того или иного события, то он придумает свою трактовку этого события, представив это событие так, как оно ему видится.
Из этой же книги, главный закон степени распространения слухов гласит, что 'Степень распространения любого слуха прямо пропорционально зависит от его значимости для слушателя и степени неопределенности его содержания'. Этот закон еще называют законом Оллпорта -- Постмана.
Эмпирическая формула для приближенного вычисления динамики распространения слуха имеет следующий вид:
R I x A , где (1)
· R - область распространения слуха, интенсивность его распространения, длительность существования и степень доверия слуху;
· I -- степень значимости слуха для слушателя или читателя, если он окажется правдивым;
· A -- степень неопределенности или сомнительности слуха.
Замечание:
Отношение между значимостью и неопределенностью мультипликативное (а не аддитивное), т. е. если один из этих факторов равен нулю, то слуха не существует (слух не может существовать при наличии только фактора неопределенности или только фактора значимости). Таким образом, к примеру, для того чтобы разрушить слух, нужно либо 'занулить' его значимость для слушателя, либо исключить неопределенность в его содержании.
Оба параметра в формуле Оллпорта--Постмана имеют значение от 0 до 10, соответственно максимальное значение, которое может принимать R, равно 100 (самый высокий уровень области распространения слуха).
Статистический анализ цикла развития новостей, показывает любопытный факт. Можно выделить следующие определенные периоды развития новости, а также определить то время, когда существует возможность для наилучшего управления слухом.
45 минут
Первые 45 минут развития слуха -- наилучшее время для наиболее полного контроля над ситуацией. Слух еще не распространился широко, и этой информацией располагает лишь ограниченное количество людей.
Например, оперативный штаб Билла Клинтона во время его президентской кампании в 1992 году. Этот штаб как раз и был создан для быстрого реагирования на слухи. Выявляя и оперативно реагируя на слухи, команда Клинтона быстро ликвидировала негативную информацию или использовала ее в интересах будущего президента США, в силу чего избирательная кампания Клинтона в 1992 году была очень успешной.
Если не удалось среагировать на слух в течение первых 45 минут, он начинает распространяться.
6 часов
Если информация получила широкую огласку, ситуация начинает выходить из-под контроля. Еще можно управлять слухом, может быть, даже ликвидировать его, но теперь сделать это сложно. Как правило, если информация попала в эфир, она будет активно обсуждаться в СМИ по меньшей мере в течение рабочего дня или восьми часов. Все больше журналистов начнут работать над этой темой, и слух распространяется с еще большей скоростью. Если история появилась на одном из каналов телевидения, то крайне высока вероятность того, что она появится и на других каналах. На 8-часовом периоде еще можно попытаться исправить ситуацию.
3 дня
Слух попал в периодическое издание и уже сможет существовать несколько дней. После того как пройдут первые публикации в ежедневных газетах, начинают появляться комментарии экспертов в тех же газетах, а так же на телевидении и радио.
Если и на этом периоде не удается управлять слухом, что правда, то он будет активно распространяться и обсуждаться как минимум две недели.
1--2 недели
В это временной период, в который выходят еженедельные газеты и различные аналитические программы для телевидения. Это последний период, в который можно, ценой невероятных усилий остановить слух. Если этого не сделать на этом этапе, то слух может быть раздут до масштабов грандиозного скандала, с которым уже не всегда можно справиться.
Социальные программисты и социальные инженеры очень умело пользуются слухами. Хороший пиарщик, знает цену слухам и например, при избирательной компании это действенный метод агитации/антиагитации. Крайне опасны в таком случае последние 2-3 дня до выборов, когда вялотекущий слух, существующий давно, но не имеющий под собой оснований, способен вырваться наружу за счет команды оппонента и сыграть плохую шутку на рейтинг.
2.7.7 Психологические основы поведенческой модели людей
Психологи давно предполагали и после ряда экспериментов выяснили, почему люди настолько предсказуемы в основное время своей жизни. В 90% человек живет и действует на основе «скриптов» или программ поведения, между которыми у нас происходит периодическое переключение. Их список на сегодняшний день более менее известен и понятен. Переклбчение от программы к программе происходит за счет внешних сигналов, стимулирующих последующее выполнение того или иного действия, связанное с той или иной программой. Так, если в помещении сработал голосовой пожарный датчик, то 90-95% сотрудников предприятия выбегут в коридор. Это возможно за счет предварительного обучения, т.е. приобретения навыков в процессе жизни. Особенно, если кто-то из сотрудников уже был однажды участником пожара. У животных многие сигналы и сами программы врожденные, в отличии от человека. Вот несколько примеров, отражающих так называемые «сигналы» за счет чего у людей срабатывает та или иная поведенческая модель действий.
Так, в эксперименте психолога Э. Лангера было задействовано несколько человек. Он заставлял каждого подходить к очереди людей и пройти без очереди. Около 90% людей пропускают испытуемого без очереди, если он обосновывал свою просьбу, например, говоря: «Разрешите мне пройти без очереди, потому что я очень спешу». Если же говорить: «Разрешите мне пройти без очереди», то количество желающих уступить уменьшится вдвое. Изначально, психолог предположил, что причина в первом случае в аргументации ответа «…очень спешу» . Однако, проведя еще один эксперимент, в котором испытуемый сказал: «Разрешите мне пройти без очереди, потому что мне очень надо», он увидел примерно тоже количество 90% людей, без проблем пропускающих вперед себя человека. На основании чего, Э. Лангер сделал вывод, что ключевым словом здесь является «потому что». Таким образом, людям достаточно указать любую причину, чтобы они уступили, т.к. им важно знать причину того, почему они делают то или иное действие. Таким образом «потому что» выступает сигналом к срабатыванию программы «уступчивости».
Другое наблюдение, не менее интересно. Очень часто мы в жизни многое делаем на автопилоте, с меньшей охотой что-то анализируя, изучая по непонятно-возникшей необходимости и следуя чаще всего уже отработанной практике. Т.е. в основе поведенческой модели действуем стереотипно. Не редко сталкиваясь с новым и непонятным для себя, происходит «перекладывание» на плечи другого человека, особенно, если у людей возникает симпатия друг к другу и тем более, если отношение выстроены начальник-подчиненный или авторитет в этой группе людей. В силу взросления человека, такое желание усиливается, порой доходя до неприязни. Собственно, этим можно очень хорошо пользоваться, делая другому человеку «приятно» избавляя его от тех действий, которые он считает ненужными для самого себя. Если же приходится думать, тогда приходиться включать мыслительный процесс и отключать «автопилот». Но порой, происходят поразительные вещи, например, когда самолет или кораблю терпит крушение и капитан на глазах у команды принимает неверное и гибельное решение, команда не сопротивляется этому, не беря руководство в свое руки и не исправляя ситуацию. Такие факты не раз подтверждали черные ящики из потерпевших крушение судов. Здесь срабатывает программ «поклонение авторитету», которая бывает сильнее страха, лишиться собственной жизни.
В схеме Шейнова, которая была рассмотрена выше для социальной инженерии, рассматривалось состояние, когда человек был готов к манипулированию собой. Теперь интересно рассмотреть некоторые основы социального программирования и разобраться, почему люди позволяют собой манипулировать и как их подвести к этому состоянию. Так в книге К. Митника немало примеров, когда люди не могли отказать ему в той или иной, нужной ему услуге, хотя его просьбы были далеко не безобидны. Это возможно, когда люди живут по программе «уступчивости» или их подвели на срабатывание этой программы, рассчитав психотип человека. Более того, каждый человек живет в рамках одной-двух относительно постоянных автоматических моделей нашего поведения. Чаще, человек об этом даже не подозревает. Специалисту несложно определить как базовую модель, так и с учетом созданных им условий переключить другого человека на нужную ему поведенческую модель, срабатывающую на автомате по определенному сигналу. Помимо рассмотренной программы «Уступчивости», можно выделить еще несколько программ, для понимания того, что программировать людей не так сложно, как может показаться. Более того, чтобы это сделать, нужно понять некоторые сильные и слабые стороны человека.
2.7.7.1 Программа «Взаимопомощь»
Суть программы в том, что мы стараемся отплатить добром тем людям, кто нам сделал какое-то добро. Стремление выполнить эту программу иногда переходит грань разумного. Так, например действовал один из угонщиков несколько лет назад в Подмосковье. Он выезжал на трассу и неспешно двигался по ней на машине, выискивая жертву, которой нужна помощь. Например, у девушки спустило колесо, и он помог ей его сменить. Благодарная девушка поблагодарила его и сказала «что если вам вдруг потребуется помощь, я всегда к вашим услугам». Помощь потребовалась через два месяца, когда этот мошенник попросил ее одолжить ему ее машину. Что последняя и сделал, потому что была запущена программа, предписывающая ей оказать ответную помощь этому человеку. Одолжила навсегда.
2.7.7.2 Программа социального подражательства
Эту программу известный специалист в области психологии влияния Р. Чалдини называет 'принципом социального доказательства' или «социальной оглядки». Суть этой программы в том, что человек определяет, какие поступки являются правильными, определяя, какие поступки считают правильными другие люди. Таким образом, мы считаем свое поведение в той или иной ситуации правильным, если видим, что другие люди делают точно так же, и, соответствию, неправильным, если видим, что так как мы никто не делает.
Несколько примеров
Клакеры
Клакеры -- это хлопальщики, специально приглашенные и замаскированные под обычных гостей и зрителей люди, которые в нужное время должны подавать всем зрителям пример, хлопать или смеяться, в общем, задавать необходимую реакцию зрителей. Люди, видя, что другие хлопают или смеются, тоже начинают делать то же самое, поскольку действует программа социального подражательства.
Формирование очереди
На основе программы социального подражательства работает один очень простой, но действенный рекламный ход: для того чтобы товар лучше покупался, нужно сформировать около него очередь покупателей. Ведь люди как думают: 'Ага. Очередь? Значит, что-то стоящее продают'.
Собираем толпу из ничего
Еще в 1969 году трое американских психологов провели такой эксперимент. Они встали на центральной улице одного из городов, и уставились вверх. Просто стояли и молча смотрели вверх. За одну минуту они собрали около себя толпу народа, которая тоже уставилась вверх. По статистике этих ученых около них «постояло» 80% проходящего мимо народа.
Пробки на трассе
Допустим на трассе случился какой-то совершенно небольшой затор, вследствие чего движение слегка замедлилось. Кто-то поворачивал кто-то, чтобы съехать с основной магистрали, или инспектор ГАИ кого-то остановил. Те водители, которые сзади и не видят с чем связано замедление, начинают думать, что впереди какая-то авария. Особо невыдержанные из тех, кто так думает, начинают метаться по всей трассе, вылезать на полосу встречного движения. На них начинают смотреть другие водители, и уже не два водителя, а пять начинают метаться по трассе. Потом больше и еще больше. Возникает лавинообразный эффект, за счет срабатывания программы социального подражательства. После чего получается пробка, т. к. всем выехавшим с трассы на полосу встречного движения или на обочину нужно вернуться на трассу, и они начинают истерично моргать поворотниками, чтобы их 'впустили'. И по такому принципу небольшое замедление движения превращается в 'мертвую пробку'.
Пример из рекламных роликов
Очень часто в различной рекламе можно встретить такой слоган: «Два миллиона человек уже сделали ЭТО, сделай и ТЫ!». Что скрывается за словом ЭТО, не имеет значения, главное, что подобный слоган у немалого числа людей активизирует программу социального подражательства: ведь два миллиона человек не могут ошибиться, значит, и мне срочно нужно в их ряды.
Причина смерти
К сожалению таких случаев тысячу. Молодого человека убивали пятеро отморозков на глазах у огромного количества народа. Часть из людей шла по улице, это был еще не поздний вечер, часть видела происходящее из окон своих домов. Потом те же люди видели, как он полночи лежал, истекая кровью во дворе одного из домов... И ни один человек не то чтобы не помог, но даже не позвонил ни в милицию, ни в скорую помощь. Это были обычные люди, как большинство из нас. Когда их спрашивали, зачем они так сделали, вернее, почему они ничего не сделали, они не смогли ответить, и не понимали причин своего поведения.
Недавняя трагедия в Питерском метро, когда красивая, умная, утонченная натура 19 летняя Виктория Соколова на станции Невский Проспект потеряла сознания и упала между вагонами состава метро, стоящего на посадке перрона. Две «козы» бывшие непосредственными свидетелями ничего не предприняли, чтобы спасти человека, а просто посмотрели, как там, на полотне дороги под колесами ей лежится. 15-20 секунд стоял состав и машинист ничего не видел и не знал, что сейчас окажется невольным убийцей. Когда поезд ушел, эти две дамочки, как ни в чем небывало опять заглянули на полотно и дальше ушли своей дорогой. После всех таких случаев, ни в какое человеколюбие и человечность перестаешь верить. Его просто нет!
Ученые пришли к такому выводу, что во всех подобных случаях помощь не оказывается потому, что наблюдающих очень много. Из-за чего снимается личная социальная ответственность у каждого конкретного человека. И он думает примерно так: 'Ну, наверное, это уже кто-то сделал и скоро приедет милиция'. Кроме того, американские психологи Латане и Дарлея 1968 году в результате своих исследований выявили, что имеет место быть так называемый феномен социального невежества, который заключается в том, что в непонятной ситуации люди оглядываются на других, и если видят, что никто не озабочен, то решают, что все в порядке. Третья причина состоит в том, что работает программа социального подражательства. Которая в данной ситуации проявляется в неуверенности людей, как именно нужно поступить. Большинство из них оглядывается друг на друга, как каждый поступит в данной ситуации. А поступают они хладнокровно, жестоко и невежественно, как уже было отмечено.
Другие наблюдения показывают и другие факты.
Программа социального подражательства не работает у людей с высоким уровнем личной ответственности. В силу той или иной профессии, когда конкретный человек вынужден быстро принять самостоятельное решение и среагировать (доктор, сотрудник спецподразделения, спасатели, управляющий компанией и т.д.) Это может быть следствием жизни в экстремальных условиях. Люди, ранее жившие в регионах с плохими погодными условиями (Крайний Север, к примеру) переехавшие затем в теплый регион, не проедут мимо водителя, машина которого заглохла и который просит помощи. Т.к. знают, что на севере не проезжают, если проедешь, других машин за тобой может и не быть, а если пурга и мороз, то неоказание помощи такому человеку может привести к его гибели.
Как обанкротить банк
Если вдруг все люди разом (или больше 60% вкладчиков или держателей депозита) заберут из банка свои деньги, он обанкротится. В мире и в частности в России таких случаев много, когда программа социального подражательства приводила к банкротству банков в рекордно короткие сроки. Механизм следующий. У банка образуется очередь, причем не обязательно вкладчиков. Толпа людей около банка может собраться совершенно спонтанно. Проходящие, проезжающие мимо люди могут подумать, что это очередь из клиентов банка, которые пришли снимать свои вклады. Особенно, если мнение разогреть, показав по местному телевидению собравшуюся массовку, даже если при этом не концентрировать внимание на собравшихся около банка людей, а оставить картинку в качестве фона к другому действу. Дальше работает программа социального подражательства: 'мол, если столько людей снимают вклады, то, значит, что-то не так!'. Так, из-за нелепой случайности банк может за один день оказаться банкротом. Случаи, проходившие именно по такой схеме, известны.
2.7.7.3 Программа действия авторитета
Одна из любимых программ тех социальных программистов, которые занимаются социальной инженерией. Суть этой программы в том, что как только человек, являющийся авторитетом для некоторой группы людей, отдает приказ на выполнение того или иного действия, те люди, которые входят в эту группу, начинают автоматически исполнять приказ, переставая думать.
Здесь может быть хорошим примером такой, когда системный администратор (или кто-то замаскировавшись под него и подписавшись от его имени) вышлет сотрудникам компании письмо в котором он требует сообщить им свой пароль. По статистике около 75% сотрудников компании, послушно это сделают. Сработала программа действия авторитета. Для рядовых пользователей ПК системный администратор представляется 'компьютерным магом', действия которого нужно выполнять беспрекословно.
В литературе был описан эксперимент, когда на сестринский пост в районную больницу позвонил человек, и, просто представившись доктором этой больницы (даже не назвав фамилию!), сказал какие назначения нужно срочно дать больным из 20 и 15 палаты. Невероятно, но сработало! Несмотря на всю грубость эксперимента! Из 20 медсестер, над которыми проводились эксперименты, только две категорически не стали выполнять назначения такого 'врача' и доложили о происходящем дежурному доктору. Еще десять пошли выполнять назначение, решив, что доложат позже. А восемь просто пошли выполнять назначения, и ничего никому докладывать не собирались. Почему так получилось? Исследователи сходятся во мнении, что у медсестер сработала программа 'действия авторитета'. Для младшего медицинского персонала доктор -- авторитет и его слово непререкаемо. И, что особенно важно, данный эксперимент показывает, что для того, чтобы включилась программа 'действия авторитета', совершенно не нужно, чтобы в этот момент был рядом какой-то реально авторитетный человек. Для того чтобы программа запустилась, достаточно просто сыграть роль 'авторитетного человека'.
Печально, но этот эксперимент в разных вариациях проводился не в одной больнице и проводился в разное время разными исследователями. И результаты были более-менее похожие.
Психологи еще объясняют такое поведение, как «синдром бараньего стада». По аналогии с примером из мира зоологии, со стадом баранов, прыгающим в пропасть вслед за своим вожаком. Если 'убедить' вожака стада прыгнуть в пропасть, то все стадо последует за ним. Дело в том, что бараны всегда пасутся на одних пастбищах и хорошо знакомы с местностью. Причем всегда обходят стороной проблемные места. А сегодня вдруг взяли и прыгнули туда всем стадом вслед за своим вожаком. Срабатывает программа 'действие авторитета', а дело доделывает программа социального подражательства. Аналогом такого 'бараньего поведения' в мире человеческом являются коллективные самоубийства в сектах. Механизм действия тот же самый.
Итак, резюмируя. Программ можно привести достаточно много. Более того, у каждой социальной группы проживающей на конкретной территории есть собственные программы, характерные только для этой местности. То, что мы используем ту или иную программу, это неплохо. Но, как было отмечено выше, из-за большой длительности времени, когда мы находимся в одной программе, человек становится уязвимой мишенью.
2.7.8 Потенциальные инсайдеры на предприятии, или не удобные сотрудники
Итак, немного взглянув на поведенчекую модель понимаешь, что уязвимости подстерегают на каждом углу. Интересно взглянуть на внутренний мир предприятия со всеми его сотрудниками и попытаться выяснить то окружение в котором работаешь.
Каждый человек имеет тот или иной порок. Понимание того, какие из них наиболее губительны, и как такой персонал определить уже половина дела, способного построить социальный брандмауер. Т.к. социоинженеры именно это стараются выявить как можно быстрее, чтобы воздействовать на объект. Распознать атаку не всегда просто, особенно, если наступает аттракция и социоинженер расположил к себе собеседника. Итак перейжем к рассмотрению.
Упрямство
Вполне адекватный сотрудник, хороший специалист, но при этом очень упрямый и уверенный в том, что то, что он делает, он делает правильно и это не подлежит никакому критическому обсуждению.
Пример 1. Web-дизайнер фирмы, который абсолютно уверен в том, что 'по части искусства, он Маэстро'. И на все существенные и критические замечания отвечающий одной фразой 'Я знаю что делаю! В дизайне правил нет!'. И, если его не проконтролировать, он может нарисовать такое, что нанесет фирме маркетинговый урон намного больший, нежели был осуществлен взлом основной страницы сайта (дефейс). Лично на моей практике таких случаев было несколько. Чаще они происходили, когда осуществлялся заказ дизайна сайта в специализированной фирме.
Пример 2. Главный инженер одной из фирм из года в год заказывал только то оборудование, к которому он привык, а тот: факт, что оно уже морально устарело и клиенты хотят другое оборудование, имеющее более совершенные характеристики, его совершенно не интересует. Более того, подобные люди искренне уверены в своей правоте, и ни о каком раскаянии не может быть и речи, а на критику способны обижаться и показывать свое негодование.
Недобросовестное отношение к работе
Это такие работники, над которыми нужно постоянно стоять, чтобы они демонстрировали потрясающую деловую активность. Но стоит отвернуться, от этой активности и след простыл. Это серьезная проблема для любой компании. Сегодня, в условиях жесткой конкуренции такие работники снижают потенциал компании.
Пример. В компании, в которой некоторое время назад работал сам, спешно был создан один из отделов, занимающихся региональными продажами (отвечал за несколько регион). Из пяти человек, только один постоянно жаловался на то, что неудобная программа CRM, какие-то помехи в трубке и часто плохо работает гарнитура телефона и из-за этого он не может работать как все его коллеги. Причем, только у него по истечению каждой недели, было меньше всего продаж в отличие от его четырех коллег. Заставили вмешаться ИТ - подразделение. После личного опроса каждого из его коллег, просмотра технических параметров оборудования и сопоставив телефонные распечатки, и реестра его действий в CRM системе, пообщавшись с ним лично, пришел к одному убедительному выводу, что человек просто не умеет и не хочет учиться работать с клиентами компании. Ошибки отмечены не были, как пользователь он был уверенным и со всем стандартным программным пакетом для данной рабочей позиции был давно знаком. Что было отмечено, что некоторые товары нашим постоянным клиентам он пытался продать дороже, только настройки CRM программы блокировали такие действия, но помещали заметку в реестр. Когда таких заметок оказалось с десяток, то вывод был очевиден. Если ошибся пару раз, понять можно, но учитывая среднюю статистику каждого из операторов, работающих на такой же позиции, это недопустимый факт. После звонков клиентам и расспросов, факт попытки мошенничества был подтвержден. Компания в лице начальника отдела извинилась, и клиенты вернулись в компанию и были закреплены за другим специалисту по продажам.
Периодически на переговорах, можно наблюдать картину, при которых представитель руководства от среднего звена и выше, шутя или не совсем шутя, говоря о своей компании употребляя термин «контора» или «шарашкина контора». Такие руководители наносят непоправимый урон компании. При управленческом аудите, вылезали наружу разные факты. Распространенный факт - это недооценка, по словам сотрудника его возможностей и неадекватная позиция в компании или зарплата, с его же слов. Другой факт, это то, за что человек собственно отвечает, не может сам же и сделать, например, привести в порядок организационно-управленческую документацию, после чего, не лестные отзывы оставляет о своей компании.
Есть и те сотрудники, которые всем своим видом показывают, что они делают вам одолжение только одним уже своим присутствием на рабочем месте. Проблема недобросовестности, достаточно остра и её анализ выходит за рамки работы.
Замечание:
Есть замечательное наблюдение психологов, суть которого в том, что только 20% людей делают 80% всей работы и что 80% считают, что они входят в эти 20%.
Расхищение
Сама статистика говорит за себя, что больше всего материальный ущерб наносит сам же персонал компании. По данным Национальной Американской Ассоциации розничных торговцев Америки от 50 до 70% убытков организации приходится на кражи, которые совершают 'свои'. Согласно статистике процент честных людей равен 30%, 50% - готовы нарушить закон в том случае, если они будут уверенны в своей безнаказанности. Оставшиеся 20% готовы нарушить закон при любых условиях.
Возникает резонный вопрос о мотивах такого поведения. Как упоминался в примере выше - банальное желание нажиться, пользуясь своим служебным положением. Бывает случай болезни, так называемое клептоманический стиль поведения, т.е. если работник домой не унес даже карандаш или ручку, то день прошел «мимо».
Не менее распространенный случай в конкурентной разведке - внедрение своего агента, который нанят конкурентами, чтобы за определенное вознаграждение отправлять клиентов в конкурентную фирму.
Условное деление всех сотрудников предприятия на четыре группы
К первой группе относятся те сотрудники, которые довольны работой на предприятии, как в моральном, так и в материальном плане.
Ко второй группе относятся те, кому нравится своя работа, но в материальном плане они не получают достойного вознаграждения за свой труд. При этом относятся они к этому достаточно снисходительно, т. к. считают, что другой такой же интересной работы они не найдут, а на неинтересной работе они работать не могут. К этой группе относятся, к примеру, те научные сотрудники НИИ, которые влюблены в свою работу и проводимые ими исследования настолько, что, как сказано в одном юмористическом рассказе, будут ходить на работу даже в том случае, если за вход будут брать деньги.
Сотрудники третьей группы работают только за зарплату, которая их пока устраивает, а к любой работе они относятся только как к обязанности, которую нужно выполнить, чтобы получить деньги. Такие сотрудники всегда и во всем ищут только материальную выгоду. Это уже опасная группа сотрудников, т. к. известно, что денег много не бывает, значит, такого сотрудника почти всегда можно подкупить, заплатив ему сумму, от которой он не сможет отказаться.
Сотрудников четвертой группы работа не устраивает ни в моральном, ни в материальном плане. Это -- самая опасная группа, т. к. если на предприятии большинство сотрудников принадлежит именно к этой группе, то такое предприятие само себя разрушит, без всяких внешних атак.
Разумеется, руководитель должен стремиться к тому, чтобы его сотрудники в основном принадлежали к первой группе. Естественно, когда все сотрудники предприятия от топ-менеджеров до дворников принадлежат к первой группе -- это идеальный вариант, и, как всякий идеальный вариант, который вряд ли достижимый. Очень неплохо, если к первой группе принадлежат хотя бы ключевые работники, от которых на предприятии многое зависит.
С точки зрения руководства, вторая группа тоже неопасна. А третья и четвертая группы -- это уже группы риска.
Кроме того, лояльность сотрудников зависит еще и от того, какой способ управления принят на предприятии.
3. Технологическая часть
«Можно быть уверенным только в двух бесконечных вещах:
существование вселенной и человеческой глупости,
и я не совсем уверен на счет первой»
Альберт Эйнштейн
3.1 ВВЕДЕНИЕ
Подход к обеспечению информационной безопасности любого предприятия как никакой другой процесс, характеризуется системностью и тесной связью с существующими бизнес-процессами предприятия. На всем фоне многообразия технических средств защиты информации (аппаратно-программных, комплексов физической защиты, средств обнаружения вторжений, средств защиты от НСД, криптосредства отслеживающих легализацию доступа авторизованных пользователей и т.д.), остается всегда основная проблема, что выбрать, сколько потратить, как убедить руководство в лбировании этого вопроса и обосновать необходимость финансовых затратах на него. Все эти вопросы имеют неплохое решение, но при условии решения организационных мер на предприятии. Зачем это нужно? Ответ прост, если обратиться к главе 2.3 настоящей работы и увидеть, что по мнению экспертов и по результатам статистических данных, утечка конфиденциальной информации, относимой к внутренним угрозам, наиболее критичная угроза для любого предприятия. И во многих случаях, она сопоставима с дальнейшей жизнью компании на рынке. В связи с этим, не придерживаюсь мнения различных специалистов по защите информации, которые утверждают, что достаточно только технических, или только организационных мер. В данном случае «только» уместно употреблять в связке комбинированного построения защиты информации как организационно-технические. Из практики многих отечественных и западных компаний это саамы трудоемкий и наиболее дорогой вопрос, т.к. организационные меры часто могут составлять 70-80% всех затрат времени в сочетании организационно-технических мер. Но в таком случае затраты на технические средства большей частью окупаются и не являются необоснованными, либо расточительными. И меньше шансов в последствии услышать от руководства компании фразу: «Ну ведь мы по вашему запросу уже купили то-то и то-то и что? Оказывается, это выброшенные деньги и оно уже не защищает?». Другими словами, затраты на приобретение тех или иных средств защиты информации будут согласовываться совместно основываясь на понимании и знания что мы защищаем, а какие риски принимаем в виду необоснованной дороговизны решения.
Как было отражено в предыдущих главах, организационные меры являются очень непростой задачей. Рассчитать риски в контексте информационной безопасности в вопросах касательного персонала представляется сложной задачей и порой невыполнимой. Тем не менее, составление социально-психологического портрета сотрудников предприятия способны учесть 50% возможных рисков, что уже немало. В сочетании с техническими и организационно-техническими мерами, этот процент значительно возрастает. В настоящую работу не входит методология подходов отнесенных к вопросам проведения тестирования, социологического и психологического опроса персонала, проведение его интервирования, а также последующего анализа собранного материала, на вопрос выявление среди них «лояльных» и не совсем лояльных сотрудников предприятия. Такие вопросы не изучались как в курсе обучения, и описание базовых моментов потребует значительных временных затрат, не говоря уже о второй части - составление специализированных опросных анкет и последующий анализ результатов. Базовые понятия можно изучить самому, обратившись к главе «Рекомендуемая литература для самостоятельного изучения».
В настоящую главу войдет набор рекомендаций организационных и технических мер, способных уменьшить риски предприятия. Рекомендации являются общими, в силу оторванности данной работы от конкретного предприятия и объекта информатизации и защиты. В последующем, конкретный исполнитель за принятие и ведение политики информационно безопасности сумеет самостоятельно учесть данные вопросы, разработать политику конкретизирующую задачи защиты информации применительно к конкретному предприятию.
Понимание того, что невозможно описать цельное множество методов и подходов в социальной инженерии, приводит к соответствующему выводу - нет универсального рецепта для защиты от методов социальной инженерии. Тем не менее, в корпоративной политике всегда должны быть прописаны ряд положений и правил, уменьшающих возможность использования методов социоитехник в компании. Сама политика информационной безопасности должна быть не просто бумагой на десятилетия, а динамикой развития самой компании на рынке, т.е. отражать самое последнее, объективное и действующее на предприятии. Иными словами, политика информационной безопасности, должна являться одним из бизнес-процессов действующего предприятия.
3.2 Организационные меры
Рассмотрение методов в прошлых разделах было обзорным. Их разнообразие настолько велико, что на достаточно полное описание и изучение их работы потребовалась бы целая жизнь, в связи с присутствием человеческого фактора.
3.2.1 Права локальных пользователей
Здесь должна действовать жесткая централизованная политика управления информационными ресурсами на основе доменной структуры, либо с использованием специальных «прозрачных» комплексов обеспечивающие четкое разграничение и регулирование прав пользователей.
Должны быть выделены рабочие группы в зависимости от решаемых задач на предприятии и созданы для них универсальные профели.
Доступ к сетевым ресурсам ведется в зависимости от профилей и только к тем с такой матрицей доступа к ресурсам, которые требуется конкретному сотруднику для работы.
Никаких локальных прав администратора, а тем более иных прав пользователя имеющие расширение больше, нежели обычный пользователь, не должно быть.
Необходимые установки осуществляется только через регистрацию заявок и обслуживанием их через ИТ-подразделение ( в частности Hepl Desk).
В случае необходимости использования устаревшего ПО, который адаптирован и работает только на морально устаревшей платформе или с использованием прав локального администратора, необходимо данное рабочее место вывести в отдельную подсеть, использую VPN либо в отдельно созданную физически подсеть (сегодня не составит сложности на предприятии организовать как подсети, так и физически обособленно-выделенную сеть).
В компании необходимо выделить группу лиц, которая будит персонально отвечать за группу сотрудников для пресечения возможных утечек информации. Вышеописанные сотрудники обязательно должны попадать под их юрисдикцию.
3.2.2 Стандартизация ПО и унификация платформы
Необходимо в компании иметь документ с перечнем допустимого к установке ПО. В документе указывается блок стандартного ПО, устанавливаемого «по умолчанию» у каждого сотрудника. В силу особенностей работы разных подразделений, одна или несколько программ могут отличаться. Но в разрешенном перечне это ПО должно указываться. Помимо установленного по умолчанию блока ПО, выделяют другой блок ПО, который не требует согласования с рядом служб (например, со службой информационной безопасности, генеральным директором или службой безопасности). Иными словами, вопрос может быть решен силами самого сотрудника, при подаче по регламенту ему заявки в службу поддержки пользователя (Help Desk) и для него определяется календарный план исполнения заявки. В случае существенного отличия занимаемой должности и выполняемых функций пользователя от пожелания на установку какого-то программного обеспечения входящего в допустимый перечень пользовательского ПО в компании, заявка ставится в очередь, после согласования вопроса самим сотрудником со своим руководителем. Далее вместе с заявкой на установку данного ПО в службу поддержки пользователей подается служебная записка с санкцией руководителя сотрудника. Как правило, дополнительное ПО устанавливается, когда сотруднику расширяют перечень обязанностей или он на себя берет часть ставки другой должности.
Критичное, с точки зрения утечки конфиденциальной информации (интернет-пейджеры, средства индивидуального шифрования вроде PGP и т.д.) ПО должно согласовываться со службами информационной безопасности, руководителем подразделения в котором работает сам сотрудник и в ряде случаев с генеральным директором. В данном случае важным моментом является принадлежность сотрудника к «лояльным» сотрудникам компании и к возникшей необходимости установить такого рода ПО.
Следует внимательно относиться к ряду программ служебного пользования, которые, как правило, используют продвинутые пользователи, например, в списке не должно быть файлового менеджера вроде FAR или Total Commander. Встроенный Windows Explorer может быть немного неудобен, зато он не позволяет копировать временные файлы и не выполняет много других низкоуровневых, но потенциально опасных с точки зрения сохранности конфиденциальной информации операций.
После составления списка программного обеспечения необходимо обеспечить его установку на все рабочие станции и ограничить запуск других программ без участия администратора или уполномоченных лиц. Принцип «все, что не разрешено, -- запрещено» в этом случае должен выполняться неукоснительно. Это избавит компанию от будущих проблем с утечками через злонамеренных нарушителей. Инсайдеры просто не смогут работать с программным обеспечением, которое можно использовать для обмана. Например, внутренние злоумышленники не смогут обмануть механизмы контентной фильтрации с помощью шифрования и стеганографии.
В компании необходимо закрывать на доступ файловые сервера, на которых лежит корпоративное ПО. К таким серверам могут обращаться только выделенные сотрудники ИТ-подразделения, отвечающие за тот или иной участок работы. Так, например, Help Desk в своем арсенале использует не специализированное ПО, а пользовательское принятое в компании. В связи с чем, ему нет необходимости иметь доступ к специализированному ПО и серверному в том числе.
Желательно в компании стремиться кроме унификации пакета ПО, к унификации рабочих станций. Чтобы платформенные решения были идентичны и не оказалось много разброса между более менее современными платформами и устаревшими, которые с трудом тянут стандартный программный пакет. Это также избавит от ряда проблем, включая злонамеренные действия инсайдеров и внедренных агентов, действующих по методу ОСИ, которые сыграют на «общественном» мнении, что мол, это старый компьютер, он вечно выходит из строя. Стоит учитывать и факт психологии. Когда проработавший N-е время в компании сотрудника, может задеть то, что новому сотруднику в компании поставят продвинутый ПК, а о нем забудут. Особенно, болезненно к этому относятся сотрудницы, если речь заходит об мониторах. Не стоит допускать таких веяний в компании, т.к. даже лояльные сотрудники могут на какой-то момент стать саботажниками и провокаторами ситуации.
Обязательно должно быть развернуто ПО для ведения системы инвентаризации ПО установленное на рабочих станциях пользователя. А также установлены контрольные точки в этом ПО, позволяющее при малейшем изменении реестра системы дать уведомление. Регулярность инвентаризации ПО у пользователей рекомендуется проводить не реже 1 раза в неделю. А также анализировать получаемый реестр со старым. Для этого есть как уже существующие приложения, так и от третьих разработчиков.
3.2.3 Специализированные(нестандартные) решения
Небольшими организационными мерами можно решить очень большие проблемы. В дам случае действует понятие локализации применения для каждого предприятия. Так, хороший пример можно привести у автора В. Скиба [25, стр. 137] как испортить мошенникам жизнь. Одно федеральное ведомство серьезно страдало от регулярных утечек своей базы данных, которая имела устойчивый спрос на пиратских рынках. Контролировать все точки доступа к базе было технически очень сложно, и отдел информационной безопасности придумал следующий ход. Рассудив, что хищением информации занимается не больше десятка человек, причем вряд ли управляемых из одного центра, они попросили администраторов базы ограничить объем ежедневных запросов до 20 Мбайт. Все, что больше, -- по дополнительной заявке с обоснованием служебной необходимости. Вряд ли нарушители захотят проявить себя регулярными просьбами об увеличении лимита. Поскольку вся база занимала несколько гигабайт, выкачать ее за месяц одному человеку не представлялось возможным. К тому же база меняется ежедневно, поэтому сшитые куски, скопированные в разные дни, нарушали цельность базы. Через некоторое время базу перестали покупать, а потом, ввиду отсутствия спроса, -- и похищать. Как видно, предотвратить утечки в данном случае удалось без дополнительных материальных затрат.
3.2.4 Работа с кадрами
Постоянное обучение пользователей компании и проведение регулярных инструктажей, защита активов компании и благополучия собственно самих пользователей. Обучение пользователей, воспитание бдительности сотрудников, инструктаж новичков и временных сотрудников во многом смогут предотвратить утечки через незлонамеренных пользователей. Любое копирование информации на сменный носитель должно вызывать вопросы коллег -- ведь лояльные сотрудники пострадают вместе с компанией, а значит, они по одну сторону баррикад.
Необходимо четко познакомить с теми атаками, с которыми знакомы сами. Разработать порядок и алгоритм взаимодействия и реагирования. Причем, ряд атак будит направленно на руководство и в таком случае руководитель любого уровня должен знать, как и что делать, и к кому обратиться для передачи информации. Какие атакам могут подвергнуться предприятие, и что конкретно взятый сотрудник может сделать на своем месте, чтобы этой атаки не произошло. Проведение инструктажей является обязательным. Человек может просто не знать, что та или иная проблема существует.
Высокая квалификация компьютерного пользователя не всегда является плюсом. В западной литературе встречается термин overqualified -- «сверх квалифицированный», часто сотрудник находящийся не на своем месте в компании, либо пришедший с ИТ-сферы. Причем излишние навыки в работе с компьютером являются более серьезным недостатком, чем недостаточная квалификация. Выявление «специалистов-любителей» возможно во время традиционной аттестации. Стоит добавить в анкетирование ряд вопросов: «Как снять зависший процесс в Windows?», например, и провести разъяснительную работу с теми, кто начнет ответ со слов «Нажать одновременно клавиши Ctrl, Alt и Delete», при правильном ответе: «Вызвать службу поддержки или системного администратора». Здесь стоит учитывать многие аспекты. В частности, какая вероятность того, что в течении нескольких минут, в случае неполадки на ПК пользователь получит квалифицированную помощь или поддержку со стороны ИТ-службы. Не редки случаи, когда квалифицированные пользователи, оставаясь лояльными к компании, могут оказать реальную помощь в работе компании, нежели применять по отношению к ним штрафные санкции. Так при развитой филиальной сети компании, часто такие пользователи помогают работе компании, находясь на хорошем счету у ИТ-службы. Отчасти, это связано с нежеланием руководства филиала тратить по их мнению «необоснованные» затраты на прием в штат дополнительного ИТ-специалиста.
Единственно, что стоит учесть, это выявить такой потенциал работников и быть с ними более внимательными.
3.2.4.1 Набор правил, который поможет подойти к решении кадрового вопроса грамотно
1. Необходимо наблюдать за сотрудниками на всех стадиях их развития в организации. Любой сотрудник в организации всегда проходит три стадии развития:
· устройство на работу;
· этап работы;
· увольнение.
При приеме сотрудника на работу необходимо собрать о нем как можно больше сведений, с целью прогноза того, как он поведет себя в той или иной ситуации. Такую проверку часто и проще всего сделать с помощью стандартных психологических тестов. Необходимо определить, не принадлежит ли кандидат на должность к одной из категорий 'неудобных сотрудников' (см. 2.7.8). Сегодня, достаточно важно иметь в составе работников кадрового отдела штатного психолога или социолога.
Как правило, за сотрудником наблюдают при приеме его на работу. Реже, в период его этапа работы на предприятии. И очень редко проводится полноценная работа с увольняющимся сотрудником, которую представляют наибольшую угроза для предприятия. Человек может уходить с затаенным злом на руководство, может быть скомпрометирован конкурентом и переходить к нему, но с нужными данными (базой клиентов, маркетинговые технологии) конкуренту.
2. Нельзя допускайте на своем предприятии существования алкогольно-сексуальных групп.
3. Создавать атмосферу команды и поощрять лояльность сотрудников к компании, которые являются наилучшей защитой предприятия.
Т.е. человек доволен своей работой, атмосферой, занимаемой должностью в моральном и материальном плане он не обделен и это должно быть его собственное мнение.
С учетом условного деления групп сотрудников на предприятии, стоит стремиться подбирать всех сотрудников, чтобы они относились к первой и второй группе (см. 2.7.8). И избегать групп риска т.е. третье и четвертой групп.
4. Подбирать сотрудников таким образом, чтобы в подразделении они отвечали соответствующему способу руководства - командному или управленческому. Командный способ - это пример солдат - сержант. На счет управленческого способа хорошо сказал В. Тарасова В. К. Тарасов -- директор Таллиннской школы менеджеров, автор многих книг по вопросам менеджмента, управленческой борьбы и др., что «идеальный руководитель в этом смысле -- вообще с виду бездействующий. Как кажется бездействующим человек, управляющий стремительно несущимся парусником, по сравнению с гребцом на весельной лодке».
5. Не создавайте незаменимых сотрудников
Достаточно часто, почувствовав свою значимость, ряд сотрудников пытаются шантажировать руководителя. Более того, конкуренты как правило в курсе, какой персонал в составе компании и приложат усилия, чтобы ключевых сотрудников стало в компании меньше.
6. Геймеры на работе, это всегда потенциальный риск. Внимательно стоит приглядываться к таким сотрудникам и только если он очень хороший профессионал, можно подумать о его трудоустройстве в компанию.
7. Не стоит принимать на ответственные должности романтических или психологически неуравновешенных лиц, даже если они хорошие специалисты. Потенциально, данный тип людей можно шантажировать.
8. Ни один из сотрудников организации не должен знать больше, чем ему полагается по должности.
3.2.4.2 Подход к персонифицированной оценке рисков на основе определения лояльности
В большинстве построений, связанных с моделированием угроз и анализом рисков информационной безопасности, фигурируют два параметра интегрированных оценок: критичность информационного ресурса, на который направлена угроза, и эффективность средств защиты этого ресурса. Все интегрированные оценки «опасно - неопасно» в таком случае размещаются в плоском квадранте с этими координатами. Если принять мнение о принципиальной ограниченности средств защиты от внутренних угроз единственным фактором, препятствующим их реализации, является система мотивов пользователей, которую принято называть «лояльностью персонала». Под этим понятием следует подразумевать не только морально-этические качества сотрудников или механизмы воздействия на эти качества, но и организационные мероприятия, непосредственно формирующие мотивы - например, осознание неизбежности наказания за нанесенный ущерб, а также в некоторой степени профессиональная грамотность, препятствующая «нанесению вреда без умысла». Поэтому термину «лояльность персонала» соответствует вся совокупность свойств субъекта не реализовывать предоставленные ему возможности по нанесению ущерба информационно-технологическими способами. Пространство интегрированных оценок (и, соответственно, решений) теперь становится трехмерным - добавляется координата «лояльность персонала».
Оценка лояльности в целом для коллектива в рамках решения задач информационной безопасности малопригодна потому, что угрозы осуществляют конкретные люди, и именно их персональная лояльность играет роль при реализации предоставленных возможностей нанести ущерб. Поэтому оценке подлежит персональная лояльность, которая учитывается при формировании решений информационной безопасности (выбор, конфигурация, настройка организационно-технологических и программно-технических средств), т.е. защита данных от внутренних угроз становится персонально ориентированной.
Таким образом, потенциальные источники угроз известны, и их можно непосредственно изучать и оценивать.
Обсуждая общую схему персонификации защиты от внутренних угроз в первую очередь возникают два базовых вопроса: как оценивать персональную лояльность в терминах информационной безопасности и как использовать результаты такой оценки при формировании решений по защите данных?
Многолетний опыт работы специалистов по разбору различных служебных происшествий [29] показывает, что почти 80 % серьезных нелояльных действий совершаются людьми, в характере которых выражены психологические особенности вполне определенных типов («возбудимый», «демонстративный», «застревающий» и «гипертимический темперамент» в соответствии с типологией Карла Леонгарда [30]) и их сочетаний. Кроме того, лишь в 7 % случаев у виновных не были выявлены психологические качества ни одного из этих типов.
Несложная статистическая обработка результатов этих работ, выполненная коллективом с участием автора, позволила установить уверенную корреляцию между наличием психологических особенностей конкретного сочетания «опасных» типов и принадлежностью лица, совершившего нелояльный поступок, к тому или иному классу источника внутренних угроз.
Таким образом, выявляя психологические особенности и определяя персональные типы (то есть проводя социально-психологическую идентификацию персонала), можно в случае, если эти типы относятся к категории «опасных» т.е. относятся к группе «риска», высказать приемлемо правдоподобную гипотезу о степени и характере потенциала персоны как источника внутренних угроз. Сегодня существует много методов социально-психологической идентификации, от специальной техники проведения бесед и анализа почерка до психофизиологического тестирования и проверки на полиграфе.
Разумеется, результаты социально-психологического тестирования нельзя использовать для принятия решений, и тем более, организационно изолировать сотрудников, отнесенных к потенциальной группе риска. Часто сотрудники отнесенные к потенциально «опасным» типам именно с этими качествами, являются профессионалами в исполняемой ими работе. «Опасность» этих типов всего лишь потенциальная, и конкретное нелояльное действие зачастую может быть невольно спровоцированной реакцией.
Следующей (после социально-психологической идентификации) задачей является соответствия между уровнем лояльности и рациональным составом персонально ориентированных методов и средств защиты информационных ресурсов различной критичности. В терминах информационной безопасности, это означает создание персонифицированных политик безопасности, нотации которых включают указание на степень лояльности, в пределах которой применяется данное положение политики. Разумеется, персонификация политик безопасности условна (не буквальная): два сотрудника с одинаковыми ролями и уровнем лояльности будут снабжаться одинаковыми методами и средствами защиты.
3.2.5 Внутрикорпоративная нормативная база
Не менее сложный и трудоемкий вопрос, как и составление социально-психологического портрета сотрудников. И тем не менее, составление внутрикорпоративной нормативной базы позволит предприятию упредить многие как внешние, так и внутренние атаки. Позволит сократить в дальнейшем время на обучение вновь прибывшего сотрудника, а также проводить более эффективное обучение персонала. Хаос в обращении конфиденциальной информации и ее строгий учет, контроль и аудит должны разделять четкие положения, определяющие права и обязанности пользователей и администраторов, регламенты обработки, хранения и обмена данными, политику доступа.
Принято выделять три основных уровня применения нормативной базы в компании.
Уровень предприятия. Начиная с этого уровня, необходимо распространить организационную составляющую системы защиты конфиденциальной информации на все остальные уровни. Как правило, здесь задействованы все ключевые отделы организации под постоянной, непосредственной протекцией и мотивацией высшего руководства. Практика показывает, что без выполнения последнего требования любое самое благое начинание умирать в текучке и спускается на тормозах. Вполне очевидно, что у ИТ-, HR-, ИБ-отделов и потенциальные угрозы со стороны инсайдеров если рассмотреть порядок вещей, их не должны беспокоить. По хорошему, это вопрос первой линии оборон, т.е. грамотно составленные требования по каждой единицы персонала занимаемую свою должность в компании с дистрибьцией ответственности за эту единицу непосредственного руководителя. Далее, это грамотно составленные требования на вакансию руководителя подразделения и профессионализм HR-персонала, психологов и службы безопасности по выявлению потенциального нарушителя и соответствия уровня соискателя уровню занимаемой должности, плюс компьютерная грамотность. Бывает, намного важнее выполнить план или освоить бюджет для выше обозначенных подразделений, нежели заниматься разведкой/конразведкой у себя в компании. Топ-менеджмент часто понимает последствие одной утечки, и имеет рычаги управления, дабы этого не произошло.
Самым важным нормативным актом уровня предприятия в процессе внедрения системы защиты конфиденциальной информации является положение о конфиденциальности электронной и в бумажном виде, информации. Это высокоуровневый документ, описывающий корпоративную парадигму отношения к данным. Он опирается непосредственно на классификацию информации, которая выделяет строго конфиденциальные, конфиденциальные и неконфиденциальные документы и данные. Неотъемлемой частью этого уровня являются трудовые соглашения и должностные инструкции, описывающие права и обязанности сотрудников. Важный момент, который должен найти отражение в этих документах, состоит в отчуждении всей информации с рабочего места сотрудников в пользу компании. С одной стороны, это означает свободу действий организации в отношении просмотра, фильтрации, задержки и других корпоративных данных, а также систематизацию ролей различных служащих, а с другой -- защиту компании от возможных встречных исков со стороны обнаруженных инсайдеров по обвинению в нарушении их конституционных прав на тайну переписки.
Уровень информационной системы. На этом уровне важно определить регламент пользования корпоративной информационной системой, регламент пользования приложениями и требования к системному ландшафту. Данные документы закрепляют состояние информационной системы, позволяют контролировать запуск потенциально опасных приложений и достичь соответствия корпоративной сети специфическим требованиям для контроля и аудита конфиденциальной информации. Как правило, на этом этапе составляется один полновесный документ, называемый «Концепция управления корпоративной информационной системой ». Весь набор перечислять не имеет смысла, поскольку он емкий и неплохо описан в международных стандартах.
Уровень информационной безопасности. На данном уровне необходимо определить поведенческую модель нарушителя, политику доступа к информации и политику работы с информацией. На этом уровне происходит непосредственная работа по контролю и аудиту действий пользователей. Между каждым пользователем, группами пользователей и каждым документом создаются отношения прав, внедряются механизмы журнализации и предотвращения несанкционированных действий. Наконец, на этом этапе компания узнает, с кем она борется, создавая портрет нарушителя. Все это входит в один пакет документов «Корпоративную политику информационной безопасности».
3.2.6 Хранение физических носителей и архивация данных
В зависимости от масштаба предприятия и сферы его деятельности, возникает необходимость осуществлять резервное копирование данных и работать с накапливаемым архивом. Для малой и средней компании, не занимающейся вопросами телекоммуникаций (оператор связи, интернет-провайдер и т.д.) или в банковской сфере, например, этот вопрос может быть менее актуален в силу небольших накоплений объемов информации и регламентов доступа к таким архивам, которые возлагают вопрос на ИТ-службу. Для ряда компаний, это значительный объем данных и дополнительный канал утечки информации, т.к. существует возможность физического выноса носителей с резервными копиями. Сегодня используется несколько способов защиты этого канала утечки. Первый -- анонимизация носителей, то есть сотрудники, имеющие доступ к носителям, не знают, на каком носителе какая информация записана, они управляют только анонимными номерами носителей. Те сотрудники, которые знают, на каком носителе находится какая информация, в свою очередь, не допускаются к хранилищу носителей.
Второй способ -- шифрование информации при резервном копировании, поскольку даже вынесенная и скопированная информация потребует некоторого времени и большой вычислительной мощности на расшифровку. Что часто бывает необоснованно дорогой затеей и ценность информации по происшествию затраченного времени на её расшифровку, окажется невыгодной в виду потери актуальности. Допустимы в использовании все новшества технологий, от режимнно-технических, обеспечивающих доступ к хранилищу, так и внедрение радиомаяков и меток использующие технологии RFID и GPS сигнализирующие неавторизованный доступ к носителю или архиву, посылая сигнал о местонахождении нарушителя.
3.2.7 Система мониторинга работы с конфиденциальной информацией
Развернув систему мониторинга работы с конфиденциальной информацией, кроме наращивания функционала и аналитических возможностей, возможно упреждать возможные атаки и утечки.
Первое направление -- интеграция систем защиты от внутренних и внешних угроз. Инциденты последних лет показывают, что существует распределение ролей между внутренними и внешними злоумышленниками, поэтому объединение информации из систем мониторинга внешних и внутренних угроз позволит обнаруживать факты таких комбинированных атак. Одной из точек соприкосновения внешней и внутренней безопасности является управление правами доступа, особенно в контексте симуляции нелояльными сотрудниками и саботажниками производственной необходимости для увеличения прав. Любые заявки на получение доступа к ресурсам, не предусмотренным служебными обязанностями, должны немедленно приводить в действие механизм аудита работы с этой информацией. Доступ к ресурсам должен открываться только при полной легализации пользователя, с определением его целей и намерений, как правило, за подписью высшего руководства компании (генерального директора, первого его помощника), если информация является критически важной (например база данных клиентов компании).
Еще одно направление развития системы мониторинга внутренних инцидентов с конфиденциальной информацией -- построение системы предотвращения утечек. Алгоритм работы такой системы тот же, что и в решениях по предотвращению вторжений. Сначала строится модель нарушителя, по ней формируется «сигнатура нарушения», то есть последовательность действий нарушителя. Если несколько действий пользователя совпали с сигнатурой нарушения, прогнозируется следующий шаг пользователя, если и он совпадает с сигнатурой -- подается сигнал тревоги. Например, был открыт конфиденциальный документ, часть его была выделена и скопирована в буфер, затем был создан новый документ, и в него было скопировано содержимое буфера. Система предполагает: если дальше новый документ будет сохранен без метки «конфиденциально» -- это попытка похищения. Еще не вставлен USB-диск, не сформировано письмо, а система информирует офицера информационной безопасности, который принимает решение: остановить сотрудника или проследить, куда уйдет информация.
Распространенный случай мошенничества в качестве примера. Системному администратору поступила заявка от начальника отдела маркетинга на открытие доступа к финансовой системе. В качестве обоснования заявки было приложено задание генерального директора на маркетинговые исследования о процессах покупки товаров, производимых компанией. Поскольку финансовая система -- один из самых охраняемых ресурсов и разрешение на доступ к нему дает генеральный директор, начальник отдела информационной безопасности на заявке написал альтернативное решение -- доступа не давать, а выгрузить в специальную базу для анализа обезличенные (без указания клиентов) данные. В ответ на возражения главного маркетолога о том, что ему так работать неудобно, директор спросил в лоб: «Зачем тебе названия клиентов -- слить базу хочешь?», после чего все пошли работать.
К слову, модели (в других источниках -- профили) поведения нарушителя можно использовать не только с помощью сбора информации от программных агентов. При анализе характера запросов к базе данных, всегда можно выявить сотрудника, который рядом последовательных запросов к базе пытается получить срез конкретной информации. Необходимо тут же проследить, что он делает с этими запросами, сохраняет ли их, подключает ли сменные носители информации и т. д.
Развивая пример дальше, службы ИТ и ИТ-безопасности со Службой безопасности, могли использовать напрямую методы социальной инженерии для выяснения, кто заказчик базы данных. При этом создать необходимые условия, чтобы начальник отдела маркетинга допустил ряд недопустимых ошибок, более того, сделать регистрацию, юридически заверить и в таком случае можно уличить как сотрудника компании в предумышленной утечке конфиденциальной информации, так и заказчика, осуществившего заказ и взятого с поличным. Причем саму базу целиком не нужно «сливать», достаточно из архива полугодовалого или годовалого (можно более поздний срок взять) сделать срез и выгрузку, чтобы задействовать часть и то устаревшей базы. Более того, есть «Желтые страницы» и таких дисков много в продаже, откуда можно по требованию начальника маркетинга сфабриковать «левую» базу и отследить путь этой базы.
3.2.8 Меры по защите корпоративного сайта
3.2.8.1 Защита сайта компании от снятия backup у хостинг-компании
Если в компании есть сайт и он размещен на хостинге, т.е. компания арендует пространство для сайта у одной из хостинг-компаний (можно посмотреть информацию www.netstat.ru, www.uptime.ru), а таких компаний немало на отечественном рынке, следует составить политику работы компании с хостинговой компанией. Порядок снятия резервной копии сайта у хостинг-компании с его данными и внесение наполнения на сайт.
Очень часто в перечне услуг хостинг-компаний фигурирует сервис, неприметный но очень важный для социоинженера - это возможность приехать в офис компании и записать на носитель содержимое вашей директории, т.е. произвести backup. Сделать подставное лицо, которое приедет в офис такой компании не является сложной задачей. А если такое произойдет, тогда можно получить всякие .php, .cgi-скрипты и .inc файлы, а по ним узнать пароли, реквизиты к панели администратора, mysql-базе (или любой другой) и много других данных. Таким образом получаем массу информации о компании с уже готовыми логинами и паролями, для проникновения в сеть и в компанию, т.е. реализуется первый этап модели атаки «сбор информации».
Поэтому, чтобы кто-то не приехал в офис компании, выдав себя за сотрудника компания, которой принадлежит сайта и не получил копию образа сайта с хостинг-компанией подписывается дополнительное соглашение о процедуре снятия и получения архивов с сайтом компании на руки. А также описываются процедуры внесения изменений при реорганизации работы сайта. Хорошо разъясняется процедура по ответственным лицам, которая должна быть примерно, как у мобильного оператора связи, с выпиской на представителя компании генеральной доверенности и прописью в ней четких прав, кто может приехать, что он может делать и что для этого нужно т.д.
3.2.8.2 Рекомендации по правилу ведения форума на сайте компании
Форум для многих сайтов стал распространенным явлением. Причем, статистика показывает, что если компания серьезно относится к своим клиентам, то это обоснованные затраты на его организацию и ведение.
Более того, Интернет-конференции с видео трансляцией и онлайн форумами набирают свою силу и в качестве маркетингово шага, это действенная мера, финансово обоснованная по своим затратам.
Ранее было написано, что убить форум не столь сложно, сложно удержать посетителей и привлечь новых.
Ни в коем случае не вступать ни в какие-либо дискуссии с провокаторами и различного рода «виртуальными террористами». Таких товарищей нужно цинично уничтожать, за счет модерирования.
Желательно чтобы модератор не был участником форума. Это поможет сохранить его принципиальность при принятии решения.
Модератор должен быть умным, уравновешенным, эрудированным человеком.
У форума обязательно должен быть опубликован свод правил, направленность и тематика форума, что разрешено и что запрещено, какого уровня эксперты присутствуют на форуме и порядок обращения к ним посетителей со своими вопросами. В правилах обязательно нужно прописать, что действия модератора не обсуждаются и если кто-то из участников форума подвергся модерированию, то он точно должен знать за что и почему. чтобы после не оказалось много обиженных.
На форуме обязательно должен присутствовать человек или несколько лиц, компетентные в теме форума и обсуждаемых на нем вопросах. При приходе такого человека, полемика прекращается, если есть общее согласие или это единственный наиболее правильный и емкий ответ. Иначе, ветка превратится в флуд.
Если форум специализированный, не стоит заводить ветки «обо всем на свете или о жизни». Это заведомо неуправляемая ветка и способна сильно навредить как репутации компании, так и самому форуму. Если целью форума не является сам разговор «о жизни» или критика «всех и всего». И компетентного единственного решения на такой ветке просто не существует.
3.2.9 Вопросы, которые должны быть рассмотрены в политике ИБ
3.2.9.1 Защита от ряда угроз
3.2.9.1.1 Фишинг
Основой защиты от фишинг-атак является, «обучение» пользователей. Своевременное и полное информирование сотрудников о данной угрозе и о необходимости тщательной проверки источника запроса конфиденциальных или персональных данных устранит основное условие существования фишинг-атак. Т.е. воспитание у сотрудников компании скептического отношения к любым неожиданным входящим письмам. С этой целью в компаниях вводится специальная политика, которая регламентирует действия пользователей, получающих подобные письма и использующие конкретные принципы использования электронной почты с обязательными примерами атак, использующие эти принципы:
· Вложения в документы
· Гиперссылки в документах.
· Запросы личной или корпоративной информации, исходящие изнутри компании.
· Запросы личной или корпоративной информации, исходящие из-за пределов компании.
При возникновении новых разновидностей фишинга, необходимо дорабатывать документ и с доработками знакомить пользователей.
3.2.9.1.2 Вредоносные программ
Политика безопасности является необходимым атрибутом любой продуманной стратегии защиты от червей. Простой запрет на открытие вложенных файлов из электронных писем снижает риск заражения почтовыми червями практически до нуля.
3.2.9.1.3 Всплывающие диалоговые окна и приложения
В первую очередь, в политике ИБ должно быть записано правило, которое по шагам описывает действия пользователя в случае появления диалоговых окон, очень свойственные операционной системе (например Windows) об каких-то неполадках и системных ошибках, немедленно сообщать в службу поддержки о возникшей проблеме. Самому ничего не предпринимать и не нажимать никакие кнопки.
Также в политике запретить нажимание на любые сслыки, даже по интересной для пользователя теме в появляющихся всплывающих или popup - выпрыгивающих окнах в браузере. С точки зрения политики, лучше сразу отключать для пользователя различные встраиваемые рекламные полосы на страницах, установить запрет на скачивание файлов с веб-страниц и FTP-серверов (можно как всех, так и с набором расширений как служебных, так мультимедийных и архивов).
3.2.9.1.4 СПАМ
В политике ИБ необходимо четко прописать действия пользователей, если к ним приходит электронное сообщения от неизвестного адресата. Здесь подходит все, что указано в угрозе «фишинг». Тем не менее, повторю, нужно указать механизм и порядок действия для пользователя, сделать примеры для наглядности. В самих правилах жестко указать следующие моменты:
· Если название темы говорит само за себя, адресат не известен, даже не открывая определять в корзину.
· Если адресат известен, но тема не относится к рабочему процессу и вызывает подозрение, тем более если видно, что письмо прибыло с вложениями, удалить письмо или поставить в известность службу поддержки.
· Никогда не открывать вложения в письме от неизвестного адресата, независимо от расширения вложения (офисные документы, архивы, приложения, фотографии).
· Никогда не нажимать по ссылке в теле письма и щелкать на картинки, даже если адресат известен.
· Внимательно присматриваться к названию вложения и расширению от известного адресата.
· Ни в коей мере не высылать никакие свои пароли и учетные записи ни по какому требованию, будь-то непосредственный руководитель или директор компании, либо сотрудник службы ИБ и администратор.
· Если запрашиваемая информация от «легального» пользователя вызывает недоверие, что это нужно написать или переслать, лучше перезвонить и сообщить об этом непосредственному своему руководителю, а также в службу ИБ или ИТ (при отсутствии службы ИБ).
3.2.9.1.5 Угроза судебного преследования
В политике ИБ должно быть запрещено обмен/скачивание любым контентом, являющимся нарушением авторским прав (мультимедийный, программные разработки, издательская и другая литература).
3.2.9.1.6 On-line игры
Прописать в политике ИБ категорический запрет на данный вид развлечений. Аргументировано привести графические примеры и включить их в программу обучения сотрудников.
3.2.9.2 Защита с учетом используемых каналов передачи данных
3.2.9.2.1 Интернет-пейджеры
Необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от вероятных угроз по этому каналу. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде выполните пять следующих требований.
1. Выбрать одну платформу для мгновенного обмена сообщениями. Это облегчит работу службы поддержки и уменьшит вероятность того, что сотрудники будут пользоваться аналогичными службами других поставщиков. Если нужно надежнее ограничить имеющийся у пользователей выбор, можно заблокировать порты, используемые популярными службами мгновенного обмена сообщениями.
2. Определить параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями. Обязательно закрыть возможность передачи и приема файлов. Клиентские модули систем мгновенного обмена сообщениями поддерживают различные параметры конфигурирования функций обеспечения безопасности и конфиденциальности, таких как поиск вирусов.
3. Определить принципы установления новых контактов. Порекомендуйте пользователям не принимать по умолчанию любые приглашения к общению.
4. Задать стандарты выбора паролей. Потребуйте от сотрудников, чтобы их пароли к службе обмена сообщениями соответствовали стандартам выбора надежных паролей, которые приняты для паролей, служащих для входа в систему.
5. Составьте рекомендации по использованию службы мгновенного обмена сообщениями. Сформулируйте для пользователей службы мгновенного обмена сообщениями оптимальные принципы работы с ней, подкрепив рекомендации обоснованными доводами.
3.2.9.2.2 Приложения класса peer-to-peer
Основу защиты от угроз, связанных с использованием Р2Р_приложений, является введение в организации соответствующей политики безопасности. Данная политика должна предусматривать:
1. Запрет использования неавторизованного программного обеспечения в корпоративной сети.
2. Запрет соединения через определенные порты, характерные для некоторых Р2Р-приложений (см. Таблицу № 1).
3. Применение специализированных средств для обеспечения мониторинга использования интернет-ресурсов, а также сканирования корпоративных сетевых ресурсов и рабочих станций на наличие и использование неавторизованного ПО и материалов.
Таблица 1. Порты, характерные для некоторых Р2Р-приложений
|
Napster
|
eDonkey
|
Gnutella
|
KaZaa
|
|
|
tcp 8888
|
tcp 4661
|
tcp/udp 6345
|
tcp 80 (WWW)
|
|
|
tcp 8875
|
tcp 4662
|
tcp/udp 6346
|
tcp/udp 1214
|
|
|
tcp 6699
|
udp 4665
|
tcp/udp 6347
|
|
|
|
tcp/udp 6348
|
|
|
|
|
3.2.9.2.3 Телефония
В случае корпоративной телефонии.
Необходимо, чтобы пользователи кроме физического телефона ничего не знали об устройстве телефонной сети и используемом оборудовании.
В политике ИБ необходимо жестко прописать:
· чтобы никаких переключений и переадресаций звонков на других сотрудников компании, никто не осуществлял, если конечный пользователь сам не ожидает звонка (можно всегда спросить, ждет ли конкретный пользователь звонка от такого-то лица или компании в данный момент).
· запретить называть прямые городские корпоративные и мобильные номера и внутренние номера как конкретных лиц, так и подразделений.
· запретить на фразу «Мне с Вашими АйТишниками нужно поговорить» или «Мне бы главного бухгалтера услышать» осуществлять перевод звонка. Всегда уточнить вопрос и после непосредственного разговора с данным сотрудником или отделом отказать или перевести звонок, если он ожидаемый.
· запретить называть ФИО сотрудников, особенно руководителей, и ответственных за тот или иной участок работы.
· жестко прописать, что только специалисты службы поддержки могут оказывать помощь по телефону.
В случае службы поддержки
Службе поддержки следует найти баланс между безопасностью и эффективностью работы и отразить достигнутый компромисс в политиках и процедурах безопасности.
Защитить службу поддержки от атак со стороны внутреннего сотрудника или подрядчика сложнее в виду осведомленности злоумышленника. Процедуры обеспечения безопасности должны выполнять в таких ситуациях две следующих функции.
· Служба поддержки должна гарантировать, что все действия пользователей, обращающихся за помощью, регистрируются. Если, обратившись в службу поддержки, злоумышленник возможность несанкционированного доступа к данным и ресурсам, регистрация его действий позволит быстро заблокировать атаку и ограничить причиненный ущерб. Кроме того, при каждом обращении в службу поддержки целесообразно генерировать автоматически или создавать вручную почтовое сообщение с описанием проблемы или запроса и отправлять его заинтересованным лицам. Это поможет сотруднику, у которого украли учетные данные, понять, что произошло, и обратиться в службу поддержки.
· Служба поддержки должна утвердить структурированную процедуру обработки разных типов запросов. Например, если запрашивать изменения прав доступа для сотрудника должен будет по электронной почте его начальник, это исключит несанкционированные или неформальные изменения уровней безопасности.
Полный аудиторский контроль -- самое эффективное средство обнаружения и предотвращения нарушений законов и корпоративных норм.
3.2.9.2.4 Хранение и утилизация мусора
Сотрудники компании должны понимать все последствия, к которым может привести выбрасывание бумажных документов или электронных носителей информации в мусорную корзину. Как только мусор покидает территорию компании, ее права могут больше на него не распространяться.
В политике ИБ должны быть прописаны четкие правила по работе с документами и магнитными накопителями, которые по тем или иным причинам уже не нужны. Бумажный мусор всегда следует измельчать в бумагорезательных машинах, а электронный -- уничтожать физически или стирать записанные на нем данные с помощью специальных технических средств. Если какие-либо документы (например телефонный справочник) из-за размеров или жесткости невозможно измельчить в бумагорезательной машине либо у пользователя нет технической возможности это сделать, нужно определить специальную процедуру избавления от них. Мусорные контейнеры следует размещать в защищенной области периметра компании попадающего в область прямой видимости службы безопасности, недоступной посторонним лицам.
При разработке политики утилизации мусора важно убедиться в том, что соблюдены все местные санитарные нормы и нормы безопасности. По мере возможности следует выбирать экологически чистые способы утилизации мусора.
Кроме внешнего мусора -- бумажных, факсимальных или электронных отходов, доступных посторонним лицам, -- есть еще и внутренний, который тоже нужно контролировать. Одной из самых эффективных мер по управлению бумажным мусором является классификация данных. Для этого следует определить разные категории бумажных документов и способы их утилизации. Ниже перечислены примеры таких категорий.
Конфиденциальная корпоративная информация. Прежде чем выбросить какие-либо документы с конфиденциальной корпоративной информацией в какую угодно мусорную корзину, их необходимо измельчить в бумагорезательной машине.
Закрытая информация. Прежде чем выбросить какие-либо документы с закрытой информацией в какую угодно мусорную корзину, их необходимо измельчить в бумагорезательной машине.
Информация отделения. Прежде чем выбросить какие-либо документы с информацией отделений компании в общедоступный мусорный контейнер, их необходимо измельчить в бумагорезательной машине.
Открытая информация. Документы с открытой информацией можно выбрасывать в любые мусорные корзины и контейнеры или сдавать на переработку как макулатуру.
Факсимальные пленки, магнитные носители, как некоторую бумажную документацию вышедшие из употребления, нужно определять в специализированное хранилище, доступ к которому ограничен, находящейся под наблюдением службы безопасности. В дальнейшем компания периодически осуществляет вывоз таких архивов для утилизации в печах. Для пресечения перехвата информации, в такие дни обычно к сотруднику службы АХО откомандировывается сотрудник службы ИБ, финансовый менеджер или из группы охраны предприятия. Данные сотрудники должны быть четко проинструктированы на случай различного развития событий.
3.2.9.2.5 Социальный или личностный канал
Защитить пользователей от атак, основанных на персональных подходах, очень сложно в силу человеческого фактора и часто, очень хорошо спланированной операции. Проведения успешной атаки ни в одной из стратегий исключить нельзя. И как правило, если атака направленная, на конкретную персону в компании, она чаще достигает успеха, нежели нет, при тщательной проработке. И тем не менее, осторожность, аккуратность и работа с персоналом - снижают такой риск.
Защититься от атак, основанных на запугивании, можно, способствуя формированию корпоративной культуры, исключающей страх. Если сотрудники компании всегда ведут себя вежливо и учтиво, запугивание не позволит злоумышленнику добиться желаемого, потому что подвергшийся атаке сотрудник скорее всего сообщит об этом начальству. Благожелательное отношение к сотрудникам со стороны руководства и надзор за процедурой решения проблем и принятия решений -- худшее, с чем может столкнуться злоумышленник, использующий методы социотехники. Ему нужно, чтобы жертвы атак принимали решения быстро. Если в компании принято докладывать о проблемах руководителям, злоумышленник этого не добьется.
Убеждение всегда было важным способом достижения личных целей. Необходимо сотрудникам дать четкие указания по поводу того, что им следует делать, а что не следует. Пытаясь получить конфиденциальную информацию методом убеждения, злоумышленники всегда представляют тот или иной сценарий, предполагающий, что пользователь сообщит ее добровольно. Регулярное проведение информационных кампаний и определение базовых принципов использования паролей и других средств обеспечения безопасности -- лучшая защита от подобных атак.
Чтобы войти в доверие к сотрудникам компании, злоумышленнику нужно время. Злоумышленник должен регулярно общаться с сотрудниками, что значительно легче, если он работает вместе с ними. В большинстве компаний среднего размера основным источником таких угроз являются работники, регулярно оказывающие компании какие-либо услуги или работающие по контракту. Поэтому отдел кадров должен уделять подбору сотрудников, работающих по контракту такое же внимание, как и штатным сотрудникам. Основную часть этой работы можно делегировать кадровому агентству. Для гарантии того, что агентство справится с этой задачей, можно потребовать, чтобы им были соблюдены принятые в компании политики подбора постоянных сотрудников. Если есть подозрение, что на постоянную работу в компанию устроился злоумышленник, использующий методы социотехники, лучшими способами защиты от него являются информирование сотрудников и соблюдение ими политики информационной безопасности.
Наконец, вероятность успешного проведения атак, основанных на злоупотреблении взаимопомощью, можно свести к минимуму, обеспечив высокую эффективность работы службы поддержки. Часто сотрудники обращаются за помощью к коллегам из-за неудовлетворенности услугами имеющейся службы поддержки.
Чтобы гарантировать, что в случае проблем сотрудники будут обращаться в службу поддержки, а не к коллегам (атаки ОСИ) или, хуже того, к внешним специалистам, необходимо выполнить два условия.
· Укажите в политике ИБ, что при возникновении проблем пользователи могут запрашивать помощь только у специалистов службы поддержки и ни у кого больше.
· Убедитесь в том, что для службы поддержки определена процедура реагирования на проблемы, отраженная в принятом для отделения компании соглашении об уровне обслуживания. Регулярно проводите аудит эффективности работы службы поддержки, проверяя, чтобы пользователи получали всю необходимую помощь.
Служба поддержки -- важный механизм защиты от социотехнических атак, который не стоит недооценивать.
3.3 Технические меры
3.3.1 Два подхода к защите информации
В настоящее время различают две концепции защиты информации от утечки - канальную и периметральная защита.
3.3.1.1 Подход канальной защиты
Он подразумевает использование для контроля над каналом специализированного решения, разработанного именно и только для данного канала. Рынок имеет достаточно много решений для контроля фактически над каждым каналом. Кроме общих для всех каналов свойств (атрибутный и контентный анализ, архивирование информации, а также квотирование по времени или размеру), эти решения содержат и специфические для каждого канала свойства. Например, для электронной почты -- антивирус и антиспам; для доступа в Интернет -- антивирус, антифишинг, URL-фильтр; для печати -- биллинг расхода бумаги и тонера; для сменных носителей -- динамический контроль доступа.
Задачу контроля каналов также функционально можно решить с помощью систем, разработанных с другой целью, но имеющих возможность контроля канала в качестве побочной. На российском рынке это почтовые архивы (производителей Veritas, NetApp, Software AG, Oracle и др.). В сегменте веб-трафика -- универсальные аппаратные устройства, фильтрующие сигнатуры (Aladdin eSafe, Symantec Security Gateway, McAfee Redbox, Barracuda и др.). В области печати -- биллинговые программы производителей принтеров и их партнеров. Для контроля движения файлов на сменные носители -- инвентаризационные агенты (LANDesk, IBM Tivoli, HP Open View).
Такие решения внедрены во многих компаниях на всех или на нескольких каналах. Цель использования подобных программ -- защита канала от всех угроз, а не только от утечек информации. Все эти продукты преобладали в то время, когда один и тот же человек в компании отвечал за работоспособность канала, а не за угрозу.
У каждого из каналов есть свои лидеры. На российском рынке в сфере контроля и архивирования электронной почты лидируют Clearswift (MIMESweeper), «Инфо-системы Джет» («Дозор-Джет») и SurfControl (Web Filter). В сегменте контроля и архивирования веб-трафика лидеры те же. В области контроля и архивирования печати -- производители сетевых устройств печати (Hewlett-Packard, Xerox и др.). Наконец, в области контроля сменных носителей -- Sanctuary Device Control, DeviceLock и Zlock.
Сегодня на рынке представлено несколько аппаратных комплексов, которые обладают функциональностью универсального фильтра (Aladdin eSafe, Symantec Security Gateway, McAfee Redbox, Barracuda). Такие фильтры в потоке трафика могут отыскивать вирусные, спамерские или инсайдерские сигнатуры. Под последним видом сигнатур понимаются ключевые слова, содержащиеся в пересылаемых данных. Например, фильтр позволяет выявить пересылку документов, в которых есть слово «конфиденциально». Однако для отыскания инсайдерских сигнатур, содержащих русскоязычный текст, такой фильтр не подходит.
Подобные устройства хорошо продаются в странах, где распространен английский или испанский язык. Так, английские слова в большинстве своем меняют форму с помощью предлогов, множественное число образуется присоединением «s» и т. д. Между тем, когда продукту приходится работать с более сложными языками, в базу фильтрации должны входить все возможные формы слов, а в славянских языках -- еще и разные кодировки. Существует шесть различных кодировок для русского языка. Более того, в русском языке около миллиона словоформ. Поэтому при использовании такого рода решений для предотвращения утечек администратору надо создать вручную список из нескольких десятков тысяч запрещенных ключевых слов, но в этом случае продукт окажется непроизводительным. Между тем если пытаться сократить список ключевых слов, то его будет очень просто обмануть. Достаточно удалить из документа слово «конфиденциально» или заменить с помощью Find/Replace (Найти/Заменить) русские буквы «о», «р», «е», «у», «а» на похожие английские. Так что защищаться от утечек с помощью универсального сигнатурного фильтра практически невозможно.
3.3.1.2 Подход периметральной защиты
Этот подход достаточно недавно стала набирать силу, в связи с пересмотром рядом лидирующих компаний в области защиты информации от утечек информации многих взглядов с учетом анализа требований самих потребителей систем и желания привлечь больше инвестиций к своим решениям, за счет удешевления комплексных решений без потери функционала. Здесь наблюдается качественный переход построения служб информационной безопасности от канального к функциональному, а также самой ИТ-инфраструктуру на предприятии. В связи с чем, на рынке ИБ возникала потребность в решении, которое может управлять защитой от каждой из угроз (вирусов, хакерских атак, действий инсайдеров) независимо от того, по какому каналу она может быть осуществлена. Внешние и внутренние угрозы могут быть реализованы по нескольким каналам, поэтому сами решения должны быть комплексными.
Комплексное решение представляет собой единое хранилище данных (независимо от того, по какому каналу они покинули сеть), сервера контентной фильтрации и перехватчиков (которые контролируют какой-то один конкретный канал и направляют данные для анализа на сервер контентной фильтрации). Перехватчики могут быть реализованы в трех архитектурах:
· шлюз (gateway), то есть отдельно стоящий сервер или отдельное устройство, работающее в режиме прозрачного прокси-сервера;
· plug-in для сервера (например, plug-in для прокси-сервера, почтового или сервера печати);
· агент на стороне клиента (например, на уровне рабочей станции).
Периметральные решения представлены на рынке в основном западными компаниями: Port Authority (находится в процессе поглощения компанией WebSense), Vontu, McAfee (после поглощения Onigma). Из российских разработчиков периметральное решение есть только у компании Info Watch. Из упомянутых компаний первые три используют сигнатурную контентную фильтрацию, которая не подходит для работы с русским языком из-за огромного количества русских словоформ. Что касается Info Watch, то в основе фильтрации контента лежит морфологический, а не сигнатурный анализ.
3.3.2 Какой из подходов выбрать
Предпочтение тому или другому подходу зависит от реализации политики построения в компании службы ИБ и текущего положения дел в компании относительно используемых решений по части защиты информации.
С точки зрения стандартов ИБ, канальные решения представляют собой традиционный подход защиты канала утечки на основе модели «угроза -- техническое решение». В этом случае служба ИБ концентрируется на контроле каналов вместо того, чтобы защищать информацию, раздавая профили доступа и контролируя их соблюдение.
Преимущество канального подхода:
· весь канал находится под контролем одного человека. Что оправданно только в том случае, если служба ИБ организована по канальному принципу.
· наличие у решений более широкой функциональности. Они добавляют к технологиям контроля над передвижением данных специфический для каждого канала функционал, который часто не имеет никакого отношения к защите от утечек (антивирус, антиспам, антифишинг), так и к ИБ вообще (URL-фильтр, контроль расхода бумаги и т. д.).
· в случае вливаний инвестиций в такие решения, расход на обновления версий относительно небольшой.
Недостатки канальной организации защиты:
· невозможность комплексного подхода. Если служба защиты информации организована по функциональному принципу, то для нее будет невозможность интеграции анализа контента из разных каналов и централизованного распространения политик. Многие статистические и аналитические данные приходится сопоставлять в ручную из-за накопления, хранения и способов обработки данных в разных СУБД.
· для службы ИБ эксплуатация многофункциональной канальной защиты представляет потенциальный конфликт со службой ИТ, связанный с постоянным разделением прав на функции и настройки, которые либо связаны с ИБ, либо не связаны. Функции и настройки находятся в одной консоли.
· невероятно сложно осуществить синхронизацию и индексацию сархивированной информации для анализа деятельности нарушителя в случае возникновения ситуации.
· не позволяет службе ИБ сфокусироваться на нарушителе и защищаемой информации, так как предоставляет разрозненную, неконсолидированную информацию по каждому из каналов, как отмечалось выше.
· отсутствие возможности масштабирования, т.к. при использовании канального продукта необходимо масштабировать все решение целиком.
Достоинства периметальной организации защиты:
· учитывается сразу два типа угроз - внешние и внутренние.
· комплексность и возможность централизованного управления.
· легкое масштабирование, за счет того, что то функции анализа контента и архивирования данных вынесены в отдельные модули. При увеличении нагрузки на перехватчики достаточно резервировать и кластеризовать только их.
· концентрация службы ИБ на том, какая информация не должна покинуть периметр, т.е. независимо от канала предотвратить утечку.
· для службы ИБ модель эксплуатации системы периметральной защиты не подразумевает функционального контакта со службой ИТ.
· защита инвестиций при внедрении защиты даже одного канала. Создать правила, настроить хранилище, базу контентного анализа и правила для групп пользователей необходимо только один раз. При внедрении защиты остальных каналов достаточно будет просто инсталлировать и подключить перехватчики новых каналов. Вся остальная работа по настройке системы уже сделана.
· новый подход к минимизации рисков, т.к. периметральные продукты не зацикливаются на конкретном канале, а фокусируются на риске утечки информации.
Недостатки периметальной организации защиты:
· Значительный расход финансовых средств, при решение вопроса по внедрению системы на один канал;
· В настоящий момент, достаточно часто при покупке такого решения только для одного канала, отсутствует сопутствующая канальная функциональность: антивируса, антиспама, антифишинга, URL-фильтра и т. д.
Однако, эти недостатки снимаются, при покупке модуля для защиты второго-третьего канала.
Как мы видим, есть преимущества и недостатки у обоих решений. Правда, у второго решения преимущества возникают сразу, если правильно строить службу ИБ и проектировать систему защиты с нуля.
Но если компания думает о защите только одного канала, она выбирает канальное решение, если же о двух и больше -- периметральное.
Учитывая то, что системы сами по себе опережают ряд будущих уязвимостей, на мой взгляд для грамотного вложения денег и экономии ресурсов на раздутие штата ИТ служб, стоит брать периметральное решение. Поддержка канального решения, требует расходов на персонал, которой бы обеспечивал работу с ним.
Учитывая тенденцию рынка, будущее за периметральными решениями. В частности, это подтверждает рост акций публичных компаний, производящих периметральные решения, и их скупка монстрами рынка ИБ -- Cisco, ISS, McAfee, Symantec, IBM и др. Так, в феврале 2006 г. корпорация Symantec купила компанию IMlogics, чтобы добавить к числу покрываемых каналов интернет-пейджеры. Сейчас же Symantec ведет переговоры о покупке Vontu, чтобы добавить почту и Интернет, а потом выпустить единое периметральное решение. В свою очередь, в октябре 2006 г. фирма McAfee купила компанию Onigma, чтобы добавить в свои продукты функциональность для контроля над новыми каналами. Аналогично поступили WebSense (поглотила PortAuthority в декабре 2006 г.), IBM (купила Consul в декабре 2006 г.), Cisco (поглотила IronPort в январе 2007 г.).
3.3.3 Защита от угроз
3.3.3.1 Фишинг
Технический способ борьбы с фишингом, является специализированные средства контентной фильтрации, таких как анти-спамфильтры, системы контроля электронной почты, фильтры, обеспечивающие фильтрацию сообщений интернет_пейджеров и т.п. Данные системы выделяют из потока фишинг-сообщения, применяя следующие способы:
· Блокирование спама. В большинстве случаев фишинг-сообщения распространяются с помощью массированных спам-атак через каналы электронной почты и средства диалогового обмена сообщениями (интернетпейджеры). При этом применяются различные технологии определения спама.
· Проверка содержимого писем на наличие признаков фишинг-сообщений.
· Проверка наличия адреса сайта в списках «фальшивых» веб-ресурсов. Данные списки составляются компаниями-производителями средств контентной фильтрации и антивирусов и распространяются по подписке наряду с другими базами данных.
· Применение технологии анти-спуфинга (anti-spoofing), то есть создание системы аутентификации интернет-адресов для проверки соответствия введенного пользователем адреса настоящему серверу. Данная технология позволяет бороться с подменой DNS на целевой сайт или другими способами перенаправления сетевого трафика.
· Эвристический анализ. Позволяет выявить в поступившем пользователю сообщении признаки, совокупность которых дает возможность установить принадлежность к фишинг-атаке. (Например, установить факт того, что сайт является незаконным, возможно по расположению сервера с сайтом, на который указывает ссылка в письме, за пределами зоны Рунета, хотя пользователь и организация, куда он обращается, являются российскими).
Антивирусная фильтрация и проверка на наличие шпионских программ позволяют значительно снизить уровень воздействие фишинг-атак на сеть. Целью многих подобных атак является установка на компьютере пользователя троянцев или программ-шпионов, дающая возможность злоумышленнику в последующем получить доступ к персональным данным пользователя. Поэтому средства, которые способны выявлять вредоносный код, являются неотъемлемой частью системы безопасности, предназначенной для защиты от фишинга.
Существует еще несколько решений актуальны для людей, которые часто осуществляют электронные платежи с использованием своих банковских карт:
· Генераторы одноразовых паролей.
· Использование USB-устройств.
· Мобильное подтверждение оплат.
· Хеширование паролей конкретного WEB-сайта.
3.3.3.2 Фарминг
При пользовании браузером надо принимать дополнительные меры безопасности для защиты от фарминг-атак. Они должны включать подтверждение всех интернет-адресов, набранных в строке браузера. Необходимы протоколы аутентификации, согласно которым каждый веб-сайт будет публиковать свой IP-адрес для проверки его браузером. Усложнение процедуры идентификации пользователя при работе с онлайновыми формами регистрации дает дополнительную гарантию защищенности.
Наиболее эффективными средствами борьбы с фармингом можно назвать антивирусные системы, а также межсетевые экраны, средства контроля содержимого электронной почты и анти-спамерские программы. Антивирусные системы выполняют главную задачу - осуществляют поиск троянских программ, межсетевые экраны детектируют подозрительную активность, происходящую на компьютерах, средства контроля электронной почты обеспечивают мониторинг подозрительных писем, анти-спамерские программы предотвращают поступление пользователям спама, в котором содержится вредоносный мобильный код.
3.3.3.3 Вредоносные программы
Наиболее эффективными средствами борьбы с червями являются антивирусные программы, которые активно используют технологию контентной фильтрации. В частности, благодаря детектированию червей в запакованных и архивных файлах (в том числе закрытых паролями), а также применению различных способов предварительного анализа сообщений с исполняемыми файлами, удается перехватывать зараженные письма на самых ранних стадиях распространения. Сегодня для борьбы с червями широко применяются различные методики борьбы со спамом (или spim), поскольку все последние массовые атаки производились при помощи спам-рассылок.
Борьба с «троянскими конями» также эффективно ведется с помощью антивирусного программного обеспечения, работающего как на сетевом, так и на пользовательском уровнях. Эти средства обнаруживают большинство троянцев и пресекают их распространение. Основными методами их обнаружения являются: проверка сигнатуры кода, эвристический анализ и блокировка подозрительного поведения программ. Но 100% антивирусные средства не решают свою задачу, т.к. для сокрытия своего присутствия в системе некоторые троянские программы применяют специальные stealth-технологии, благодаря которым их действия практически незаметны для антивирусных средств. Примером является так называемая rootkit-технология Термин rootkit, который сейчас часто используется для обозначения stealth-технологий, применяемых авторами троянских программ под Windows, пришел из мира UNIX. Изначально он обозначал набор программ, позволяющих хакеру закрепиться на взломанной машине и предотвратить свое обнаружение. Для этого подменяются системные исполняемые файлы (login, ps, ls, netstat и т.п.) или системные библиотеки (libproc.a), либо устанавливается модуль ядра - все с той же целью: перехватить попытки пользователя получить истинную информацию о том, что происходит на его компьютере. В последнее время использование rootkit-технологий для сокрытия присутствия вредоносного ПО становится все более популярным, что подтверждается стабильным ростом количества обнаруживаемых новых rootkit-программ.. Также, существуют троянские программы, для которых практически невозможно создать эвристические методы детектирования, а разовость их применения дает им шанс никогда не попасть в антивирусные базы - в отличие от червей, расходящихся по миру миллионами копий.
3.3.3.4 Потенциально опасные программы
Достаточно новый вид угроз, к которому специалисты в области ИБ начинают относиться с пристальным вниманием.
Борьба с программами-шпионами должна вестись постоянно. Вне зависимости от того, установлена в системе anti-spyware или нет, необходимо регулярно проверять жесткие диски корпоративных пользователей на наличие потенциально опасных программ. Если они есть на компьютере, то администратору придется в каждом отдельном случае принимать решение о том, является ли данная программа вредоносной. Есть несколько параметров, влияющих на такое решение: устанавливал ли пользователь ее самостоятельно, или она поставляется в составе операционной системы, существовала ли какая-нибудь подозрительная активность данной программы и т.п. После проведения такой инспекции необходимо поставить под контроль установку всех новых программ и на постоянной основе осуществлять мониторинг активности утилит данного класса.
Пути защиты от программ-шпионов:
1. Блокировка доступа к инфицированным сайтам. Многие специализированные средства борьбы с программами-шпионами и антивирусные программы имеют в своем составе базы данных соответствующих ресурсов в сети.
2. Контроль за действиями пользователей, обеспечивающий инсталляцию и применение только авторизованного программного обеспечения.
3. Фильтрация HTTP, FTP, SMTP трафиков, мониторинг использования IM и Р2Р-приложений с целью блокировки загрузки потенциально опасных программ в момент передачи данных по каналам Интернета.
4. Анализ и блокировка подозрительной активности программ.
Необходимо разворачивать системы инвентаризации ПО на пользовательских станциях, вести базу данных с реестром установленного ПО как на пользовательских станциях, так и на серверах. Регулярно запускать сетевой сканер и сопоставлять полученные результаты с имеющимся уже реестром.
Spyware - это совокупность нескольких угроз, поэтому требуется многоуровневая защита, которая должна предусматривать введение в компании политики безопасности, обучение пользователей, постоянный мониторинг всех процессов, происходящих в корпоративной сети, внедрение как по периметру корпоративной сети, так и на отдельных рабочих станциях средств защиты от программ-шпионов. К таким средствам относятся: межсетевые экраны, входящие, как правило, в их состав системы предотвращения вторжений (Intrusion prevention systems), антивирусные программы, а также специализированные программы-детекторы (например, изменения или попытки записи в реестр).
3.3.3.4.1 Рекламные коды или adware
В большинстве случаев помогает применение программ-чистильщиков. Антивирусные же средства не помогают, поскольку adware - не вирусы, они не распространяются самостоятельно. Единственно эффективное противодействие состоит в соблюдении правил личной компьютерной гигиены. О наличии spyware на своей машине пользователь может и не догадываться, но adware не заметить невозможно. Данный софт, распространяющийся точно так же, как и программы-шпионы, подвергает пользователя принудительной демонстрации рекламы. После появления такой рекламы необходимо постоянно запускать программы-чистильщики, которые локализуют adware-программу. Помощь в детектировании рекламных кодов могут оказать межсетевые экраны, способные установить отправку третьим лицам информации о посещаемых сайтах и вводимых владельцем компьютера данных.
3.3.3.5 Спам
«Спам - непобедим!» К сожалению, это актуальный лозунг. Все решения по началу эффективны, через некоторое время они становятся малопригодны. Маркетинговые заявления компаний-производителей специализированных решений, что их средства способны блокировать 99% спама, остаются только заявлениями. Со спамом необходимо бороться только используя множество разных подходов.
Выделяя две основные особенности спамерских рассылок, можно подстраивать различные специализированные антиспам-фильтры и системы контроля электронной почты. При этом последние, как правило, имеют в своем составе отдельные модули, позволяющие рассматривать спам как одну из категорий писем, которые необходимо определить и отфильтровать.
Обнаружить спам помогают следующие моменты:
· Спам-сообщение содержит информацию (рекламу) от заказчика рассылки, то есть произвольного текста в нем быть не может, там будет описан рекламируемый продукт или услуга.
· Спам-сообщение должно легко читаться. Оно не может быть зашифровано, основной объем содержится в составе сообщения. Количество случайных последовательностей («мусора»), видимых пользователем, должно быть небольшим. При нарушении этих правил снижается читаемость, а следовательно, и отклик на рекламу.
3.3.3.6 On-line игры
Необходимо внедрить в компании специализированные средства контроля обеспечивающие выполнением положения политики ИБ. К ним относятся межсетевые экраны с возможностью контентной фильтрации и специализированные системы контроля веб-трафика, обеспечивающие фильтрацию http-трафика.
3.3.3.7 Приложения класса peer-to-peer
В качестве средств, препятствующих загрузке и исполнению Р2Р-приложений, могут служить установленные системы предотвращения вторжений (Intrusion prevention Systems), которые осуществляют мониторинг трафика внутри корпоративной сети. Они проводят мониторинг Р2Р-трафика и блокировку портов соединения. Межсетевые экраны способны обеспечить мониторинг загрузки определенных типов файлов, характерных для Р2Р-трафика (*.mp3, *.wma, *.avi, *.mpg, *.mpeg, *.jpg, *.gif, *.zip, *.torrent, а также *.exe). С помощью антивирусного ПО сканируется Р2Р-трафик на наличие вредоносных программ и червей. Значительно помогает мониторинг свободного дискового пространства корпоративных файловых систем и рабочих станций пользователей. Резкое сокращение объемов хранения данных является одним из признаков работы Р2Рприложений.
Для обработки p2p-трафика существуют следующие решения:
· SurfControl Instant Messaging Filter, который обрабатывает p2p наравне с обработкой мгновенных сообщений;
· пакет Websense Enterprise также предоставляет пользователям средства для контроля p2p-трафика;
· Webwasher Instant Message Filter позволяет контролировать доступ к различным p2p-сетям.
Использование этих или других продуктов резко сокращает риски, связанные с доступом пользователей к p2p-сетям.
3.3.3.8 Фильтрация мгновенных сообщений
Обычно продукты для контроля IM-трафика реализуются как прикладной шлюз, выполняющий разбор передаваемых данных и блокирующий передачу запрещенных данных. Однако есть и реализации в виде специализированных серверов IM, которые осуществляют необходимые проверки на уровне сервера.
Наиболее востребованные функции продуктов для контроля IM_трафика:
* управление доступом по отдельным протоколам;
* контроль используемых клиентов и т.п.;
* контроль доступа отдельных пользователей:
*разрешение пользователю общения только в пределах компании;
*разрешение пользователю общения только с определенными пользователями вне компании;
* контроль передаваемых текстов;
* контроль передачи файлов. Объектами контроля являются:
*размер файла;
*тип и/или расширение файла;
* направление передачи данных;
* контроль наличия вредоносного содержимого;
* определение SPIM;
* сохранение передаваемых данных для последующего анализа.
В настоящее время контроль за передачей мгновенных сообщений позволяют выполнять следующие продукты:
· CipherTrust IronIM компании Secure Computing. Данный продукт имеет поддержку протоколов AIM, MSN, Yahoo! Chat, Microsoft LCS и IBM SameTime. Сейчас это одно из самых полных решений;
· IM Manager компании Symantec (разработан компанией IMLogic, которая была поглощена Symantec). Этот продукт имеет поддержку следующих протоколов - Microsoft LCS, AIM, MSN, IBM SameTime, ICQ и Yahoo! Chat;
· Antigen for Instant Messaging компании Microsoft также позволяет работать практически со всеми популярными протоколами для передачи мгновенных сообщений;
· Webwasher Instant Message Filter, компании Secure Computing.
Продукты других компаний (ScanSafe, ContentKeeper) обладают меньшими возможностями по сравнению с перечисленными выше. Стоит отметить, что две российские компании - «Гран При» (продукт «SL-ICQ») и «Мера.ру» (продукт «Сормович») - предоставляют продукты для контроля за передачей сообщений с использованием протокола ICQ.
3.3.3.9 Фильтрация VoIP
Большинство имеющихся на данный момент продуктов можно разделить на две категории:
· продукты, которые позволяют определить и блокировать VoIP-трафик;
· продукты, которые могут определить, захватить и проанализировать VoIP_трафик.
К первой категории можно отнести следующие продукты:
· продукты компании «Dolphian», позволяющие определить и разрешить или запретить VoIP_трафик (SIP и Skype), который инкапсулирован в стандартный HTTP_трафик;
· продукты компании Verso Technologies;
· разные виды межсетевых экранов, обладающие такой возможностью.
Ко второй категории продуктов относятся:
· продукт российской компании «Сормович» поддерживает захват, анализ и сохранение голосовой информации, которая передается по протоколам H.323 и SIP;
· библиотека с открытым кодом Oreka (http://oreka.sourceforge.net/) позволяет определить сигнальную составляющую звукового трафика и выполнить захват передаваемых данных, которые затем можно проанализировать другими средствами;
· недавно стало известно, что разработанный фирмой ERA IT Solutions AG продукт позволяет перехватывать VoIP-трафик, передаваемый при помощи программы Skype. Но для выполнения такого контроля необходимо установить специализированный клиент на компьютер, на котором работает Skype.
3.3.4 Unified Threat Management
Решения, соответствующие концепции Unified Threat Management, предлагаются многими производителями средств защиты. Как правило, они построены на базе межсетевых экранов, которые кроме основных функций выполняют еще и функции контентной фильтрации данных. Как правило, эти функции сосредоточены на предотвращении вторжений, проникновения вредоносного кода и нежелательных сообщений.
Многие из таких продуктов реализуются в виде аппаратно-программных решений, которые не могут полностью заменить решения для фильтрации почтового и интернет-трафика, поскольку работают лишь с ограниченным числом возможностей, предоставляемых конкретными протоколами. Обычно их используют для того, чтобы избежать дублирования функций в разных продуктах, и для обеспечения гарантий, что все прикладные протоколы будут обрабатываться в соответствии с одной базой известных угроз.
Наиболее популярными решениями концепции Unified Threat Management являются следующие продукты:
· SonicWall Gateway Anti-Virus, Anti-Spyware and Intrusion Prevention Service обеспечивает антивирусную и другую защиту данных, передаваемых по протоколам SMTP, POP3, IMAP, HTTP, FTP, NetBIOS, протоколам Instant Messaging и многим потоковым протоколам, применяемым для передачи аудиои видеоинформации;
· серия устройств ISS Proventia Network Multi-Function Security, выполненных в виде программно-аппаратных комплексов, обеспечивает блокировку вредоносного кода, нежелательных сообщений и вторжений. В поставку включено большое число проверок (в том числе и для VoIP), которые могут быть расширены пользователем;
· аппаратная платформа Network Gateway Security компании Secure Computing, кроме защиты от вредоносного кода и нежелательных сообщений, также имеет поддержку VPN. В составе этой платформы объединены практически все решения Secure Computing.
3.3.5 Перехват данных
Перехват данных (Lawful interception) практически всегда использовался спецслужбами для сбора и анализа передаваемой информации. Однако в последнее время вопрос перехвата данных (не только Интернет-трафика, но и телефонии, и других видов) стал очень актуальным в свете борьбы с терроризмом. Даже те государства, которые всегда были против таких систем, стали использовать их для контроля за передачей информации.
Поскольку перехватываются различные виды данных, часто передаваемые по высокоскоростным каналам, то для реализации таких систем необходимо специализированное программное обеспечение для захвата и разбора данных и отдельное программное обеспечение для анализа собранных данных. В качестве такового может использоваться ПО для контентной фильтрации того или иного протокола.
Пожалуй, самой известной из таких систем является англо-американская система Echelon, которая долго использовалась для перехвата данных в интересах различных ведомств США и Англии.
Среди российских продуктов можно упомянуть решения от компании «Сормович», позволяющее захватывать и анализировать почтовый, звуковой и Интернет-трафик.
3.3.6 Ограничения хищения баз данных
Для уменьшения воровства клиентских баз, рекомендуется вводить в корпоративные информационные системы CRM системы. При этом ответственность за внесение данных, ведение клиентских списков в базе CRM должен отвечать только один человек, у остальных нет на это просто прав. Также, запрещается действия экспорта данных из БД CRM в любом виде и формате, как и выделение списков клиентов и копирование их в буфер, для последующего сохранения в допустимом на для оператора ПК формате. Такими правами наделяется только администратор CRM. При необходимости осуществления выгрузок, должны подаваться в письменном виде служебные записки с разъяснением для каких целей это нужно куда передается и кто несет последующую ответственность за подписью генерального директора или куратора по безопасности и коммерческого директора.
3.3.7 Сводная таблица угроз и защиты от них
4. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ
Настоящая работа не включает конкретного задания на проектирование и разработку той или иной системы, как и не включает задание на проведение информационного и управленческого аудита компании. Последнее, наиболее трудоемкая задача. Как и любая задача по написанию пакета руководящих документов, включающих систематизацию управления предприятием, отражающих бизнес-процессинг предприятия, вырабатывающих целевую стратегию предприятия в целом и в частных случаях. Часто, это связано с недостаточной компетентностью руководителей высшего и среднего звена в вопросах информационных рисков, так и в вопросах управления в целом. Усложняет ситуацию нежелание руководства компаний тратить финансы на обучения персонала предприятий начиная от рядовых сотрудников до руководителей всех звеньев. Описание собственных рабочих процессов подразделений, вверенных в подчинение руководителей, за работу которых они отвечают, редко бывает задокументировано и описано. Например, те же должностные инструкции сотрудников и устав подразделений, носит больше условный характер, нежели определяет порядок работы как самого сотрудника в подразделении, так и его связь с другими подразделениями предприятия. Трудовые договора имеют множество недочетов и допускают множество рисков. О чем узнается в последствие, и принимаются соответствующие действия, либо соответствующие выводы не делаются и все пускается на самотек. Ответственности сотрудников на предприятии за использование служебной информации и иные средства производства, и активы компании, не описана, либо описана недопустимо обзорно.
В предыдущих частях, было показано, насколько данный информационный риск опасен. В виду своей сложности, его часто не учитывают. Данную работу можно использовать полностью или частично, т.к. она носит универсальный характер при проведении информационного аудита для выявления и анализа социотехнических рисков. Будим предполагать, что в компании существует политика информационной безопасности. Очень часто, она не учитывает риски, в основе которых лежат социотехнические методы. В настоящее время Российский рынок испытывает дефицит квалифицированных кадров, и учет подобных рисков накладывает дополнительные требования на работодателя, при подборе персонала. В связи с чем, квалификация подбираемого персонала в среднем, на большинство представленных компаниями вакансий, отвечает требованиям только на 40%-60%. Более того, не каждая компания, способна задавать четкие требования для соискателей. Такой подход создает дополнительные риски.
Попытаемся определить примерные затраты, на осуществление доработок документационной, управленческой и технической базы, учитывающих риски связанные с применением социальной инженерии. Будит предложенная достаточно емкая процедура, результаты которой могут быть использованы для управленческого аудита, который сегодня является одним из самых дорогих. В последствии, затраты на данный вид работ можно сопоставить со статистикой потерь компаний (представленной Российским аналитическо-информационным центром Info Watch по итогам 2007 года), вызванных угрозами информационных рисков. Очевидно, что оценка рисков в каждой компании будит собственная. Это связанно со множеством условий которые не входят в рассмотрение нашего проекта в виду значительной сложности такой работы. Данные расчета могут быть учтены в расчете годового бюджета IT-подразделения или подразделении службы информационной безопасности, в обязанности которых входит курировать данный вопрос полностью или частично. Причем, многие пункты в дальнейшем могут быть убраны или учитываться при долгосрочном планировании бюджета на 3-5 года. В проекте не учитывается направленность атаки (т.е. атака может производиться на конкретного сотрудника предприятия, или может осуществляться на предприятие и его ресурсы целиком).
Если в компании отсутствует концепция и политика информационной безопасности, следует в её разработке учесть полученные нами данные. Здесь мы опускаем описание и расчет всего цикла работ, связанного с разработкой и введением в действие данных документов.
В качестве вспомогательного материала, будим использовать подход компании Microsoft, описанный в их документе «Как защитить внутреннюю сеть и сотрудников компании от атак, основанных на использовании социотехники» [26]. Сама структура организационно-экономической части, будет соответствовать пособию в соавторстве М.Ф. Меняев, Б.Д. Бышовец, И.Ф. Пряников «Организационно-экономическая часть дипломных проектов, направленных на разработку программного обеспечения».
4.1 Основные этапы проекта
Предположим сто у Заказчика небольшая компания, имеющая 300-350 единиц автоматизированных рабочих мест, имеется собственное IT-подразделение и служба безопасности. Компания имеет действующую Политику информационной безопасности, пакет внутренних документов по организации работы структурных подразделений, коммуникациям между ними, режимным мероприятиями, корпоративной этикой и т.д.
Планирование содержания работ, формирование последовательности и характеристик этапов выбранных стадий разработки, методик оценок будем структурно описывать в соответствии с ЕСПД ГОСТ 19.102-77 применительно к данному проекту. Структура является общей и может быть в дальнейшем дополнена или сокращена. Здесь приведена универсальная структура, которая может быть использована любой компанией.
Перечень работ по стадиям и этапам приведен в таблице 4.1.
Таблица 4.1. Стадии и этапы проекта для стоимостной оценки
|
Стадии разработки
|
№ этапа
|
Этапы работ
|
Содержание работ
|
|
|
1. Техническое задание
|
1
|
Обоснование необходимости проектирования системы защиты от социотехнических угроз
|
Предварительный сбор данных о возможности использования внешних и внутренних социотехнических каналов.
|
|
|
|
|
Предварительная оценка рисков, анализ и подготовка предварительного решения.
|
|
|
2
|
Разработка стратегии управления обеспечения безопасности и создание рабочей группы
|
Ознакомление с предварительным решением, разработка стратегии управления обеспечения безопасности.
|
|
|
|
|
Создание рабочей группы, определение и утверждение системы коммуникаций между участниками проекта.
|
|
|
|
|
Решение организационно-технических вопросов.
|
|
|
|
|
Разработка системы контроля и отчетности за выполнением хода работы.
|
|
|
3
|
Научно-исследовательские работы, создание модели «как есть»
|
Сбор исходных данных, учитывающих выявленные ранние уязвимости корпоративной среды и включающие всевозможные направления проведения атаки.
|
|
|
|
|
Изучение корпоративной документации (ПИБ, структуры взаимодействия подразделений, нормы поведения, режимные, коммуникационная между подразделениями, должностные инструкции, уставы подразделений, трудовые договора и т.д.).
|
|
|
|
|
Проведение информационно-технологического анализа (анализ системы документооборота и схем потоков данных, анализ структуры данных, анализ аппаратной составляющей, анализ используемых офисных технологий).
|
|
|
|
|
Проведение кадрового и социально-психологического анализа (анализ кадрового потенциала, диагностика социально-психологического состояния коллектива, анализ информационной структуры и организационной культуры).
|
|
|
|
|
Исследование потребностей компании в тех или иных сервисах.
|
|
|
|
|
Исследование возможностей существующего серверного, сетевого оборудования и программного обеспечения, анализ их настроек.
|
|
|
|
|
Разработка и реализация ряда тестов, имитирующие атаки по социотехническим каналам.
|
|
|
|
|
Анализ, систематизация и классификация полученных данных, создание модели «как есть».
|
|
|
4
|
Создание модели «как должно быть»
|
Оценка информационных рисков и создание модели «как должно быть», презентация полученных моделей и результатов исследований.
|
|
|
5
|
Разработка и утверждение технического задания
|
Создание технико-экономического обоснования, а также пакетов рекомендаций и календарного плана для каждого пакета.
|
|
|
|
|
Согласование и утверждение ТЗ вместе с календарным планом работ, и предварительным бюджетом
|
|
|
2. Технический проект
|
6
|
Разработка портфеля документов, планов и процедур его внедрения
|
Написание политик учитывающие социотехнические угрозы, доработка/разработка других корпоративных документов.
|
|
|
|
|
Работа с менеджером по персоналу и юристом по внесению пункта о необходимости соблюдения политик в контракты с сотрудниками и подрядчиками, выработка рекомендаций для разработки профессиограмм и партнерских договоров.
|
|
|
|
|
Работа с директором по безопасности, внесение ряда дополнений в режимные документы, изменение ряда процедур и создание новых.
|
|
|
|
|
Разработка плана мероприятий по проведению обучения подразделений компаний, ознакомлением их с различными процедурами и выработки у сотрудников практических навыков.
|
|
|
|
|
Рекомендации по приобретению технических и программных средств.
|
|
|
7
|
Утверждение портфеля документов и плана его внедрения
|
Внесение изменений в структуру работы различных подразделений компании: службы поддержки, секретариата, коммерческих и финансовых отделов, отделов по работе с клиентами и др.
|
|
|
|
|
Рекомендации по настройке оборудования и ПО.
|
|
|
8
|
Разработка вспомогательных инструментов и средств
|
Разработка методик тестирования политик и набора различных тестов для всевозможных социотехнических каналов.
|
|
|
|
|
Создание наглядных пособий, роликов и набора практических заданий, для проведения обучения персонала современным и потенциально-возможным социотехническим атакам.
|
|
|
3. Рабочий проект
|
9
|
Технические работы по настройке ПО и оборудования
|
Настройка средств внутреннего и внешнего периметра безопасности корпоративной сети, документирование настроек.
|
|
|
10
|
Информирование и обучение сотрудников
|
Проведение обучения сотрудников, ознакомление под роспись с нововведенными и измененными документами.
|
|
|
|
|
Тестирование политик.
|
|
|
|
|
Анализ результатов, внесение дополнений в документацию и разработка оптимальных способов информирования сотрудников.
|
|
|
|
|
Создание внутренней группы инструкторов, в обязанности которых будит входить регулярные занятия с сотрудниками компании. Обучение их и обеспечение соответствующим материалом.
|
|
|
11
|
Создание механизмов и процедуры управления инцидентами
|
Разработка процедуры реагирования на инциденты.
|
|
|
|
|
Проведение аудита и в зависимости от угрозы корректировка/создание политик и процедур.
|
|
|
|
|
Информирование сотрудников компании об изменениях в процедурах и политиках, при необходимости проведение обучения.
|
|
|
4. Внедрение
|
12
|
Подготовка модели «как сделано», передача портфеля документов и вспомогательных инструментов
|
Проведение информационного аудита, интервирование персонала, документирование текущего состояния введенной структуры, подготовка модели «как сделано».
|
|
|
|
|
Передача пакета документов Заказчику, вместе с пакетом рекомендации по поддержанию разработанной структуры и рекомендаций для новых проектов и внесению дополнений, а также наборов типовых форм и шаблонов документов.
|
|
|
13
|
Сопровождение
|
Обучение администратора безопасности.
|
|
|
|
|
Заключение договора на сопровождение и проведение периодического информационного аудита и обучение сотрудников.
|
|
|
4.2 Расчет трудоемкости проекта
Общие затраты труда на разработку и внедрение проекта определяются следующим образом:
(1)
где - затраты труда на выполнение i-го этапа проекта.
При оценке продолжительности работ используется варианта экспертной оценки. В качестве экспертов выступает сотрудники со стороны компании Исполнителя проекта, которая специализируется по вопросам проведения информационного аудита, оценкой информационных рисков и комплексной защите информации. Дополнительно, в качестве экспертов на отдельных этапах работы, могут выступать сотрудники IT подразделения и топ-менеджмент самой компании Заказчика, в которой требуется проводить аудит. К сожалению, редкие проекты завершаются в те сроки, которые закладываются на начальных этапах. Это обусловлено очень многими причинами. Чаще всего организационными, организационно-структурными и управленческими, отсутствием ряда стратегий и политик в компании, жестким ограничением бюджета на проект и другими. Для гарантированного получения результата проекта, отмечу, что со стороны руководителя проекта как Заказчика, так и Исполнителя, важны выраженные качества лидера имеющего должное уважение и полномочия в коллективе. Нацеленность на получение конечного результата, слаженность и четкость работы команды с распределенными обязанностями, оперативность и коммуникативность при координации работ, профессионализм в подходе к выполнению работы, умение ощутить критические точки на любом временном участке жизни проекта - все это влияет на продолжительность работ.
При экспертной оценке ожидаемая продолжительность работ вычисляется по следующей формуле:
(2)
где и - минимальная и максимальная оценки продолжительности работы.
В таблице 4.2 представлено содержание всех этапов разработки с указанием значений продолжительности их выполнения.
Таблица 4.2. Продолжительность этапов проекта.
|
Этап
|
№ работы
|
Содержание работы
|
Продолжительность, чел/дни
|
|
|
|
|
|
|
|
|
|
|
1
|
1
|
Предварительный сбор данных о возможности использования внешних и внутренних социотехнических каналов.
|
10
|
16
|
12
|
16
|
|
|
2
|
Предварительная оценка рисков, анализ и подготовка предварительного решения.
|
3
|
5
|
4
|
|
|
|
2
|
3
|
Ознакомление с предварительным решением, разработка стратегии управления обеспечения безопасности.
|
4
|
6
|
5
|
10
|
|
|
4
|
Создание рабочей группы, определение и утверждение системы коммуникаций между участниками проекта.
|
2
|
3
|
3
|
|
|
|
5
|
Решение организационно-технических вопросов.
|
1
|
2
|
1
|
|
|
|
6
|
Разработка системы контроля и отчетности за выполнением хода работы.
|
1
|
1
|
1
|
|
|
|
3
|
7
|
Сбор исходных данных, учитывающих выявленные ранние уязвимости корпоративной среды и включающие всевозможные направления проведения атаки.
|
6
|
8
|
7
|
63
|
|
|
8
|
Изучение корпоративной документации (ПИБ, структуры взаимодействия подразделений, нормы поведения, режимные, коммуникационная между подразделениями, должностные инструкции, уставы подразделений, трудовые договора и т.д.).
|
8
|
10
|
9
|
|
|
|
9
|
Проведение информационно-технологического анализа (анализ системы документооборота и схем потоков данных, анализ структуры данных, анализ аппаратной составляющей, анализ используемых офисных технологий).
|
7
|
10
|
8
|
|
|
|
10
|
Проведение кадрового и социально-психологического анализа (анализ кадрового потенциала, диагностика социально-психологического состояния коллектива, анализ информационной структуры и организационной культуры).
|
22
|
25
|
23
|
|
|
|
11
|
Исследование потребностей компании в тех или иных сервисах.
|
1
|
1
|
1
|
|
|
|
12
|
Исследование возможностей существующего серверного, сетевого оборудования и программного обеспечения, анализ их настроек.
|
2
|
4
|
3
|
|
|
|
13
|
Разработка и реализация ряда тестов, имитирующие атаки по социотехническим каналам.
|
6
|
6
|
6
|
|
|
|
14
|
Анализ, систематизация и классификация полученных данных, создание модели «как есть».
|
5
|
8
|
6
|
|
|
|
4
|
15
|
Оценка информационных рисков и создание модели «как должно быть», презентация полученных моделей и результатов исследований.
|
4
|
4
|
4
|
4
|
|
|
5
|
16
|
Создание технико-экономического обоснования, а также пакетов рекомендаций и календарного плана для каждого пакета.
|
5
|
7
|
6
|
11
|
|
|
17
|
Согласование и утверждение ТЗ вместе с календарным планом работ, и предварительным бюджетом
|
5
|
5
|
5
|
|
|
|
6
|
18
|
Написание политик учитывающие социотехнические угрозы, доработка/разработка других корпоративных документов.
|
10
|
10
|
10
|
32
|
|
|
19
|
Работа с менеджером по персоналу и юристом по внесению пункта о необходимости соблюдения политик в контракты с сотрудниками и подрядчиками, выработка рекомендаций для разработки профессиограмм и партнерских договоров.
|
13
|
15
|
14
|
|
|
|
20
|
Работа с директором по безопасности, внесение ряда дополнений в режимные документы, изменение ряда процедур и создание новых.
|
3
|
3
|
3
|
|
|
|
21
|
Разработка плана мероприятий по проведению обучения подразделений компаний, ознакомлением их с различными процедурами и выработки у сотрудников практических навыков.
|
3
|
3
|
3
|
|
|
|
22
|
Рекомендации по приобретению технических и программных средств.
|
2
|
3
|
2
|
|
|
|
7
|
23
|
Внесение изменений в структуру работы различных подразделений компании: службы поддержки, секретариата, коммерческих и финансовых отделов, отделов по работе с клиентами и др.
|
7
|
10
|
8
|
10
|
|
|
24
|
Рекомендации по настройке оборудования и ПО.
|
2
|
3
|
2
|
|
|
|
8
|
25
|
Разработка методик тестирования политик и набора различных тестов для всевозможных социотехнических каналов.
|
7
|
8
|
7
|
15
|
|
|
26
|
Создание наглядных пособий, роликов и набора практических заданий, для проведения обучения персонала современным и потенциально-возможным социотехническим атакам.
|
7
|
10
|
8
|
|
|
|
9
|
27
|
Настройка средств внутреннего и внешнего периметра безопасности корпоративной сети, документирование настроек.
|
3
|
5
|
4
|
4
|
|
|
10
|
28
|
Проведение обучения сотрудников, ознакомление под роспись с нововведенными и измененными документами.
|
13
|
15
|
14
|
28
|
|
|
29
|
Тестирование политик.
|
5
|
5
|
5
|
|
|
|
30
|
Анализ результатов, внесение дополнений в документацию и разработка оптимальных способов информирования сотрудников.
|
5
|
5
|
5
|
|
|
|
31
|
Создание внутренней группы инструкторов, в обязанности которых будит входить регулярные занятия с сотрудниками компании. Обучение их и обеспечение соответствующим материалом.
|
3
|
5
|
4
|
|
|
|
11
|
32
|
Разработка процедуры реагирования на инциденты.
|
2
|
3
|
2
|
7
|
|
|
33
|
Проведение аудита и в зависимости от угрозы корректировка/создание политик и процедур.
|
3
|
3
|
3
|
|
|
|
34
|
Информирование сотрудников компании об изменениях в процедурах и политиках, при необходимости проведение обучения.
|
1
|
3
|
2
|
|
|
|
12
|
35
|
Проведение информационного аудита, интервирование персонала, документирование текущего состояния введенной структуры, подготовка модели «как сделано».
|
10
|
15
|
12
|
17
|
|
|
36
|
Передача пакета документов Заказчику, вместе с пакетом рекомендации по поддержанию разработанной структуры и рекомендаций для новых проектов и внесению дополнений, а также наборов типовых форм и шаблонов документов.
|
4
|
6
|
5
|
|
|
|
13
|
37
|
Обучение администратора безопасности.
|
5
|
5
|
5
|
7
|
|
|
38
|
Заключение договора на сопровождение и проведение периодического информационного аудита и обучение сотрудников.
|
2
|
2
|
2
|
|
|
|
Таким образом, затраты труда при последовательном выполнении всех работ проекта Qp составят 224 человеко-дней. Учитывая, что в месяце 22 рабочих дня, срок выполнения проекта в месячном эквиваленте составит:
224 / 22 = 10,18 месяцев
4.3 Определение численности исполнителей
Экономическая составляющая является если не главным критерием, то одним из основных критериев любого проекта. Численность исполнителей следует определять из временных и экономических рамок Заказчика и заинтересованности Исполнителя в выполнении данного проекта. Очевидно, что любой Исполнитель имеет наибольшую мотивацию выполнения проекта Заказчика, если проект окажется экономически выгодным и сроки его реализации не будут затяжными. Но есть другие аспекты, например интересный (перспективный) заказчик с хорошей репутацией или малоизученная сфера деятельности компании Заказчика и практические наработки в этой сферы для самого Исполнителя будут важны, а также установление партнерских отношений между обеими сторонами и т.д. Все эти аспекты не включены в исследования предпосылок для ведения проекта и оценки его стоимости. Отмечу важный момент. Для достижения взаимовыгодных отношений и получения гарантированного результата по завершению проекта, работа должна проводиться совместно как Исполнителем, так и рабочей группой со стороны Заказчика, которой должен руководить один из управляющих высшего уровня менеджеров Заказчика (заместитель директора, вице-президент, исполнительный директор). Рабочая группа со стороны Заказчика должна включать руководителя IT-подразделения, менеджера по управлению кадрами, руководитель или его заместитель службы безопасности, старшего юристконсультанта и других лиц, в зависимости от сферы деятельности компании и решаемых задач. Такой подход позволит сэкономить затраты на проект, учесть многие нюансы и сама работа аудиторов будит носить прикладной характер, а не теоретический. Результат окажется практичным для Заказчика, а если он сам в дальнейшем будит осуществлять поддержку согласно рекомендациям Исполнителя, последующие затраты на поддержание структуры окажутся на порядок ниже и могут составить в последствии часть бюджета IT-подразделения или дирекции о чем упоминалось выше. Распределение временных затрат со стороны группы Заказчика мы не будим учитывать в расчете. Как правило, со стороны Исполнителя, могут быть даны рекомендации по временным затратам на решение того или иного вопроса в зависимости от квалификации персонала привлеченного к проекту. Далее со стороны Заказчика составляется план-проект с перечнем выполняемых их задач и временными затратами рабочей группы Заказчика указывая конкретных исполнителей и кураторов решаемых вопросов силами самого Заказчика. После этого, два временных плана проектной группы Исполнителя и Заказчика совмещаются и определяются наиболее точные временные рамки всего проекта.
Средняя численность исполнителей при реализации проекта определяется соотношением (3):
( 3)
где Qp - затраты труда на выполнение проекта, F - фонд рабочего времени.
Величина фонда рабочего времени определяется соотношением (4):
( 4)
где Т - время выполнения проекта в месяцах, FM - фонд времени в текущем месяце, который рассчитывается из учета общего числа дней в году, числа выходных и праздничных дней (5):
( 5)
где tp - продолжительность рабочего дня, DK - общее число дней в году, DB - число выходных дней в году, DП - число праздничных дней в году.
Таким образом, месячный фонд рабочего времени имеет следующее значение:
(6).
Заказчик отводит на реализацию проекта не более T = 5 мес. Таким образом, фонда рабочего времени составит
(7),
Исходя из предварительных расчетов, общие затраты труда составят:
(8)
Тогда из отношения (3) средняя численность исполнителей, задействованных в проекте со стороны Заказчика составит:
чел
Продолжительность отдельных работ при одновременном выполнении их несколькими исполнителями (ti) определяется из соотношения (9):
( 9)
где tpp - расчетная продолжительность работы, Wисп - количество исполнителей, КН - коэффициент выполнения нормы.
Зная трудоемкость каждого этапа разработки и требуемые сроки выполнения каждого этапа, можем определить количество исполнителей, занятых в проекте на каждом этапе.
4.4 Сетевая модель проекта
В настоящей работе мы используем для наглядности один из простых секторных методов расчета сетевой модели планирования, это четырехсекторный метод. На его базе разрабатывается информационно-динамическая модель процесса выполнения проекта. Построение сетевой модели включает оценку степени детализации комплекса работ, определение логической связи между отдельными работами и временных характеристик выполнения этапов проекта.
Для построения сетевой модели выделим события и работы. События пронумеруем по порядку от исходного к завершающему. Каждой работе присвоим код, состоящий из номера наступившего события и номера того события, которое достигается в результате выполнения данной работы.
После построения графической модели рассчитываются оставшиеся параметры элементов сети: сроки наступления событий, резервы времени, полный и свободный резервы времени.
Ранний срок совершения события определяет минимальное время, необходимое для выполнения всех работ, предшествующих данному событию и равен продолжительности наибольшего из путей, ведущих от исходного события (0) к рассматриваемому; он рассчитывается с помощью соотношения (10):
(10)
Критический путь - максимальный путь от исходного события (0) до завершения проекта. Его определение выделяет события, совокупность которых имеет нулевой резерв времени.
Все события в сети, не принадлежащие критическому пути, имеют резерв времени Ri, показывающий на какой предельный срок можно задержать наступление этого события, не увеличивая сроки окончания работ (т.е. продолжительности критического пути).
Поздний срок совершения события - максимально допустимое время наступления данного события, при котором сохраняется возможность соблюдения ранних сроков наступления последующих событий. Поздние сроки вычисляются, начиная с последнего события - завершения проекта, по критическому пути (т.е. справа налево по графику). Они равны разности между поздним сроком совершения j-го события и продолжительностью i-j работы. Поздний срок определяется соотношением (11):
(11)
Резерв времени события определяется соотношением (12):
(12)
Полный резерв времени работы следует определить, используя соотношение (13):
(13)
Свободный резерв времени можно определить, применяя соотношение (14):
(14)
Результаты расчетов сведены таблицу 4.3 и отражены на сетевом графике (рис. 4.1.):
Таблица 4.3. Работы с выделенными ресурсами на их выполнение
|
Код работы
|
Ожидаемая продо-сть
|
Содержание работа
|
Выделенный ресурс
|
|
|
|
|
|
|
|
0-1
|
12
|
Предварительный сбор данных о возможности использования внешних и внутренних социотехнических каналов.
|
Администратор безопасности
|
|
|
1-2
|
4
|
Предварительная оценка рисков, анализ и подготовка предварительного решения.
|
Аналитик
|
|
|
2-3
|
5
|
Ознакомление с предварительным решением, разработка стратегии управления обеспечения безопасности.
|
Руководитель проекта
|
|
|
3-4
|
1
|
Решение организационно-технических вопросов.
|
Администратор безопасности
|
|
|
3-5
|
1
|
Разработка системы контроля и отчетности за выполнением хода работы.
|
Консультант по ЗИ
|
|
|
3-6
|
3
|
Создание рабочей группы, определение и утверждение системы коммуникаций между участниками проекта.
|
Руководитель проекта
|
|
|
6-7
|
7
|
Сбор исходных данных, учитывающих выявленные ранние уязвимости корпоративной среды и включающие всевозможные направления проведения атаки.
|
Администратор безопасности
|
|
|
6-8
|
9
|
Изучение корпоративной документации (ПИБ, структуры взаимодействия подразделений, нормы поведения, режимные, коммуникационная между подразделениями, должностные инструкции, уставы подразделений, трудовые договора и т.д.).
|
Аналитик
|
|
|
8-9
|
8
|
Проведение информационно-технологического анализа (анализ системы документооборота и схем потоков данных, анализ структуры данных, анализ аппаратной составляющей, анализ используемых офисных технологий).
|
Администратор безопасности
|
|
|
8-11
|
23
|
Проведение кадрового и социально-психологического анализа (анализ кадрового потенциала, диагностика социально-психологического состояния коллектива, анализ информационной структуры и организационной культуры).
|
Руководитель проекта
|
|
|
9-10
|
1
|
Исследование потребностей компании в тех или иных сервисах.
|
Консультант по ЗИ
|
|
|
10-11
|
3
|
Исследование возможностей существующего серверного, сетевого оборудования и программного обеспечения, анализ их настроек.
|
Администратор безопасности
|
|
|
11-12
|
6
|
Разработка и реализация ряда тестов, имитирующие атаки по социотехническим каналам.
|
Консультант по ЗИ
|
|
|
12-13
|
6
|
Анализ, систематизация и классификация полученных данных, создание модели «как есть».
|
Аналитик
|
|
|
13-14
|
4
|
Оценка информационных рисков и создание модели «как должно быть», презентация полученных моделей и результатов исследований.
|
Аналитик
|
|
|
14-15
|
5
|
Создание технико-экономического обоснования, а также пакетов рекомендаций и календарного плана для каждого пакета.
|
Технический писатель
|
|
|
14-16
|
6
|
Согласование и утверждение ТЗ вместе с календарным планом работ, и предварительным бюджетом.
|
Руководитель проекта
|
|
|
16-17
|
10
|
Написание политик учитывающие социотехнические угрозы, доработка/разработка других корпоративных документов.
|
Технический писатель
|
|
|
17-18
|
3
|
Разработка плана мероприятий по проведению обучения подразделений компаний, ознакомлением их с различными процедурами и выработки у сотрудников практических навыков.
|
Консультант по ЗИ
|
|
|
17-19
|
3
|
Работа с директором по безопасности, внесение ряда дополнений в режимные документы, изменение ряда процедур и создание новых.
|
Аналитик
|
|
|
17-20
|
14
|
Работа с менеджером по персоналу и юристом по внесению пункта о необходимости соблюдения политик в контракты с сотрудниками и подрядчиками, выработка рекомендаций для разработки профессиограмм и партнерских договоров.
|
Руководитель проекта
|
|
|
19-20
|
2
|
Рекомендации по приобретению технических и программных средств.
|
Администратор безопасности
|
|
|
20-21
|
2
|
Рекомендации по настройке оборудования и ПО.
|
Администратор безопасности
|
|
|
20-22
|
8
|
Внесение изменений в структуру работы различных подразделений компании: службы поддержки, секретариата, коммерческих и финансовых отделов, отделов по работе с клиентами и др.
|
Руководитель проекта
|
|
|
22-23
|
4
|
Настройка средств внутреннего и внешнего периметра безопасности корпоративной сети, документирование настроек.
|
Администратор безопасности
|
|
|
22-24
|
7
|
Разработка методик тестирования политик и набора различных тестов для всевозможных социотехнических каналов.
|
Консультант по ЗИ
|
|
|
22-25
|
8
|
Создание наглядных пособий, роликов и набора практических заданий, для проведения обучения персонала современным и потенциально-возможным социотехническим атакам.
|
Технический писатель
|
|
|
25-26
|
14
|
Проведение обучения сотрудников, ознакомление под роспись с нововведенными и измененными документами.
|
Консультант по ЗИ
|
|
|
26-27
|
5
|
Тестирование политик.
|
Администратор безопасности
|
|
|
27-28
|
4
|
Создание внутренней группы инструкторов, в обязанности которых будит входить регулярные занятия с сотрудниками компании. Обучение их и обеспечение соответствующим материалом.
|
Консультант по ЗИ
|
|
|
27-29
|
5
|
Анализ результатов, внесение дополнений в документацию и разработка оптимальных способов информирования сотрудников.
|
Аналитик
|
|
|
29-30
|
7
|
Создание процедуры управления рисками
|
Аналитик
|
|
|
30-31
|
12
|
Проведение информационного аудита, интервирование персонала, документирование текущего состояния введенной структуры, подготовка модели «как сделано».
|
Аналитик
|
|
|
31-32
|
5
|
Передача пакета документов Заказчику, вместе с пакетом рекомендации по поддержанию разработанной структуры и рекомендаций для новых проектов и внесению дополнений, а также наборов типовых форм и шаблонов документов.
|
Руководитель проекта
|
|
|
32-33
|
2
|
Заключение договора на сопровождение и проведение периодического информационного аудита и обучение сотрудников.
|
Руководитель проекта
|
|
|
32-34
|
5
|
Обучение администратора безопасности.
|
Администратор безопасности
|
|
|
По данным таблицы 4.3 построен сетевой график, представленный на рис. 4.1. Сетевой график является уже частично оптимизированным. Те работы, которые возможно проводить параллельно, выделены на графе. Недостатком первого этапа оптимизации временных затрат на выполнение проекта, является предварительный расчет, учитывающий на каждой отдельной работе по одному задействованному исполнителю. Заведомо, квалификация исполнителей при таком подходе должна быть выше, что не всегда оправданно с точки зрения оптимизации затрат. Очень часто, оптимальным является подбор исполнителей, чтобы более дорогой и квалифицированный ресурс был задействован не все 100% времени выполнения отдельной работы, как это отражено в таблице 4.3 и на рис. 4.1, а частично, по необходимости. Остальную работу выполняет менее дорогой ресурс.
Предположим, что для выполнения проекта привлечена группа Заказчика, имеющая в общем составе 5 специалистов для выполнения проекта. На отдельных участках сетевого графика мы можем одновременно задействовать три специалиста из этой группы. В результате был получен критический путь 0-1-2-3-6-8-11-12-13-14-16-17-20-22-25-26-27-29-30-31-32-34 длиной 171 рабочий день. Этот срок на 24% сократил расчетную сумму трудозатрат равную 224 человеко-дня, но не является оптимальным, т.к. Заказчик пожелал отвести на проект срок не более 5 месяцев.
Для того чтобы проект был выполнен в срок, следует осуществить распределение ресурсов рабочей группы Заказчика. Оптимизацию следует провести с учетом разгрузки дорогостоящего ресурса на отдельных работах с учетом привлечения такого ресурса частично, а не на все время выполнения работы. Также, особое внимание должно быть уделено составу рабочей группы Исполнителя на каждой выполняемой работе, чтобы привлечение того или иного специалиста максимально точно и качественно решало конкретную задачу. Причем, следует понимать, что отдельные работы невозможно сократить по сроку исполнения, но возможно уменьшить трудозатраты, что также повлияет на экономию бюджета Заказчика.
Далее в работе будит показано два календарных графика. Один отражает сетевой график таким, как он есть, а второй календарный график будет оптимизирован с учетом привлечения ресурсов, к выполнению отдельно взятым работам. Где возможно, будет сокращена длина критического пути, что в результате приведет к ожидаемому сроку реализации проекта, т.е. пяти месяцам. Последующее сокращение срока выполнения проекта может потребовать значительных затрат со стороны Заказчика и такие меры не рассматриваются в данной работе. Калькуляция обоих календарных графиков по сумме затрат приведена ниже вместе с перераспределенными ресурсами (производная таблица из таблицы 4.3).
4.5 Календарный график выполнения проекта
Первый календарный график на рис. 4.2 построен с учетом таблицы 4.3 и сетевого графика (рис.4.1). Срок исполнения проекта более семи месяцев, предположим, проект начинается с 1 июля 2008 года и должен идти по 20 февраля 2009 года.
Второй календарный график на рис. 4.3 построен с учетом оптимизации рационального использования ресурсов на каждой работе и сокращением критического пути. В результате если проект будет начат 1 июля 2008 года, то 17 ноября он будет завершен.
Оба графика планировались с учетом пятидневной рабочей недели и восьмичасового рабочего дня.
Следующая таблица отражает перераспределение ресурсов и их загрузку на каждом участке работы, а также показывает измененную продолжительность времени выполнения каждой работы. Результатом является диаграмма Гантта на рис. 4.3.
Таблица 4. Перераспределение выделенными ресурсами
|
Код работы
|
Ожидаемая продо-сть
|
Ожидаемая продо-сть
|
Выделенный ресурс (в скобках указана загрузка, если она отлична от 100%)
|
|
|
|
|
|
|
|
0-1
|
12
|
6
|
Администратор безопасности Консультант1 по ЗИ
|
|
|
1-2
|
4
|
2,4
|
Аналитик (60%) Руководитель проекта (40%) Технический писатель (60%)
|
|
|
2-3
|
5
|
3,33
|
Руководитель проекта Технический писатель (50)
|
|
|
3-4
|
1
|
1
|
Администратор безопасности
|
|
|
3-5
|
1
|
1
|
Консультант1 по ЗИ
|
|
|
3-6
|
3
|
3
|
Руководитель проекта (60%)
|
|
|
6-7
|
7
|
4,12
|
Администратор безопасности (70%) Консультант1 по ЗИ
|
|
|
6-8
|
9
|
4,4
|
Руководитель проекта Аналитик
|
|
|
8-9
|
8
|
5
|
Администратор безопасности (60%) Консультант1 по ЗИ (60%) Технический писатель (40%)
|
|
|
8-11
|
23
|
11,5
|
Руководитель проекта Аналитик
|
|
|
9-10
|
1
|
1
|
Консультант1 по ЗИ
|
|
|
10-11
|
3
|
3
|
Администратор безопасности
|
|
|
11-12
|
6
|
4
|
Администратор безопасности (50%) Консультант1 по ЗИ
|
|
|
12-13
|
6
|
3,3
|
Руководитель проекта (10%) Аналитик (30%) Администратор безопасности (40%) Технический писатель
|
|
|
13-14
|
4
|
2,8
|
Аналитик (60%) Технический писатель (90%)
|
|
|
14-15
|
5
|
3,9
|
Руководитель проекта (40%) Аналитик (40%) Технический писатель (50%)
|
|
|
14-16
|
6
|
4,3
|
Руководитель проекта (60%) Аналитик (30%) Технический писатель (50%)
|
|
|
16-17
|
10
|
5,3
|
Руководитель проекта (30%) Аналитик (30%) Администратор безопасности (30%) Технический писатель
|
|
|
17-18
|
3
|
2,7
|
Руководитель проекта (10%) Консультант2 по ЗИ
|
|
|
17-19
|
3
|
3
|
Руководитель проекта (10%) Аналитик (30%) Администратор безопасности (60%)
|
|
|
17-20
|
14
|
7,6
|
Руководитель проекта (80%) Аналитик (70%) Консультант1 по ЗИ (70%)
|
|
|
19-20
|
2
|
2
|
Администратор безопасности
|
|
|
20-21
|
2
|
2
|
Администратор безопасности
|
|
|
20-22
|
8
|
4
|
Руководитель проекта (53%) Аналитик (53%)
|
|
|
22-23
|
4
|
4
|
Администратор безопасности
|
|
|
22-24
|
7
|
4,7
|
Руководитель проекта (10%) Аналитик (30%) Технический писатель (10%) Консультант1 по ЗИ
|
|
|
22-25
|
8
|
4,9
|
Руководитель проекта (20%) Технический писатель (90%) Консультант2 по ЗИ (60%)
|
|
|
25-26
|
14
|
6,4
|
Руководитель проекта (20%) Консультант1 по ЗИ Консультант2 по ЗИ
|
|
|
26-27
|
5
|
5
|
Руководитель проекта (10%) Консультант1 по ЗИ (50%) Консультант2 по ЗИ (50%) Администратор безопасности (50%)
|
|
|
27-28
|
4
|
2,9
|
Консультант1 по ЗИ Консультант2 по ЗИ (40%)
|
|
|
27-29
|
5
|
4
|
Руководитель проекта (30%) Аналитик (60%) Администратор безопасности (40%) Технический писатель (60%)
|
|
|
29-30
|
7
|
4
|
Руководитель проекта (30%) Аналитик (50%) Консультант1 по ЗИ (60%) Технический писатель (60%)
|
|
|
30-31
|
12
|
4,4
|
Руководитель проекта (50%) Аналитик (50%) Консультант1 по ЗИ (70%) Технический писатель (60%)
|
|
|
31-32
|
5
|
3,5
|
Руководитель проекта (80%) Технический писатель (80%)
|
|
|
32-33
|
2
|
2
|
Руководитель проекта (60%)
|
|
|
32-34
|
5
|
5
|
Администратор безопасности
|
|
|
Таким образом, мы вписываемся в установленный Заказчиком график. Более того, остается полторы-две недели резервного времени до граничащего срока и в связи с этим могут быть внесены некоторые доработки, пожелания, либо сокращенны на отдельных работах трудозатраты. Дополнительно к группе Заказчика был привлечен еще один специалист, который помог более целесообразно распорядиться трудовыми ресурсами. Насколько оптимизированный календарный план по финансовой составляющей приемлем, нежели первый календарный график, и как финансово отразиться увеличение группы Заказчика на одну единицу, можно судить по сводной таблице расходов на заработную плату группы Заказчика приведенную ниже.
4.6 Анализ структуры затрат проекта
Затраты на выполнение проекта состоят из прямых затрат (на заработную плату исполнителям, затрат на закупку или аренду оборудования, затрат на организацию рабочих мест), и косвенных затрат (на т.н. накладные расходы) (16):
(16)
где СЗАРП - заработная плата исполнителей, СОБ - затраты на обеспечение необходимым оборудованием, СОРГ - затраты на организацию рабочих мест, СНАКЛ - накладные расходы.
При этом заработная плата исполнителям определяется из соотношения (17)
(17)
где СЗ.ОСН - основная заработная плата, СЗ.ДОП - дополнительная заработная плата, , СЗ.ОТЧ - отчисление с заработной платы.
Рассчитаем все по порядку.
Расчёт заработной платы исполнителям проекта.
Основная заработная плата определяется на основе данных по «дневному» окладу и графику занятости исполнителей (18):
(18)
где - дневной оклад исполнителя, - число дней, отработанных исполнителем. При 8-и часовом рабочем дне дневной оклад рассчитывается по соотношению (19):
(19)
где - месячный оклад, - месячный фонд рабочего времени.
Расчет заработной платы представлен в таблицах 4.5 и 4.6. Ранее был рассчитан месячный фонд рабочего времени, который равен 165,3 час/месяц. Размеры месячных окладов приведены в соответствии с информацией, полученной из интернет-агенств по трудоустройству www.headhunter.ru, www.vacansia.ru. Таблица 4.5 отражает первичный расчет заработной платы группы Исполнителя, соответствующий первой диаграмме Гантта на рис. 4.2 и таблице 4.3 с предварительными расчетами.
Таблица 4.5. Первичный расчет основной заработной платы исполнителей.
|
№
|
Наименование должности
|
Оклад, руб
|
Дневной оклад, руб
|
Труд. затраты
|
Зарплата, руб.
|
|
|
1
|
Руководитель проекта
|
60000
|
2903,8
|
66
|
191650,8
|
|
|
2
|
Аналитик
|
50000
|
2419,8
|
50
|
120990
|
|
|
3
|
Эксперт по сетевой безопасности (Администратор безопасности)
|
42000
|
2032,7
|
49
|
99602,3
|
|
|
4
|
Консультант по защите информации
|
37000
|
1790,7
|
36
|
64465,2
|
|
|
5
|
Технический писатель
|
30000
|
1451,9
|
23
|
33393,7
|
|
|
Итого:
|
510102
|
|
|
Сумма для подобного проекта адекватна, она составляет 22000 у.е. Так, при внедрении CRM, ERP системы с 5%-10% доработки системы под Заказчика требуется заплатить от 50% до 100% от стоимости внедрения. При этом требуется немалое время на проведение управленческого аудита, для последующей оптимизации бизнес-процессов компании. Системы среднего и начального уровня представленные сегодня на рынке стоят от 45000 у.е. (например MS CRM Dynamics 3.0 и 4.0).
Тем не менее, данная сумма рассчитан для срока проекта, который не вписывается в желаемый интервал. После оптимизации ресурсов и введение дополнительной единицы в группу Заказчика, получаем расчет основной заработной платы группы Исполнителя, приведенный в таблице 4.6.
Таблица 4.6. Расчет основной заработной платы исполнителей после оптимизации затрат.
|
№
|
Наименование должности
|
Оклад, руб
|
Дневной оклад, руб
|
Труд. затраты
|
Зарплата, руб.
|
|
|
1
|
Руководитель проекта
|
60000
|
2903,8
|
48
|
139 382,4
|
|
|
2
|
Аналитик
|
50000
|
2419,8
|
40
|
96 792
|
|
|
3
|
Эксперт по сетевой безопасности (Администратор безопасности)
|
42000
|
2032,7
|
39
|
79 275,3
|
|
|
4
|
Консультант по защите информации 1
|
37000
|
1790,7
|
44
|
78 790,8
|
|
|
5
|
Консультант по защите информации 2
|
37000
|
1790,7
|
14
|
25 069,8
|
|
|
6
|
Технический писатель
|
30000
|
1451,9
|
34
|
49 364,6
|
|
|
Итого:
|
468 675
|
|
|
Таким образом, за счет оптимизации, не только удалось сократить длительность проекта с 7.5 месяцев до 4,5 месяцев, но и сократить сумму затрат на заработную плату группы Исполнителя. Более того, введение в группу дополнительной единицы «консультант по защите информации 2» не только сыграло на сроки реализации проекта, но и позволило рационально распределить трудовые ресурсы между работами.
Расходы на дополнительную заработную плату
Следует учесть все выплаты непосредственным исполнителям за время, не проработанное на производстве, в том числе: оплата очередных отпусков, компенсации за недоиспользованный отпуск и др. Эти выплаты составляют 20% от основной заработной платы.
Таким образом, дополнительная заработная плата составит:
Предполагаем, что при реализации проекта командировки отсутствуют.
Отчисления с заработной платы
Отчисления в пенсионный фонд, фонд социального страхования, занятости, на страховую медицину объединены в единый социальный налог, ставка которого составляет 26% (Глава 24 Налоговый кодекс РФ) от основной и дополнительной заработной платы:
= (468 675руб.+93735 руб.)•0,26=146226,6 руб.
Затраты, связанные с обеспечением оборудованием и материалами.
При выполнении проекта будет использовано как оборудование Заказчика так и имеющееся в компании оборудование (перечень оборудования и расходы, связанны с его эксплуатацией, приведены ниже). Таким образом, затратами на оборудование будут являться амортизационные отчисления. При этом мелкие расходные материалы (бумага, ручки и т.д.) войдут в структуру затрат своей полной стоимостью.
Необходимое программное обеспечение предустановленно на портативные компьютеры (ноутбуки) Исполнителя, а на оборудовании взятого в аренду используется стандартный пакет MS Office, MS Project, MS Visio которые имеют корпоративные лицензии и не требует дополнительных финансовых затрат.
Для расчёта размера амортизационных отчислений воспользуемся формулой (20):
(20)
Где S - стоимость объекта, n0 - время его полезного использования, T - срок службы объекта. При расчёте сроков полезного использования воспользуемся экспертной оценкой нагрузки на принтер; кроме того, примем за время использования рабочих станций время работы соответствующего сотрудника, умноженное на поправочный коэффициент Kпопр. = 1,42 (исходя из числа рабочих дней в году).
Таблица 4.7. Расчёт затрат на оборудование и расходные материалы.
|
№
|
Наименование
|
Количество
|
Цена
|
Срок службы, лет
|
Время полезного использования, дней
|
Итог
|
|
|
1
|
Рабочая станция №1
|
1
|
21300
|
3
|
49
|
953,2
|
|
|
2
|
Рабочая станция №2
|
1
|
21300
|
3
|
62,48
|
1215,36
|
|
|
3
|
Рабочая станция №3
|
1
|
29450
|
3
|
56
|
1506,12
|
|
|
4
|
Принтер HP LaserJet 2015 DN
|
1
|
9920
|
3
|
37,8
|
343,1
|
|
|
5
|
Картридж для принтера HP Q7553A
|
0,5
|
2496
|
-
|
-
|
1248
|
|
|
6
|
Шредер FS-3245301 модель MS-450Cs (авт., SafeSense, 2х8мм, 7лст., 17лтр., CD) 4 степень секретности
|
1
|
9500
|
3
|
31
|
269
|
|
|
7
|
Бумага Xerox Business формата А4 (500л), 80 г/м2
|
2
|
124
|
-
|
-
|
248
|
|
|
8
|
Ручка шариковая
|
6
|
25
|
-
|
-
|
150
|
|
|
9
|
Компакт-диск DVD-R
|
10
|
18
|
-
|
-
|
180
|
|
|
Итого:
|
6 112,78
|
|
|
Затраты на организацию рабочих мест
Рабочие места рабочей группы Исполнителя находятся в отдельно выделенном помещении, в непосредственной близости от кабинета Руководителя проекта со стороны Заказчика, мебилированы, телефонизированы, имеют подключение к корпоративной сети компании Заказчика, оборудованы предустановленными тремя рабочими компьютеризированными местами, подключены к сетевому принтеру компании. Рабочие места отвечают требованиям санитарных норм и правил. Согласно нормам на одно компьютеризированное рабочее место необходимо выделять 6 кв.м. При этом, для организации рабочего места принтера предусматривается площадь не менее 0.5 площади компьютеризированного рабочего места.
Таким образом, площадь помещения для посадки рабочей группы из 5 человек и сетевого принтера, составляет: 5*6 кв. м. + 3 кв. м. = 33 кв. м.
Предполагаем, что затраты на организацию рабочих мест несет сам Заказчик и в его интересах организовать необходимое рабочее помещение на своей территории. Для полноты, приведу расчеты для организации рабочих мест, но в общую сумму затрат, с целью экономии бюджета на проект, мы эти затраты включать не будим.
Затраты на аренду помещения можно вычислить исходя из следующего соотношения (21):
(21)
где СКВМ - стоимость аренды одного кв. метра площади за год, S - арендуемая площадь рабочего помещения. ТАР - срок аренды (календарный) в месяцах.
Расчет проведен на основании данных, полученных в компании Realty.ru (www.realty.ru).
Накладные расходы
Накладные расходы состоят из расходов на производство, управление, техническое обслуживание и прочее. Обычно составляют от 60 до 100% расходов на основную заработную плату. Так как главной задачей является минимизация затрат, но всех нюансов в подобном проекте учесть невозможно, то в данном случае накладные расходы возьмем в размере 70% от основной заработной платы:
(22)
Суммарные затраты
В итоге, получаем таблицу с суммарными затратами, с учетом только учтенных затрат. О затратах, которые мы не учитываем, но можем рассчитать, было сказано выше.
Таблица 4.8. Суммарные затраты на проекта.
|
№
|
Наименование статьи расхода
|
Объём, руб.
|
|
|
1
|
Основная заработная плата персонала
|
468 675
|
|
|
2
|
Дополнительная заработная плата
|
93 735
|
|
|
3
|
Отчисления с заработной платы
|
146 226,6
|
|
|
4
|
Аренда оборудования и расходные материалы
|
6 112,78
|
|
|
6
|
Накладные расходы
|
328 072,5
|
|
|
Итого:
|
1 042 822
|
|
|
Рис. 4.4. Распределение затрат на проект
4.7 Оценка экономической эффективности проекта
Будим исходить из двух позиций. В первой, еще раз обратимся к статистике, представленной в виде ежегодных аналитических отчетов Российского аналитического центра Info Watch. Во второй, осуществим банальный аналитический расчет, позволяющий сделать упрощенную модель оценки величины ущерба при осуществлении злоумышленником успешной атаки на защищаемый объект По материалам статьи А.В. Лукацкий «Информационная безопасность. Как обосновать?» КомпьютерПресс 11'2000 . При калькуляции учитывающей среднестатистического анализ количества производимых на корпоративную сеть атак за год, цифры будут значительно расти на глазах. Зная стоимость одного инцидента, легко выяснить стоимость нескольких. Так, по личным наблюдениям, среднестатистическое количество инцидентов в год не менее десяти на одну небольшую компанию. Преимущество, инциденты ведут к значительным финансовым и временным затратам и чаще всего вызваны халатностью пользователей. При этом не учитываются дальнейшие последствия взлома, которые могут привести к колоссальным убыткам в связи с потерей или изменением части информации находящейся в корпоративной среде или на отдельных пользовательских местах (например, главный бухгалтер, финансовый директор, генеральный директор, коммерческий директор и т.д.). Такие расчеты берутся из теории управления рисками и для расчетов требуют данные, являющиеся конфиденциальными для каждой фирмы.
В настоящее время значительно обострилась ситуация с мошенничеством и инсайдом в компании, взлом как правило происходит изнутри и часто остается без внимания. В ряде случаев с ним можно успешно бороться, при централизованном управлении информационными ресурсами организации, качественном подходе к подбору сотрудников в компанию, централизованном управлении компании и воспитании у каждого сотрудника корпоративной культуры.
4.7.1 Аналитический обзор центра Info Watch за 2007 г.
Проведя опрос 1450 Российских компаний в 2006 г. от малого бизнеса до очень больших предприятий, аналитический центр Info Watch получил убедительную картину, представленную в виде нескольких диаграмм в главе 2.3.
На гистограмме «Количество рабочих станций» (рис. 2.9), большинство респондентов относится к небольшим компаниям с числом рабочих станций 251-1000 единиц. Исходя из гистограммы «Наиболее опасные угрозы ИБ» (рис. 2.11), лидирующее место занимают позиции кража информации (65,8%), халатность сотрудников (55,1%), вредоносные программы (41,7%) и саботаж (33,5%). Исходя из гистограммы «Внешние и внутренние угрозы» (рис. 2.4) статистика приведенная Dalott Global Security Survey 2006, лидирующие позиции отнесены к внешним угрозам - вирусы и черви (63%), технологии фишинга и фарминга (51 %), шпионское ПО (48%), приемы социальной инженерии (25%). Как мы рассмотрели ранее фишинг и фарминг является разновидностью социальной инженерии, а вирусы и черви, как и шпионское ПО являются одними из инструментами при использовании методов социотехники. На гистограмме «Наиболее плачевные последствия утечки» (рис. 2.14) прямые финансовые убытки составили 46%, удар по репутации и плохие паблисити 42,3%, потеря клиентов 36,9% и беря во внимание диаграмму «Соотношение опасности угроз ИБ» (рис. 2.12) лидерство на стороне внутренних угроз. Это вполне достаточно, чтобы понимать, что человек всегда остается человеком, и застраховать компанию от человеческих ошибок пока в компании работают люди, просто невозможно. Уменьшить риск ущерба - стремление каждой компании, т.к. бизнес направлен на эффективное получение прибыли и финансовые потери всегда пагубно сказываются на жизни любой компании. Чтобы еще больше усугубить ситуацию, можно привести статистику убытков российских компаний за 2006-2007 года, если отдавать предпочтения цифрам. Но вполне достаточно сделать небольшой аналитический расчет, чтобы оценить стоимость простоя рабочей станции хотя бы на один рабочий день для небольшой компании которую мы рассматривали в этой части проекта.
4.7.2 Расчет потерь компании при взломе одного автоматизированного рабочего места
В качестве примера, возьмем предварительный расчет потерь компании от взлома одного узла сети отдела бухгалтерии или финансового отдела.
Учитывая собственную статистику из опыта работы в ряде предприятий, попытки проникновения в сеть происходят от одного до десяти раз в год (усредненная статистика).
Произведем расчет суммы ущерба, возникающего в следствие атаки на один защищенный объект, предполагая, что рабочее место выведено из строя на 8 часов, т.е. один рабочий день. Не составит труда рассчитать простой 2-4 часов рабочего времени с учетом одного автоматизированного рабочего места или группы мест (что часто бывает при компрометации информации, вирусных атаках и т.д.).
Исходные данные:
1. Время простоя вследствие атаки, tП (в часах)
2. Время восстановления после атаки, tВ (в часах)
3. Время повторного ввода потерянной информации, tВИ (в часах)
4. Зарплата обслуживающего персонала (администраторов, сотрудников help desk и т.д.), ZО (в рублях/месяц )
5. Зарплата сотрудников атакованного узла или сегмента, ZС (в рублях/месяц)
6. Число обслуживающего персонала (администраторов и т.д.), NО
7. Число сотрудников атакованного узла или сегмента, NС
8. Объем продаж атакованного узла или сегмента, O (в рублях за год)
9. Стоимость замены оборудования или запасных частей, ПЗЧ (в рублях)
10. Число атакованных узлов или сегментов, I
11. Число атак в год, n
Стоимость потерь от снижения производительности сотрудников атакованного узла или сегмента будет равна
(26)
Стоимость восстановления работоспособности атакованного узла или сегмента состоит из нескольких составляющих:
ПВ = ПВИ + ППВ + ПЗЧ , где (27)
ПВИ - стоимость повторного ввода информации;
ППВ - стоимость восстановления узла (переустановка системы, конфигурация и т.д.).
(28)
(29)
Упущенная выгода от простоя атакованного узла или сегмента составляет:
U = ПП + ПВ + V (30)
где
(31)
Таким образом, общий ущерб от атаки на узел или сегмент корпоративной сети организации составит:
(32)
Возьмем в качестве примера простой на один день одного рабочего автоматизированного места бухгалтера.
Время простоя работы и восстановления информации получаются эмпирическим путем на основе данных конкретного предприятия за прошедшие периоды работы в вычислительной сети:
Время простоя в следствии атаки tП (в часах) = 8 часов;
Время восстановления после атаки tВ (в часах) = 8 часов;
Время повторного ввода потерянной информации tВИ (в часах) = 8 часов.
Зарплата обслуживающего персонала в месяц(администраторов и т.д.),
ZО1 (сетевой администратор) = 40000 руб.;
ZО1 (сотрудник help desk) = 33000 руб.
Зарплата сотрудников атакованного узла или сегмента месяц (бухгалтерия /финн. группа),
ZС (кассира-операциониста) = 35000 руб.
Число обслуживающего персонала узла NО1 (администратор) = 1; NО2 (сотруднк из help desk ) = 2;
Число сотрудников атакованного узла или сегмента NС = 6
Объем продаж атакованного узла/сегмента O (в год) = 3000000 руб.
Стоимость замены оборудования ПЗЧ = 0 руб.
Число атакованных узлов/сегмента i = 1;
Число атак в год n = 1, после возьмем 5 и 10, что соответствует реальным статистическим данным
Зарплата администратора в час = 40000 / 192 = 208,333 руб
Зарплата обслуживающего персонала в час = 33000 / 192 = 171,875 руб
Зарплата бухгалтера в час = 35000/ 192 = 182,292 руб
ПП = 182,292 руб. *6 чел * 8 час = 8750,016 руб.
ПВИ = 182,292 руб. * 6 чел * 8 час = 8750,016 руб.
ППВ = (208,333 +171,875* 2)*8 = 4416,664 руб.
ПЗЧ = 0.
ПВ = ПВИ + ППВ + ПЗЧ = 8750,016 руб. + 4416,664 руб. + 0 = 13166,68 руб.
V = 3000000 / 2080 * (8+8+8) = 34615,38 руб.
U = ПП + ПВ + V = 8750,016 руб. + 13166,68 руб.+34615,38 руб. = 56532,14 руб.
Получаем, при одной атаке в год, потери составят 56532,14 руб.
А если таких атак будит пять и десять, тогда:
ОУ5 = 56532,14 руб. * 5 = 282 660,7 руб.
ОУ10 = 56532,14 руб. * 10 = 565 321,4 руб.
При этом, в расчет не взяты многие другие показатели, такие например, как риск потери/хищения конфиденциальной информации, кража базы клиентов организации, вывод из строя сервера или группы корпоративных серверов, установка программных закладок для последующего манипулирования корпоративной сетью и информацией циркулирующей в ней.
4.8 Выводы
В ходе проведения экономического обоснования была рассмотрена фаза планирования проекта, целью которого является проведение информационного аудита с целью обнаружения угроз использующих в своей основе методы социотехники и последующего проектирования системы защиты от подобного рода угроз. Разработан сетевой и календарный графики проекта, позволяющие реализовать его в течение пяти месяцев с учетом пожелания Заказчика, сила ми группы из 6 человек Исполнителя. При этом единовременно задействованными являются 3-4 человека. Расчетные трудозатраты составили 224 человеко-дней. При первичном планировании проект занял бы более 10 месяцев, если на каждой отдельной работе задействовать по одному человеку. В отдельных случаях, при распараллеливании единовременно начинали работать три человека. Тем не менее, при рациональном распределении ресурса, проект возможно реализовать за пять месяцев осуществив при этом меньшие затраты, нежели при первичном расчете стоимости и времени исполнения.
Общие затраты на проект составят 1 042 822 руб, причём около 59% уйдёт на заработную плату и различные отчисления с неё. Такие расходы являются целенаправленными, т.к. сам по себе аудит, что финансовый, что управленческий, что информационный являются на сегодня дорогостоящей услугой. Затраты сопоставимы по стоимости с внедрением системы по работе с клиентами (CRM), если систему внедрять с минимальными доработками в случае адаптации её под клиента в размере 5-10% доработки от исходного варианта под порядок 14-25 рабочих места (соответствует российской статистике по компаниям небольшого и среднего размера, оценивающей размер отдела продаж или отдела по работе с клиентами на 2006-2007 год). Такой процент доработки встречается сегодня редко, в силу специфики работы российских компаний, даже если сравнительно со стоимостью внедрения одной из самых дешевых на сегодня систем такого класса, такой как Microsoft Dynamics CRM 3.0/4.0.
Реализация проекта является экономически обоснованным мероприятием, учитывая статистику информационных рисков, которым подвержены сегодня компании и тем последствиям. К которым эти риски приводят, если их не учитывать. Такие затраты относятся к категории разовым, т.к. при внедрении системы защиты, на свое поддержание она потребует расходы на порядок меньше. При этом результаты проведение кадрового и социально-психологического анализа, а также информационно-технического анализа можно смело использовать при проведении управленческого аудита, а также при необходимости осуществления реструктуризации организации.
Навыки, по проведению обучающих программ для сотрудников, а также набор шаблонов использующихся при таких тренингах позволят использовать методику тренингов для различных обучающих целей в компании и для различных подразделений.
Продуктом данного проекта окажутся продукты повторного использования в дальнейшем, что является рациональным вложением денег при планировании затрат на такие услуги.
5. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
5.1 Введение
Правовое обеспечение и сопровождение большинства вопросов в любой организации независимо от формы и вида организации и учреждения - важная составляющая существования и жизнедеятельности организации. Начиная от интервирования соискателя на вакантную должность в организации, и завершая фазой увольнения сотрудника (по собственному желанию или по факту нарушения последним законодательных актов) и прекращения действия в этом случае Трудового договора или Контрактного договора с лицом вступившего в договорные отношения с организацией.
К сожалению, сегодня, специалисту по защите информации приходится быть ко всему прочему и «продвинутым юристом», чтобы максимально грамотно подходить к вопросам попадающих в поле его компетенции, и непосредственной деятельности. Причина такому положению вещей, являются условия формирования законодательной базы, т.к. её нельзя сегодня назвать сложившейся или сформировавшихся в виду массы неопределенностей и неоднозначности трактовок, как таковых по ряду ключевых определений и несостоятельности однозначно разрешать возникающие вопросы в области информационной безопасности и защите информации в целом. Причем основная масса вопросов решается далеко не в пользу учредителя организации и непосредственного работодателя. Коммерческая тайна легко способна стать достоянием масс и потерять свое главное и самое важное для работодателя свойство, без разумной и соответствующей компенсации за это нарушение, которое по сути и нарушением может быть не признано нашими законодателями в силу признания отсутствия факта законодательного нарушения со стороны нарушителя, либо признания это нарушение незначительным и отсутствием справедливым наказанием за него в виду неадекватности в законе стоимостных показателей в случае признания нарушения.
В связи с этим становятся востребованными не только должности специалиста по защите информации, администратора безопасности, но и должности, не имеющие высокого рейтинга и надлежащего признания вчера и пока еще сегодня, такие как социальный психолог, специалист по прикладной социологии, специалист по кадрам и тем более менеджер по управлению персоналом.
Гораздо дешевле на порядки выявить «врага» на подступах, нежели испытывать на себе последствия его деяний на организации по факту обнаружения таковых. В связи с чем считаю разумным уделять кадровому вопросу намного больше внимания, нежели это «принято» сегодня, разделяя мнение офицеров по информационной безопасности и тех специалистов кто поддерживает такой подход и сам в перспективе желает выйти на этот уровень и занимаемую должность.
Итак, при составлении сегодня нормативно-правового пакета документов в организации следует использовать следующую организационно-правовую базу:
1. Кодекс РФ об административных правонарушениях от 30.12.2001 № 195-ФЗ.
2. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ.
3. Уголовный кодекс РФ от 13.05.96 № 63-ФЗ.
4. Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации».
5. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
6. Указ Президента Российской Федерации от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера».
7. Федеральный закон от 27.07.2006№ 152-ФЗ «О персональных данных».
8. Федеральный закон от 18.12.2006№ 231-ФЗ «О введении в действие части четвертой Гражданского кодекса Российской Федерации».
Дополнительно, можно пользоваться следующим материалом:
1. ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
2. Гражданский кодекс РФ, ч. 1 от 30.11.94 № 5ГФЗ.
3. Гражданский кодекс РФ, ч. 2 от 26.01.96 № 14-ФЗ.
4. Гражданский кодекс РФ, ч. 4 от 18.12.2006 № 230-ФЗ.
5. Федеральный закон от 02.12.90 № 395-1 «О банках и банковской деятельности».
6. Стандарт Банка России «СТО БР ИББС-1.0-2006 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», Распоряжение Банка России от 26.01.2006 № Р-27.
7. Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях».
5.2 ПОДХОДЫ К ПРАВОВОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ ВНУТРЕННИХ УТЕЧЕК
Одна из основных проблем любой организации - защитить свои активы от посягательств извне и от внутренних утечек, как основной утечки конфиденциальной информации, ставшей очень остро перед каждым работодателем и как следствие службами ИБ.
Большинство людей не умеют хранить свои личные секреты, а чужих и подавно будут кому-то обязательно озвучены. Особенно, если руководитель заострит внимание на том, что эту информацию никто кроме нас двоих не должен знать. В связи с этим, ни один из сотрудников организации не должен знать больше, чем ему полагается по должности. Что на практике часто не выполняется.
На случай, если у сотрудника возникло желание поделиться информацией, которую ему положено знать по должности, в трудовом контракте с сотрудником следует прописать пункт о том, что за разглашение коммерческой информации сотрудника ждет «ответственность вплоть до уголовной». Как правило, другие виды наказания (взыскания, штрафы и пр.) хотя и являются существенными, но очень просто обходятся на практике. Например, при «сливе на сторону базы», сотрудник учтет сумму штрафа и припишет её своим заказчикам, заказавшие клиентскую базу. Однако все ли так просто и очевидно?
С одной стороны, допустим, при электронной переписки организация имеет право осуществлять контроль за всем трафиком, как исходящим, так и входящим. С другой стороны, если какой-то пользователь компании, иногда, будит переписываться с каким-то третьим лицом (используя ресурсы компании, корпоративный почтовый ящик с родственником, другом, заказчиком информации и т.д.) то у нас возникает коллизия в законодательстве:
· Как сотрудник компании, право на переписку со своими адресатами от своего имени в порядке осуществления функциональных обязанностей, согласно трудовому договору.
· Как гражданин РФ, сотрудник имеет право на тайну переписки.
Правоспособность сотрудника компании, в свою очередь, включает право на переписку со своими адресатами от своего имени и, как в предыдущем случае, право на тайну переписки. Но и сама компания имеет право на охрану информации (коммерческой тайны), в частности, на действия с целью предотвращения утечки коммерческой тайны по причине небрежности или неосторожности сотрудника (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»)
В России право на тайну переписки гарантируется любому гражданину РФ в соответствии со ст. 23 п. 2 Конституции РФ и подтверждается ст. 138 УК РФ («Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан»). Ограничение этого права возможно только Федеральным законом. В настоящее время не существует такого закона, который однозначно определяет право юридического лица на перлюстрацию электронной корреспонденции сотрудника с целью защиты коммерческой тайны и своей информационной системы.
При этом действуют:
· Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации» который дает организации-владельцу информации право на ее защиту;
· Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»
· Трудовой кодекс РФ, имеющий статус Федерального закона (197-ФЗ от 30.12.2001), в котором говорится, что «в трудовом договоре могут предусматриваться условия: о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной)» (ст. 57);
· комментарии к УК: «нарушение тайны переписки заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит».
Какие меры необходимо предпринять компании для обеспечения безопасности электронной переписки (защиты от внешних угроз и утечки конфиденциальной информации) и соблюдения прав сотрудника и его внешнего адресата? Ведь, если даже сотрудник компании был уличен в промышленном шпионаже с помощью автоматизированной системы контроля почты, он не только может выйти сухим из воды, но даже выдвинуть вместе со своим внешним адресатом встречные иски, которые имеют почти 100%-ный шанс быть удовлетворенными. По причине лишения юридической силы доказательство вины сотрудника компании не будет допущено к гражданскому судебному процессу (нарушение ст. 49 ч. 3 ГПК РФ). Кроме того, невозможным становится принятие мер дисциплинарного воздействия (например, увольнение, выговор). А доказательства вины сотрудника могут использоваться против организации в подтверждение нарушения Конституции РФ и для возбуждения уголовного дела в отношении виновных лиц.
Если подойти с рассмотрения внешних угроз (вирусы, попытка взлома сети, спам и т.д.), тогда проблема законности проверки почтового трафика облегчается. Поскольку кибермошенник действует всеми доступными нелегальными путями, то в его же интересах остаться анонимным, не раскрывать своего имени и местонахождения. Поэтому в случае принадлежности третьего лица, с кем велась переписка сотрудника компании к компьютерному андерграунду и его причастности к нарушению действующего законодательства (в частности, ст. 273 УК РФ «Создание и распространение вредоносных программ для ЭВМ»), тогда скорее всего претензий со стороны сотрудника компании в нарушении тайны его переписки не будит. Рассылка современных вредоносных программ, а равно и спама, осуществляется анонимно и носит не личный, но публичный характер. В таком случае сотрудник, можно считать не состоит в переписке с автором нежелательной рекламы или сетевого червя, коммуникации не направлены на длительный характер и являются предпринимательской (или преступной) деятельностью.
С точки зрения внутренних угроз, сложность состоит в случае с мониторингом почтовой корреспонденции с целью предотвращения утечки конфиденциальной информации, что вступило в противоречие с законом. Как в данном случае совместить конституционное право гражданина на тайну переписки и необходимость организации защитить собственные данные?
Вариант 1.
Компания правообладатель вносит дополнительное условие в трудовой договор со своим сотрудником о запрещении использования оборудования (собственности) компании в личных целях, в том числе для отправления личных писем по электронной почте. Эта мера устанавливается всего лишь дисциплинарная ответственность за сам факт использования оборудования работодателя с нарушением трудового договора. Здесь, остается лишь практическая возможность установления самого факта отправления сообщения по «неправильному» адресу. Если же адрес «правильный», но письмо содержит конфиденциальную информацию, то такая утечка останется без внимания.
Вариант 2.
Компания устанавливает автоматизированную систему (фильтр), которая сканирует почту сотрудника и совершает над ней некие действия в соответствии с настроенным алгоритмом. Администрирование фильтра поручено другому сотруднику компании (или третьим лицам по дополнительному договору). Этот вариант решает задачу исключения физического лица из процесса просмотра сообщения и тем самым возлагает ответственность за нарушение тайны переписки на неодушевленный фильтр. Однако это решение не позволяет исключить ответственность компании, так как управление фильтром осуществляет субъект, имеющий определенные договорные отношения с этой компанией. Субъект задает критерии проверки содержания почты, то есть, не читая сообщений физически, он нарушает право на тайну переписки путем возможности установить наличие определенных слов в тексте письма. По аналогии можно сравнить вариант с ситуацией, когда запечатанный фирменный конверт вскрывает установленный компанией робот-манипулятор. Он же осуществляет прочтение, анализ текста и изменяет оригинальную маршрутизацию сообщения.
Вариант 3.
За основу берется технология документооборота в государственных органах (широко представлена в ГОСТ и ОСТ). Она сводится к частичному обезличиванию автора письма по следующему сценарию:
· письмо отправляется на бланке (или с печатью организации);
· обязательно наличие подписи должностного лица, которое и является отправителем от имени организации;
· обязательно указание фактического автора документа.
С точки зрения реализации электронного документооборота эта технология предполагает, что сотрудник имеет право выйти с собственного электронного адреса во внешнее информационное поле исключительно через своего руководителя или специальное должностное лицо. Для формальности достаточно присваивать безопасным письмам метку, подтверждающую одобрение текста письма, отправляемого сотрудником от лица компании. Такая технология свидетельствует о факте направления письма ответственному лицу и, не нарушая права на тайну переписки, позволяет ознакомиться с содержимым письма. С другой стороны, она не совсем соответствует общепринятым стандартам бизнес-коммуникаций.
Вариант 4.
Сотрудник обращается к руководству компании, в которой он работает с просьбой следующего содержания: «Я … работающий по трудовому договору и сознающий свою ответственность за разглашение коммерческой тайны, прошу оказать содействие в анализе моей корреспонденции на предмет наличия в ней конфиденциальных данных».
Этот вариант:
1. уменьшает ответственность самого сотрудника за действительную неосторожность, поскольку свидетельствует о принятых им надлежащих мерах.
2. Его трудно назвать 100 % решением задачи официального доступа к тексту письма, так как заявление может быть объявлено незаконным вследствие невозможности отказа гражданина от личных неимущественных прав, каковым является тайна переписки.
Вариант 5.
В основу этого варианта ложится анализ норм Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации» и . Он определяет понятия собственника, владельца и пользователя информационных ресурсов, документированной информации и самих информационных ресурсов (массивы документов в информационных системах). А это, в свою очередь, позволяет отнести переписку сотрудника к документированной информации («зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать»), входящей в информационные ресурсы, собственником которых является компания. Для формальной реализации варианта необходимо:
1. внедрение в организации положения о конфиденциальности, описывающего нормы внутренней безопасности и список конфиденциальных документов. Каждый сотрудник должен быть с ним ознакомлен «под роспись».
2. требуется модификация содержания трудового договора. В частности, подписанный трудовой договор должен содержать условие об обязанности хранить коммерческую тайну, а также условие, что все, созданное сотрудником на рабочем месте, направляется в корпоративные информационные ресурсы.
Таким образом, компания получает право собственности на электронный документ и по своему усмотрению может им распоряжаться: отправлять его по указанному сотрудником адресу, архивировать, анализировать на предмет наличия коммерческой тайны.
Что делать если объектом защиты является клиентская база? В таком случае этот вариант нужно дополнить.
Итак, в трудовом договоре с сотрудником должно быть четко прописано:
· что является предметом коммерческой тайны;
· какие неприятности ожидают сотрудника, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником.
Сотруднику нужно убедительно разъяснить, что согласно ст. 10 и 11 Федерального закона «О коммерческой тайне» работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые по мнению работодателя составляют предмет коммерческой тайны предприятия, и за разглашение которых он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 14 этого закона сотрудник будит обязан возместить причиненные фирме убытки, возникшие в результате разглашения им конфиденциальной информации (размер убытков устанавливает суд). Такое разъяснение не исключает полностью утечки конфиденциальной информации с компании, но уменьшает процент желающих воспользоваться служебным положениям с целью последующего хищения информации.
Более того, клиентскую базу можно с юридической точки зрения, рассматривать как средство производства, которое является собственностью работодателя. Следовательно, воровство базы может рассматриваться как воровство чужого имущества, что является предметом статьи Уголовного кодекса (ст. 159 УК РФ). А также за хищение клиентской базы можно инициировать судебное преследование по четырем статьям Уголовного кодекса:
1. ст. 159 «Кража»;
2. ст. 272 «Несанкционированный доступ к компьютерной информации»;
3. ст. 183 «Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну»;
4. ст. 146 «Нарушение авторских и смежных прав».
5.3 РЯД НЮАНСОВ СВЯЗАННЫХ С КОММЕРЧЕСКОЙ ТАЙНОЙ
С начала этого года (2008 г.) законодательная база претерпевает значительные изменения. С учетом недееспособности российской законодательной базы в области защиты информации, это положительное течение. Однако, новые положения в ряде Федеральных законов, являющимися «кирпичиками» построения коммерческой тайны в компании независимо от формообразования, заставляют офицеров информационной безопасности более тщательно отнестись к составлению перечня у себя в компании объектов отнесенных к «коммерческой тайне». А уже имеющуюся и возможно, налаженную систему пересматривать. Причем, хорошей практикой здесь будит вовлечение первоклассных юристов в этот процесс. Иначе, путь для инсайдера в каждой компании как оставался открытым, так и продолжает оставаться. А защитники последних выискивают коллизии в законе, чтобы признать недействительным положение о коммерческой тайне в компании и тем самым невиновность их подопечных.
Итак, законодательная база с начала этого года, заставляет тщательно пересмотреть основополагающие организационные документы, иначе проблем не избежать и доказывать что-либо в суде будит бесполезно. Итак, пожалуй стоит начинать рассмотрение подход к составлению трудовых договоров, положений подразделений и должностных инструкций.
Вопросы, которые требуется выяснить, при составлении отмеченных документов, а также использования общей терминологии во всем пакете организационных документов:
1. Информация (что это такое) и какая информация подлежит охране и защите.
2. Перечень информации составляющей коммерческую тайну.
3. Время жизни или срок охраны составляющей коммерческую тайну.
4. Возмещение ущерба за разглашение информации отнесенной к коммерческой тайне.
Согласно новому положению понятие информация перестало быть выделенным. И стало тождественным ноу-хау, что является только интеллектуальной разработкой.
Получается, что все составляющие коммерческой тайны должны являться результатом интеллектуальной деятельности, иначе закон не будет их охранять.
Все кажется просто и логично, пока не сталкиваешься с составлением в конкретной организации перечня информации, составляющей коммерческую тайну (абзац 1 п. 1 ст. 10 закона «О коммерческой тайне»), без которого режим коммерческой тайны обладателем информации, составляющей коммерческую тайну, не может быть установлен.
По закону, в отношении определения состава коммерческой тайны ее обладатель полный «хозяин», в таком случае, что хочу, то и пишу в этот перечень. Но п. 8 ст. 11 Федерального закона «О коммерческой тайне», в котором работнику (потенциальному инсайдеру) законом прямо предоставляется «право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением им трудовых обязанностей».
Причем, в законе не уточняется вид доступа, который может быть как санкционированным, так и по ошибке, и в результате сбоя или по коварному злому умыслу инсайдера. И в суде взять такого сотрудника «за живое», когда его линия защиты будет построена на постулате незаконности установления режима коммерческой тайны в отношении той информации, разглашение которой ему вменяют, будит из мира фантастики. А незаконность в перечне информации составляющей коммерческую тайну организации, т.е. на разглашенную (читай - похищенная) им информацию присутствует неправомерное как он это полагает и на этом настаивает его защита. Обладателю разглашенной информации надо будет очень постараться, чтобы доказать суду обратное.
Определенная ранее законом «О коммерческой тайне» (п. 3 ч. 3 ст. 11) обязанность работника 'не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период cpока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось» отменяется с введением в действие части четвертой ГК РФ.
Взамен этого Гражданский кодекс подтвердил наличие подобной ответственности и в дальнейшем нормой п. 2 ст. 1470 («гражданин, которому в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя стал известен секрет производства, обязан сохранять конфиденциальность полученных сведений до прекращения действия исключительного права на секрет производства»), но временные рамки действия ответственности при этом менее определенными и не ясны. Т.к. не сказано об условиях прекращения такого ограничения.
Таким образом, имеем в общем случае теоретическую неограниченность срока охраны информации, составляющей коммерческую тайну. Практически же ограничить этот срок может сам обладатель этой информации, обстоятельства непреодолимой силы, незаконные действия инсайдера и т. д. Можно сказать, что когда информация, составляющая коммерческую тайну, перестает охраняться её обладателем (отменяется режим коммерческой тайны) иилн становится общедоступной, то сам объект охраны как таковой будет отсутствовать.
Следовательно, пострадавшему обладателю информации, составляющей коммерческую тайну, необходимо в нынешних условиях доказывать в ходе судебного разбирательства тот факт, что режим коммерческой тайны (право на конфиденциальность информации) вообще существовал и к определенному моменту еще не прекратил свое существование.
Ранее необходимость этого доказательства, конечно, тоже существовала, но как бы на втором плане, потому что временные рамки действия режима коммерческой тайны законодательно определялись более четко условными этапами: первый - действие трудового договора с распиской о режиме, второй - три года (или по соглашению энное количество лет) после прекращения трудового договора. Таким образом, обладатель информации, составляющей коммерческую тайну, в отношении которой он установил режим коммерческой тайны, должен заблаговременно продумать и решить возможные доказательства временных рамок существования режима коммерческой тайны, чтобы потом в суде иметь какие-то основания на своей стороне.
Об ущербе
Ранее существовала коллизия между «О коммерческой тайне» (п. 4 ч. 3 ст. 11) работник, виновный в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей, обязан был возместить причиненный работодателю ущерб, а в ст. 139 (п. 2) ГК РФ была закреплена норма, регулирующая трудовые правоотношения и в то же время предусматривающая гражданско-правовую ответственность в виде возмещения причиненных убытков.
Понятие же ущерба входит составной частью в понятие убытков, так как согласно ст. 15 ГК РФ убытки включают в себя реальный ущерб, а также упущенную выгоду. Таким образом, законом «О коммерческой тайне» была установлена ограниченная имущественная ответственность работников, разгласивших информацию, составляющую коммерческую тайну.
С введением и действие части четвертой ГК РФ законодательная коллизия была устранена путем отмены сразу обеих конфликтующих норм: ст. 139 ГК РФ и п. 4 ч. 3 ст. 11 закона «О коммерческой тайне».
Взамен этого ст. 1472 ГК РФ на нарушителя исключительною права на секрет производства, в том числена лицо, которое неправомерно получило сведения, составляющие секрет производства (коммерческую тайну), и разгласило или использовало эти сведения, возложена обязанность возместить убытки, причиненные нарушением исключительного права на секрет производства, если иная ответственность не предусмотрена законом или договором с этим лицом.
Однако не все стало однозначным в вопросе ответственности работников в рамках трудовых отношений за нарушение режима коммерческой тайны, так как этот вопрос еще регулируется нормами гл. 39 Трудового кодекса Российской Федерации (ТК РФ), которые предусматривают ограниченную материальную ответственность работников. А в соответствии со ст. 5 этого кодекса, в случае противоречий между ним и иным федеральным законом, содержащим нормы трудового права, применяется ТК РФ.
Ст. 241 гл. 39 ТК РФ определяет, что «за причиненный ущерб работник несет материальную ответственность в пределах своего среднего месячного заработка, если иное не предусмотрено настоящим Кодексом или иными федеральными законами». Это идет вразрез с требованиями ст. 238 гл. 39 того же кодекса, которая гласит в первом абзаце: «Работник обязан возместить работодателю причиненный ему прямой действительный ущерб. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат».
По этой причине, чтобы иметь какую-то весовую категорию в суде, необходимо правильно воспользоваться п. 7 ст. 243 ТК РФ о возможности полной материальной ответственности работника в случае разглашения сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную).
Каким в таком случае будет возмещение ущерб упоминаемое выше ГК РФ в ст. 1472?
Учитывая главенство в области норм трудового права ТК РФ, получается, что на возмещение инсайдером именно убытков (а не ущерба) можно рассчитывать только вне рамок трудовых отношений с ним, то есть при гражданско-правовой форме взаимоотношений нарушителя с работодателем или при отсутствии какой-либо правовой формы взаимоотношений вообще. В этом случае нарушителя и инсайдером уже нельзя называть, это уже является мошенничеством.
В таком случае, хочется понять о чем говорит п. 2 ст. 14 закона «О коммерческой тайне»: «работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации».
Учитывая, что в п. 1 этой же статьи за нарушение закона «О коммерческой тайне» были определены практически все виды правовой ответственности (дисциплинарная, гражданско-правовая, административная и уголовная), то в соответствии с п. 2 ст. 14 получается, что даже в случае умышленного разглашения коммерческой тайны ответственность именно для сотрудника организации (инсайдера) может быть только дисциплинарной, или сразу уголовной. Поэтому о возмещении ущерба здесь ничего не сказано.
Дисциплинарная ответственность предусматривает наложение на работника дисциплинарного взыскания в соответствии с п. «в» ч. 6 ст. 81 ТК РФ, имеет следующий вид: расторжение трудового договора по инициативе работодателя в случае однократного грубого нарушения работником трудовых обязанностей, выразившегося в «разглашении охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей».
С учетом главенства в нашем законодательстве кодексов, инсайдера сможет постигнуть наказание в виде возмещения ущерба, вплоть до «прямого действительного» (но не убытков из-за разногласия кодексов). В таком случае п. 2 ст. 14 закона «О коммерческой тайне», оставленной без изменения после модернизации этого закона в связи с введением части четвертой ГК РФ не выполним и фиктивен.
Каким же наказанием и кому конкретно грозит за посягательство (даже без злого умысла) на коммерческую тайну?
Чтобы это стало более-менее понятно, ограничимся кодексами: Гражданским, Трудовым, Уголовным, об Административных правонарушениях, и федеральных законах «О коммерческой тайне», «Об информации, информационных технологиях и о защите информации», «О персональных данных», «О банках и банковской деятельности», «О кредитных историях», а предметом законодательно-наказуемых действий определим отдельные виды информации ограниченного доступа (включая нами определенную коммерческую тайну).
При анализе терминологическую основу, применяемую при законодательном нормировании наказуемых действий, их предмета, действующих лиц и итогов этих действий, то получим следующий результат.
Наказуемым действием согласно вышеприведенным законодательным актам являются: разглашение, незаконное разглашение, разглашение третьим лицам, неправомерное разглашение, разглашение в какой-либо форме, умышленное или неосторожное разглашение, незаконное собирание (путем похищения документов, подкупа или угроз, а равно иным незаконным способом), незаконное использование, неправомерное использование, не сохранение и, наконец, просто тривиальное «нарушение».
Предметом же этих действий законодатели в разное время определили:
· информацию, доступ к которой ограничен федеральным законом;
· информацию ограниченного доступа;
· информацию, составляющую коммерческую тайну;
· тайну, охраняемую законом (государственную, коммерческую, служебную и иную);
· сведения, составляющие охраняемую законом тайну (государственную, коммерческую, служебную и иную);
· тайну об операциях, счетах и вкладах клиентов и корреспондентов кредитной организации, а также об иных сведениях, устанавливаемых этой организацией;
· исключительное право на секрет производства;
· конфиденциальность секрета производства;
· информацию, входящую в состав кредитной истории;
· информацию, составляющую коммерческую, служебную, банковскую, налоговую тайну бюро кредитных историй, источников формирования кредитных историй, субъектов кредитных историй и пользователей кредитных историй;
· персональные данные другого работника;
· нормы, регулирующие получение, обработку и защиту персональных данных работника;
· требования федерального закона.
В качестве некоего виновного лица законодательные акты рассматривают:
· гражданина, которому в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя стал известен секрет производства;
· работника, в связи с исполнением им трудовых обязанностей;
· лицо, получившее доступ к информации, к которой он ограничен федеральным законом, в связи с исполнением служебных или профессиональных обязанностей;
· лицо, которому коммерческая, налоговая или банковская тайна были доверены или стали известны по службе или работе;
· лицо, которое неправомерно получило сведения, составляющие секрет производства;
· лицо, распорядившиеся своим правом...;
· виновное лицо;
· служащих кредитной организации;
· Банк России, организации, осуществляющие функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, и их должностных лиц и работников;
· пользователей кредитных историй, источники формирования кредитных историй и иных лиц, получивших в соответствии с федеральным законом доступ к информации, входящей в состав кредитной истории и (или) к коду субъекта кредитной истории;
· бюро кредитных историй, его должностных лиц;
· должностных лиц и служащих государственных или муниципальных органов государственной власти, иных государственных органов, органов местного самоуправления;
· должностных лиц уполномоченного государственного органа;
· оператора, осуществляющего обработку персональных данных.
Итог вышерассмотренных действий в законодательной трактовке выглядит следующим образом:
· штраф;
· административный штраф;
· расторжение трудового договора;
· лишение права занимать определенные должности;
· лишение права заниматься определенной деятельностью;
· лишение свободы;
· возмещение убытков, причиненных нарушением...;
· возмещение нанесенного ущерба;
· возмещение причиненных клиенту убытков (по требованию клиента, права которого нарушены);
· судебные иски лиц о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации;
· обжалование действий или бездействия оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке;
· материальная ответственность;
· дисциплинарная, гражданско-правовая, административная или уголовная ответственность;
· ответственность в порядке, предусмотренном законодательством Российской Федерации.
И наконец, в количественном выражении:
· от пятисот до одной тысячи рублей (для граждан), от четырех тысяч до пяти тысяч рублей (для должностных лиц);
· до восьмидесяти (ста двадцати, двухсот) тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев (до одного года, до восемнадцати месяцев);
· полный размер прямого действительного ущерба;
· увольнение за однократное грубое нарушение трудовых обязанностей;
· до двух (трех, пяти, десяти) лет.
На месте офицера службы ИБ организации непросто разобраться, как называть нарушителя и какое наказание к нему применить? Чем в принципиальном плане различается просто разглашение от неправомерного разглашения или от разглашения третьим лицам. А незаконное использование от неправомерного использования предмета действия, и как это все собрать воедино в документах конкретной организации?
По предмету действия, также немало разных толкований фактически одних и тех же понятий. Это и информация, и сведения, и тайна, и право, и конфиденциальность, и сами нормы. Действующее лицо также вариативно: виновное лицо, должностное лицо, гражданин, работник, пользователь, оператор, служащий и т. д. Далее в понятийном аппарате законодателей все четко и ясно: итог наказуемых действий, как в качественном, так и в количественном отношении, определяется достаточно четко. Штраф, возмещение, судебный иск, лишение свободы и вызывает недоумение четкие количественные показатели, имеющие трактовку и не несущие определенности и разъяснений«до ... лет».
Основная проблема в составлении руководящих документов организации, которые должны составляться таким образом, чтобы по возможности не оставлять шансов ухода от наказания нарушителю (определений последнему много) в суде. А шансы в случае юридически неграмотной трактовки основных понятий при определении ответственности нарушителя в документах организации и при его юридически грамотной защите в суде будут немалые. И прецедентное право будет де-факто работать против защитников информации. Неотвратимость наказания по причине необязательности его исполнения превращается в бесконечно малую величину
Уповать на законодателей, призывать к приведению в последовательность и порядок, однозначность толкования, понятийный аппарат в поле обращения с информацией ограниченного доступа не приходится. Руководителю организации приходится самостоятельно как-то изворачиваться и применять порой, не совсем законодательные меры. Т.к. его право как было не защищено, так и остается.
Тем не менее, важность в организации руководящих документов неоспорима. Поэтому термины и определения в руководящих документах по информационной безопасности организации и их соответствие необходимо вводить таким образом, чтобы они в юридическом плане удовлетворяли многообразию понятийного аппарата различных действующих законодательных актов по вопросам обращения с информацией ограниченного доступа (то есть с нашей Тайной). Далее все эти понятия необходимо проводить по всем документам, которые имеют отношение к оформлению порядка установления режима коммерческой тайны организации, и к прочим вопросам обеспечения информационной безопасности организации.
Вопрос подрядных договоров
Следующий проблемный вопрос, касающийся категории сотрудников, работающих в организации не по трудовому, а по гражданско-правовому договору, например по подряду.
При известных обстоятельствах они попадают в группу риска. Поэтому для этой категории также должны быть заложены правовые основы ответственности за незаконные действия с информацией ограниченного доступа.
Если в организации в отношении информации введен режим коммерческой тайны, то это предполагает наличие перечня этой информации, закрепление нормативным образом круга работников организации, допущенных к этой информации, отражение этого факта в трудовом договоре с ними и их должностной инструкции, а также проведение некоторых других мероприятий.
Возможная проблема состоит в том, что внештатный сотрудник не входит в закрепленный распорядительным порядком круг лиц, допущенных к информации, составляющей коммерческую тайну, не имеет трудового договора и утвержденной должностной инструкции. Значит, этот сотрудник теоретически не должен работать с информацией, в отношении которой введен режим коммерческой тайны.
Однако зачастую необходимость такой работы в организации возникает, и тогда приходится решать вопрос грамотного с правовой точки зрения обеспечения работы этих сотрудников с информацией ограниченного доступа. При этом необходимо исключить нарушение режима коммерческой тайны, установленного в организации, и избежать негативных правовых последствий в случае, если таковое нарушение со стороны внештатного сотрудника все-таки произойдет.
В каждом конкретном случае для организации необходима оценка риска нарушения информационной безопасности для модели злоумышленника, имеющего облик инсайдера из вышеупомянутой категории. Риск оценивается как низкий - принимаем его и пишем в руководящие документы организации общие шаблонные фразы об ответственности нарушителя из этой категории в соответствии с действующим законодательством. Риск оценивается как высокий - необходима детальная проработка вопроса и юридически грамотная фиксация необходимых положений как в руководящих документах по обеспечению информационной безопасности организации, так и в других документах, например в том же гражданско-правовом договоре с сотрудником или в дополнительном соглашении к этому договору.
Несоответствия в законодательной базе в области банковской тайне
Есть ряд несоответствий и законодательных противоречий в области банковской тайны. Основные нормы для правового регулирования понятия банковской тайны присутствуют в части второй ГК РФ от 26.01.96 № 14-ФЗ (ст. 857 и др.), а также в федеральном законе «О банках и банковской деятельности» от 02.12.90 № 395-1 (ст. 26 и др.).
В ГК РФ субъектом, обязанным хранить банковскую тайну, определен банк, а в законе «О банках и банковской деятельности» - кредитная организация, что является более широким понятием. В кодексе при определении понятия банковской тайны говорится только об операциях по счету, а в законе - об операциях вообще, то есть подразумеваются любые банковские операции. Кодексом ответственность за разглашение банковской тайны определяется в виде возмещения причиненных клиенту убытков, а законом - возмещение нанесенного ущерба, что является ограничением ответственности по сравнению с мерой, указанной в кодексе.
Эти противоречивые моменты надо знать и учитывать при формировании локальной нормативной базы организации по вопросам правовой основы обеспечения информационной безопасности. Например, если при составлении перечня сведений, составляющих коммерческую тайну организации, положить в основу нормы закона «О банках и банковской деятельности», то они могут стать миной замедленного действия, которая сработает в ходе судебного разбирательства с инсайдером, так как там будет учтено главенство Гражданского кодекса над нормами федерального закона в соответствии со ст. 3 этого кодекса. И здесь уже не поможет грамотное оформление всех остальных документов в пострадавшей от инсайдера организации.
После упразнения из числа законодательно закрепленных понятий тайн категории «служебная» в связи с введением части четвертой ГК РФ почти единственным законодательным основанием для легитимного существования этой категории тайн остался известный указ Президента Российской Федерации от 06.03.97 № 188 (с изменениями от 23.09.2005) «Об утверждении перечня сведений конфиденциального характера». Правовой статус указа определяется нормой, зафиксированной в п. 5 ст. 3 ГК РФ: «В случае противоречия указа Президента Российской Федерации или постановления Правительства РФ настоящему Кодексу или иному закону применяется настоящий Кодекс или соответствующий закон».
В п. 3 указа имеет место упоминание служебной тайны фактически как атрибута только органов государственной власти: «Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с ГК РФ и федеральными законами (служебная тайна)».
Указу в этом плане вторит, но уже более однозначно и категорично ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», который определяет служебную тайну как «защищаемую по закону конфиденциальную информацию, ставшую известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебную информацию о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости».
Статья 8 федерального закона «Об информации, информационных технологиях и о защите информации» содержит упоминание вскользь о служебной тайне, не определяя ее должным образом: «Не может быть ограничен доступ к... информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну)».
В этом же законе в ст. 9 информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности, определяется как профессиональная тайна.
Возникает вопрос, как связано понятие этой тайны с секретом производства (ст. 1465 ГК РФ), а через него с понятием коммерческой тайны (ст. 3, п. 2 закона «О коммерческой тайне»), имея в виду ранее установленную их тождественность. Вопрос в том, чтобы не довести процесс рассмотрения вопросов, связанных с категорией тайн, до юридического коллапса. Есть подозрения, а не является ли профессиональная тайна составной частью коммерческой («... а также сведения о способах осуществления профессиональной деятельности...»)? Почему тогда для однозначности толкования правого статуса очередной тайны часть четвертая ГК РФ не упомянула о ней или при своем введение в действие не внесла коррективы в соответствующие федеральные законы.
Таким образом категория служебной тайны для негосударственных организаций является запретной, да и на вновь обозначенную профессиональную тайну нет надежды. А в условиях фактического ограничения сферы влияния понятия коммерческой тайны, и при наличии законодательных надежность правовой основы при построении системы менеджмента информационной безопасности организации уменьшается.
5.4 Выводы
Специалисту по информационной безопасности часто приходится ко всем прочим своим заслугам и достижениям, быть и хорошим юристом, умеющим грамотно вчитываться в аспекты законодательной и нормативной базы. Если это не делать, тогда вся построенная корпоративная защита на предприятии рассыплется в одночасье, хотя могла строиться годами и иметь приличный уровень. А все потому, что отсутствие в терминологии и понятиях общего знаменателя в законодательной базе, способно открыть двери перед любым мошенником. И шансы компании, при не корректно составленном пакете организационных документов, либо при не учете, потребности регулярно обновлять этот пакет, в связи с меняющимися положениями в законе, стремятся к нулю. С учетом развитости нынешнего поколения людей и подрастающей молодежи, которая уже на порядок по развитию опережает нас, сегодняшних, доступностью разнородной информации, в частности подходов к причинению предприятию ущерба с целью личной выгоды, дополнились и обязанности защитников информации. Как в прочем и кадровых, организационных служб любого предприятия.
На примере коммерческой тайны и персональных данных, мы уже увидели в этой главе, как предприятие способно быть бессильным. А если эти данные результат очень дорогих маркетинговых исследований, и скажем, если это еще и главная деятельность компании, тогда компанию можно закрывать.
Приятно, что возникло шевеление в законодательной базе. Но к сожалению, пока нет справедливых примеров судопроизводства, как и регулирующего органа, способного отслеживать выполнение указаний законодательства, и пока этого не будет, пока психология людей привыкла видеть только негатив, мошенничество, инсайд будут процветать и дальше.
ЗАКЛЮЧЕНИЕ
В дипломном проекте была исследована одна из опаснейших угроз информационной безопасности, которая стремительно набирает силу по всему миру и статистика неумолимо об этом кричит. В связи с тем, что угроза социальной инженерии непосредственно связана с человеческим фактором, осуществить математическую оценку риска и рассчитать стоимость этого риска не представляется возможным. А то что возможно рассчитать, сегодня компании не используют в виду дороговизны проведения такой оценки и отсутствием достаточного количества специалистов в области психоанализа.
В работе была рассмотрена история появления социальной инженерии изначально, как термина, позднее, как формирование межотраслевой науки. Были выяснены ключевые задачи, для каких целей она создавалась. Определена методическая и научная база, которая вошла в качестве инструментов и методов в социальную инженерию. Было рассмотрено, где сегодня социальная инженерия нашла свое применение в индустрии и как один из инструментов мошенничества.
Данные основные определения и рассмотрены механизмы атак, используемые социоинженерами в своей деятельности.
Изучена международная статистика по внешним и внутренним угрозам с использованием социальной инженерии. Выяснено, насколько социальная инженерия является реальной, а не мифической угрозой. Изучены направления атак и используемые в них угрозы, в которых возможно применение социотехники.
Рассмотрены основные психологические составляющие социальной инженерии, и её родителя социальной психологии.
На основании изученной угрозы, её использования в настоящее время, выработано ряд организационно-технических рекомендаций, которые можно использовать в любой организации, включив их в «Политику информационной безопасности».
В организационно-экономической части создан и рассчитан шаблон проекта по проведению информационного аудита с целью выявления угроз способных использовать социотехнические методы и построения защиты от данного вида угроз.
В организационно-правовой части были рассмотрены правовые вопросы, которые следует применять при составлении пакета корпоративных документов и использующих коммерческую тайну и персональные данные.
Таким образом, все задачи, поставленные в Техническом задании рассмотрены и выполнены.
РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА ДЛЯ САМОСТОЯТЕЛЬНОГО ИЗУЧЕНИЯ
1. Шейнов В.П. Скрытое управление человеком: психология манипулирования. - АСТ Харвест, 2006 г.
2. Литвак М.Е. - Командовать или подчиняться?// Изд. 4-е. -- Ростов н/Д: изд-во «Феникс», 2004, - 284 с.
3. Литвак М.Е. -Психологический вампиризма.
4. Ковров А. В. Лояльность персонала. - М.: Бератор, 2004.
5. Леонгард К. Акцентуированные личности. -- М.:Мир, 1988.
6. Мандиа К., Просик К. Защита от вторжений. Расследование компьютерных преступлений// М.: «ЛОРИ», 2005
7. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. - СПб.: Питер, 2008.
8. Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. - СПб.: БХВ-Петербург, 2007
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
1. Гастев А.К. Как надо работать. Практическое введение в науку организации труда. Изд. 2-е. М.,1972.
2. Гастев А.К. Социальные установки// У истоков НОТ: забытые дискуссии и нереализованные идеи. Л., 1990.
3. Большой словарь по социологии, проект www.rusword.com.ua или www.glossary.ru
4. Голованов О. Краткий словарь по социологии. 2001 г.
5. Яценко Н.Е. Толковый словарь обществоведческих терминов. 1999 г.
6. Социологический словарь проекта Socium, 2003 г. http://voluntary.ru/dictionary/572/
7. Генне О.В. Заметки о социальной инженерии //Защита информации. INSIDE. №6, 2006 г. стр. 16-19
8. Википедия - свободная энциклопедия http://ru.wikipedia.org
9. Бычек В., Ершова Е. Социальная инженерия в интеллектуальной битве «добра» и «зла» //Защита информации. INSIDE. №6, 2006 г. стр. 20-27
10. Данилов М.П. Самая опасная уязвимость //Защита информации. INSIDE. №6, 2006 г. стр. 32-35
11. Гастев А. К. Трудовые установки. М, 1973
12. Задорин И. Три профессиональных позиции социолога и репутация профессии. // Круглый стол Российского Форума 25.10.2003 www.zircon.ru/russian/publication/6/031030.htm
13. Кравченко А. И. Прикладные исследования в США // Социологнческие исследования. 1987. №3
14. Социальная психология. М., 1975.
15. Глоссарий.ру www.glossary.ru
16. Высшее образование. Справочник. www.examen.ru/db/Examine/defacto.html
17. Стейнберг Джеффри. Научная диктатура. От кибернетики к Литтлтону - техника управления разумом // Executive Intelligence Review от 5 мая 2000 г.
18. Большаков К., Тренируй и властвуй// Коммерсант-Деньги. №36, 2004 г. стр. 79-82.
19. Центр Анализа Интернет Ресурсов. Опасны ли жестокие компьютерные игры? от 15.04.2005 г. www.cair.ru
20. Дацюк С., Гриновский В. Индустрия социальной инженерии - концепция. октябрь 1998 г. http://www.uis.kiev.ua/discussion/soc_ing.html
21. Касперски Крис. Секретное оружие социальной инженерии.
22. Шейнов В.П. Скрытое управление человеком: психология манипулирования. - АСТ Харвест, 2006 г.
23. Литвак М.Е. - Командовать или подчиняться?// Изд. 4-е. -- Ростов н/Д: изд-во «Феникс», 2004, - 284 с.
24. Доля А.А. Внутренние ИТ-угрозы в России - 2006 //Защита информации. INSIDE. №2, 2007 г. стр. 60-69
25. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. - СПб.: Питер, 2008.
26. Microsoft «Как защитить внутреннюю сеть и сотрудников компании от атак, основанных на использовании социотехники», 16.01.2007 г. http://www.microsoft.com/rus/technet/security/midsizebusiness/topics/complianceandpolicies/socialengineeringthreats.mspx
27. Слепов О. Контентная фильтрация //Jet Info, №10 (149), 2005
28. Шубин А.С. Наша Тайна громко плачет…//Защита информации. INSIDE. №2, 2008 г. стр. 19-27
29. Ковров А. В. Лояльность персонала. - М.: Бератор, 2004.
30. Леонгард К. Акцентуированные личности. -- М.:Мир, 1988.
31. Воробьев С.Я. Свой среди чужих, чужой среди своих //Защита информации. INSIDE. №3, 2007 г. стр. 70-71
32. М.Л. Разу. Управление проектами. Основы проектного управления: учебник// М.: КНОРУС, 2007. - 768 с.
33. В.В. Богданов. Управление проектами в Microsoft Project 2003// СПб.: Питер, 2005. - 604 с.
