Не так давно на мюнхенской конференции Digital-Life-Design Евгений Касперский поделился своими взглядами на будущее ИT-отрасли и угрозы, которые её поджидают. По словам владельца одноименной компании вирусы 90-х были похожи на велосипеды, нынешние — на автомобили, а вот прогремевший в Иране Stuxnet больше смахивает на космический корабль. Ну а Red October он сравнивает с орбитальной станцией. Одним словом, неровен час, мир погрязнет в цифровом беспределе, а защита информации превратится в невыполнимую миссию. Конечно, ожидать появления Скайнет и Терминатора в обозримом будущем не приходится, однако угрозы похищения конфиденциальных данных сегодня приобретают нешуточный размах. Разумеется, любое программное обеспечение имеет «дыры» и лазейки для хакеров, но есть в компаниях вещи куда менее надежные — это их собственные сотрудники.
Феномен социального хакинга, или социального инжиниринга, или социальной инженерии (кому как больше нравится) появился не вчера. Асы промышленного шпионажа давно открыли для себя возможность «разведки по людям». Что бы там ни говорили, а человек — это основная причина и сбоев в работе машин, и отказа программ, и утечки информации.
Откуда всё растет
Если откровенно, методов социального хакинга великое множество. Чаще всего его сравнивают с работой мошенников, ловкачей и наперсточников всех мастей. Всё зависит от целей, которые преследует атакующая сторона. Главный смысл заключается в стимулировании человека на какое-то определенное действие: скачивание файла, отправление SMS-сообщения, разглашение некоторой информации. Прекрасной иллюстрацией к вышеописанному могут стать легендарные «нигерийские» письма. Наверняка многие сталкивались с литературными излияниями бывшего президента или короля какой-нибудь далекой африканской страны с просьбой помочь спасти многомиллионные счета за солидный процент. Алчность играет с людьми злую шутку. Запах «халявных» денег способен подавить даже довод разума.
Но что получается, когда подобные методики социального взлома применяют в отношении бизнеса? Ежегодная конференция Defcon в Лас-Вегасе организует весьма интересные турниры: опытные социальные хакеры буквально за считанные минуты разделывают под орех крупные уважаемые компании вроде Wal-Mart или Target. Правила элементарны: участникам заранее дается цель и отмечаются «флаги», то есть та информация, которой необходимо завладеть, и предоставляется две недели на подготовку к атаке. Когда же начинается соревнование, хакера оставляют наедине с телефоном в отдельной изолированной кабинке. Всё это время разговор транслируется зрителям в зале. Кто быстрее всех раздобыл необходимые данные, тот и выиграл. Всё честно. Так вот, последние несколько лет чемпионский титул принадлежит Шейну Магдугалу. Его контингент для разведки — это менеджеры, отвечающие за продажи. Журналу CNNMoney он сказал следующее: «Стоит поманить большими деньгами, как их здравый смысл улетучивается в тот же миг. Все эти CIO в крупных компаниях готовы тратить бешеные деньги на файерволы и прочую защиту, но ни цента на инструктаж и обучение сотрудников». Что ж, здесь есть о чем задуматься. В конце концов, Шейн разделался с сетью магазинов в рамках турнира, а ведь на его месте мог бы быть человек со злым умыслом. Конкуренты не дремлют.
В зоне риска
При подготовке к атаке социальный хакер выбирает одного или нескольких нужных ему специалистов, а затем приступает к сбору информации из открытых источников. Чтобы воздействовать на человека, необходимо знать, что он собой представляет, какие имеет хобби, черты характера и прочие важные детали. С распространением социальных сетей раздобыть сведения о ком бы то ни было стало значительно проще. Достаточно зайти на страничку «Вконтакте» или Facebook, и вся жизнь человека как на ладони. Более того, можно увидеть даже личные данные, а также высказывания относительно собственной работы и компании в целом. Одним словом, информации непочатый край.
Но вот что интересно: если поколение Х только начинает приобщаться к интернет-культуре, то «игреки» давно уже подсели на социальную иглу: «постят» в ЖЖ, пишут твиты, оставляют комментарии, вывешивают фотографии и многое другое. А учитывая, что люди поколения Y стремительно взрослеют и занимают все большую долю среди работающего населения, можно предположить, что в скором времени каждый сотрудник компании будет обладателем длинного следа в сети, а значит, являться потенциальной жертвой для социального хакера.
Нельзя не упомянуть и другую проблему, которую «игреки» несут своим работодателям: благодаря новому поколению технически подкованных людей сегодня все чаще можно слышать о тренде, именуемом «консьюмеризацией». Работники умственного труда больше не проводят четкого разделения между «офисом» и домом. Как правило, трудовые обязанности после шести вечера плавно перетекают в смартфоны, ноутбуки, домашние компьютеры — и так до тех пор, пока сотрудник не отойдет ко сну. Но если непосредственно в организации действия своего специалиста отследить вполне можно, то вне стен родной компании человек уже предоставлен самому себе, а значит, риск разглашения корпоративных секретов многократно возрастает. Опасный поворот в развитии и применении гаджетов давно уже стал головной болью департаментов информационной безопасности. Так, внедренная на предприятии система DLP или, к примеру, IPS может решать свои задачи по контролю утечки информации из-за банальной неосторожности или даже по злому умыслу — отслеживать передачу данных, особенно файлов, помеченных грифом «конфиденциально». Однако что делать с «любителями» использовать в рабочее время личные смартфоны и планшеты? Разумеется, специалисту, ведущему переговоры с клиентами на чужой территории или, предположим, на нейтральной, в кафе, гораздо удобнее воспользоваться собственным гаджетом, чтобы сделать презентацию ярче, а слова подкрепить фактами и документами. Но тут-то и кроется главная опасность разглашения «лишней» информации. Получается, что на данный момент у руководителей ИБ-подразделений приоритетная задача — взять под контроль бесконтрольное использование личных устройств сотрудников в рабочее время. Благо выбор ИТ-инструментов, помогающих справиться с этой задачей, сегодня уже достаточен.
Шеф, всё пропало!
Но вернемся к нашим баранам: какие шаги стоит предпринять, дабы на корню пресечь атаку хакера? Как ни крути, а социальные шпионы обладают обширным инструментарием. В их арсенале телефоны, личные встречи, электронная почта, социальные сети, форумы и много чего еще. Сотрудники российского отделения Defcon Алексей Синцов, Дмитрий Евдокимов и Алексей Тюрин в один голос заявляют: необходимо повышать образование, иначе социальный инжиниринг не победить! Нужно учить сотрудников самым базовым вещам, например не открывать подозрительных писем, не поднимать флешек с пола и многому другому. Разумеется, взломщики встречаются на редкость изощренные и способы воздействия на человека придумывают самые немыслимые. Однако подробный инструктаж рабочего персонала снизит риск утечки информации, что тоже, согласитесь, неплохо!
Но что будет представлять собой подобное обучение? Инженер Антон Щеголев поделился своими впечатлениями от мероприятия, которое устраивала компания Siemens в надежде научить сотрудников держать язык за зубами: «Ничего особенно рассказать не могу, это был короткий тренинг в электронной форме. Сначала нам дали справку о том, что такое социальный инжиниринг, а затем провели тест для закрепления информации». Неужели подобный урок может дать хоть какие-то результаты? Готова биться об заклад, что сотрудники компании уже через неделю и думать забыли о существовании какой-то там угрозы. В свете нынешних событий такая полумера может свидетельствовать о совершенно халатном отношении к проблеме. Чтобы хоть как-то обезопасить компанию от социальных хакеров, необходимо в первую очередь разработать подробные инструкции о том, как вести себя во время телефонных разговоров, при переписке и общении с посетителями. А уж дальше распространять информацию среди сотрудников. Хоть стенгазеты вешать, главное, чтобы было всегда перед глазами и служило напоминанием. Нелишне будет и проверки на готовность устраивать время от времени: запускать собственного агента и смотреть, что из этого выйдет. В конце концов, у советской России имеется огромный опыт по борьбе с утечкой информации. Чего только стоит один плакат «Болтун — находка для шпиона!». Вот поистине главный урок, который стоит преподать своим сотрудникам.
А был ли мальчик?
При всех тех ужасах, что являет собой социальный хакинг, в России его не боятся. В 2011 году компания Symantec проводила исследование, чтобы выяснить мнение отечественных предпринимателей по поводу информационной безопасности. И вот что вышло: 67% опрошенных знают о вредоносном ПО, о том, какие риски несет оно для сохранности корпоративных данных. Осведомлены бизнесмены и об опасности использования в работе смартфонов. Идем далее, 54% считают, что вирусы приводят к потере производительности труда, 46% соглашаются, что действия «взломщиков» могут стать причиной убытков, 36% признают, что хакеры могут получить доступ ко всем секретам фирмы, 20% винят «злое» ПО в уходе клиентов. Разумеется, предупрежден — значит вооружен. Но ведь руководители при всем том не боятся оказаться жертвами хакеров и продолжают игнорировать ИБ!
Конечно, речь не идет о крупном бизнесе, но малые и средние российские компании наплевательски относятся к угрозам, и вот почему: руководители считают, что никакой особо ценной информации в компании нет.
«Что касается болтливых менеджеров, то это скорее всего результат неверного распределения информации, плохой структурированности компании, а также снисходительного отношения к корпоративным слухам. Ведь такие “информаторы” никогда не расскажут о реальных делах компании. Можно наслушаться столько всего, что упаси Господь по этим данным строить или корректировать свой бизнес», — отмечает коммерческий директор ООО «ВАЗЛ» Дмитрий Ткачев.
И в чем-то он безусловно прав. Действительно ли так ценна информация, подслушанная во время «атаки»? В конце концов, сотрудник может и не знать всех дел, что творятся в компании, и накормить шпиона обычными слухами.
При этом Дмитрий добавляет: «При необходимости можно через “своего” человека в налоговой узнать “белые” обороты компании, а “знакомый” из банка подскажет, с кем и на какие суммы осуществлялись сделки».
А вот это уже наша российская действительность. И какая DLP, IPS или другая хитрая система поможет справиться с такой ситуацией, остается неясно.
Однако не думайте, что только представители малого и среднего бизнеса смотрят на угрозы сквозь пальцы. Эксперт из компании Cisco в области ИБ Алексей Лукацкий прокомментировал риск утечки информации по вине «словесной несдержанности» сотрудников следующим образом: «Социальный инжиниринг потому и называется социальным, что использует совершенно иные методы получения доступа к конфиденциальной информации, коренным образом отличающиеся от традиционных способов взлома информационных систем. На техническом уровне социальный инжиниринг не ведется, поэтому и технологических средств защиты от этой атаки не существует. Ведь сотрудник раскрывает те данные, к которым ему и так разрешен доступ. Заблокировать такие попытки “слива” информации практически невозможно. Максимум, что можно сделать, — это сохранять всю переписку и все телефонные переговоры для дальнейшего анализа. Но это параноидальная безопасность, которая мало кому под силу и мало кому нужна, так как нарушается ключевой принцип ИБ: защита информации должна стоить меньше защищаемой информации». Вот так и выходит, что отечественный бизнес работает на свой страх и риск. А правильно это или нет, каждому предоставим решать самостоятельно.