ИНТЕРНЕТ Социальные сайты потенциально опасны для компании. Как с этим бороться и как это использовать

В феврале текущего года, на HeadHunter были опубликованы результаты опроса 1600 пользователей ресурса о том, как их работодатели следят за внерабочей интернет-активностью сотрудников.

Комментарии к размещенной на hh.ru статье, а также личный опыт общения с персоналом коммерческих фирм, руководителями и собственниками компаний, позволяют сделать вывод, что работники не понимают опасности утечки различной информации через интернет, а многие работодатели не придают значения реальным информационным угрозам, заключающимся в возможностях социальных и специализированных сетей интернета, которые все чаще используются в интересах конкурентной (коммерческой) разведки.

В статье опускаются часто публикуемые проблемы потерь компаний, связанных с отвлечением персонала на общение в социальных сайтах в рабочее время, а также какие-либо подробности из личной жизни работников, размещенные на персональных страницах. Это не проблемы безопасности. Общение в интернете в принципе закреплено, как норма основного права человека. Если персонал на рабочих местах имеет возможность проводить свое рабочее время в социальных сайтах и другой личной переписке, то вопросы стоит задавать тем, кто организовывает рабочие/производственные процессы, а также задуматься над тем как могут повлиять встречающиеся в интернете нарушения работниками общепринятых морально-этических норм на goodwill компании…

В данной статье рассматриваются реальные угрозы бизнесу, связанные с возможностью утечки информации, имеющей коммерческую ценность, а также описываются основные принципы как разведывательной, так и контрразведывательной деятельности, использующей возможности интернета в интересах информационной безопасности компании.

Спешу предупредить, что:

1). Все описываемые в статье мероприятия не превышают рамки правовых норм;
2). Концептуальное описание мероприятий с красивыми и таинственными названиями «разведка» и «контрразведка», несмотря на кажущуюся простоту, не является призывом к непрофессиональному и внесистемному применению, так как по причине высокой вероятности допуска непрофессионалами ошибок, могут не иметь желаемого результата и более того – принести вред;
3). Статья имеет исключительно информационно-познавательный характер.

Итак, некие информационно-управленческие мероприятия с использованием возможностей интернета разделим на два этапа: разведка в отношении компании и контрразведка в интересах компании.

I-й этап – «Детские игры из Интернета»

Многие подростки (и не только), просиживающие дни напролет во всевозможных интернет-сетях, баловства ради, или из любопытства создают в сетях так называемые «фейки». Одно из значений этого слова связано с поддельными аккаунтами и применяется на любом сайте, где есть регистрация. Фейковый аккаунт - это анкета, представляющая либо несуществующего человека, либо существующего, но эту анкету создал или содержит вовсе не тот, кого она представляет. Таким образом, у любого человека появляется возможность выдавать себя в интернете совсем за другого человека. Так на социальных сайтах появляются сногсшибательные полу- и совсем обнаженные раскомплексованные красавицы и красавцы, десятки одних и тех же публичных персон и просто интересных людей с выдающейся внешностью и другими личностными достоинствами… Некоторые пользователи сетей, например, в стремлении заработать привилегии для своих реальных аккаунтов создают целые системы «фейков», которые так или иначе отмечают на сайте реальный аккаунт, хвалят его, присуждают ему какие либо баллы и прочее. Масса появляющихся при этом возможностей для общения с, в большинстве своем, доверчивыми людьми приводит к фактам информационного взаимодействия, «дружбе в сети», всевозможным объединениям, в которых реальные пользователи общаются «по душам» с выдуманными героями, при этом абсолютно ничего не подозревая. Таким образом, в интернете проявляются возможности социальной инженерии, т.е. возможности целенаправленного влияния на людей.

Социальная инженерия в интернете - термин, использующийся для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения, цель - обхитрить людей, различными способами войти в доверие и получить от них необходимую информацию, или спровоцировать совершить определенные и реальные действия. Если результат такого воздействия не имеет за собой последствий оскорбления чести и достоинства личности и, каких либо других, законодательно закрепленных правонарушений или преступлений, то и сами действия социальной инженерии преступными признаны быть не могут…

Использование системы фейков позволяет проверить работников компании на предмет болтливости в интернете

Одно дело - подозрение работников в болтливости, ведущей к риску утечки информации коммерчески-ценной для компании и совсем другое – реальная проверка на возможность такой утечки и получение конкретных результатов, т.е. упреждение утечки информации. Простейшие навыки поиска в интернете позволяют найти личные страницы любого человека, размещающего информацию о себе в различных социальных сетях и сообществах. Мероприятия конкурентной (коммерческой) разведки, с использованием интернет-ресурсов в отношении отдельных компаний используют, в том числе подобные методы поиска информации о сотрудниках разведываемой компании по различным критериям, описывать которые я не буду, по причине необходимой при этом фундаментальности.

Кроме того, не секрет, что любая компания, использующая собственные IT- ресурсы, имеет возможность определения посещаемости работниками сайтов, в простейшем варианте - через чтение логов. То есть, при проведении проверки на болтливость собственного персонала, возможностей по определению и регистрации персонала компании на различных сайтах интернета гораздо больше, чем у внешних интернет-разведчиков.

Почему для проверки целесообразно использовать систему фейков, а не одного? Причин несколько. Во-первых, фейки должны отличаться как по гендерным и возрастным признакам, быть распределенными по различным сетям, в которых зарегистрированы работники компании, так и различаться по психотипам. Такое разнообразие псевдо-аккаунтов позволит наиболее эффективно соответствовать интересам всех работников компании, использующих для общения в сетях различные ресурсы. Во-вторых, система фейков должна быть соизмерима с исследуемым коллективом. Узко ограниченное количество фейков может привести к объединению формируемых групп исследуемых работников между собой через единых «друзей», т.е. фейков и как нежелательный результат – обмен информацией между проверяемыми работниками. Стоит добавить, что процесс формирования сети фейков достаточно трудоемкий и длительный, ведь каждый из них должен быть максимально похожим на реального пользователя интернета, иметь собственное окружение, «друзей» и желательно, чтобы это были такие же реальные пользователи… Технология социальной инженерии в интернете достаточно подробно описывается на различных специализированных форумах.

Таким образом, чтобы не утомлять внимание читателей, в статье представлены результаты исследования коллектива группы компаний, с общим штатом офисных сотрудников до 300 человек. Исследования проводились в течение 2,5 месяцев. Из общего количества работников, удалось обнаружить порядка 224 (75%) людей, зарегистрированных на различных социальных сайтах. Попытки установить с ними контакт увенчались успехом в 89 случаях (40%). Активно обсуждали со своими «друзьями» особенности своей работы 16 работников (18%). Обрывочная информация, полученная от каждого из этих работников позволила:

а). Сформировать персональные данные о собственниках бизнеса и основном руководстве;
б). Получить информацию конфиденциального характера об участии в конкретном закрытом тендере, его заказчике и даже ценовых предложениях (!!!);
в). Получить массу информации об особенностях служебных и личных взаимоотношений в коллективе.

Ограничение сроков такого исследования было исключительно искусственным, совершенно очевидно, что ничего не мешает использовать системы фейков в интересах конкурентной (коммерческой) разведки конкретной компании неопределенно долгий период времени, превращая его во все более ценный и информативный источник…

Бытует мнение о том, что эффективность таких исследований коллектива работников зависит в большей степени от профессионализма проводящего исследование, чем от усилий по ограничению работников в обмене различной конфиденциальной информацией в социальных сетях. Однако проводить работу с персоналом предприятий необходимо и ключ к успеху в основном заключается в профилактической работе.

Чтобы упредить вполне справедливые реплики, типа: «зачем все это нужно…», «это похоже на какой то бред…», «больше руководству заняться нечем…» и т.п. перейдем к описанию второго этапа.

II-й этап – «Детские игры с Интернетом»

Использование системы фейков и реальных аккаунтов в интернете позволяет вскрывать разведывательные мероприятия в отношении компании

Процедура несколько более тонкая, чем та, которая описывается в первом этапе. Основные принципы при формировании соответствующей системы:

1). В систему могут быть включены реальные пользователи - работники компании, имеющие определенную степень доверия и соответствующим образом проинструктированные в поведении при различных информационных контактах;

2). Количество фейков в системе не должно превышать в общей сумме с реальными аккаунтами в социальных сетях штат компании, т.е., применительно к данным исследования компании, приведенным в первом этапе – не более 76 фейков.

4) В системе должны использоваться, в том числе и такие интернет-ресурсы, на которых имеется возможность подсчета контактеров с аккаунтами.

3). Каждый фейк или реальный пользователь, включенный в систему, как правило имеют несколько аккаунтов в различных интернет ресурса. Аккаунты данных фигурантов системы должны включать признаки, позволяющие их идентифицировать, т.е. привязывать к определенной «личности», вне зависимости фейк это на самом деле, или реальный пользователь. Поясню на примере: на сайте поиска работы есть аккаунт-резюме некоего человека «Иван» с указанием последнего места работы в конкретной компании, даты рождения, конкретного образования, указанием примечательного адреса электронной почты. В тоже время, на социальном сайте «одноклассники», и/или «в контакте», и/или «мой мир» и т.п. есть аккаунт «Иван» с такой же датой рождения, такими же особенностями полученного образования. В тоже время, в каком-нибудь блоге есть аккаунт, использующий часть примечательного адреса электронной почты. Таким образом, при осуществлении поиска в интернете по данным признакам в отношении «конкретного человека», связанного с нашей организацией можно найти все сайты, где он «обитает»… У отдельных участников нашей системы есть аккаунты не коррелируемые по имени, почтовому адресу и прочим очевидным признакам с другими его страницами в интернете, однако присутствуют оригинальные: статьи, высказывания и прочая информация которые повторялись на других страницах «конкретного человека», таким образом, привязать данные этой страницы к «конкретному человеку» возможно лишь при использовании «глубокого поиска» в интернете, с применением специализированных программ и профессиональных специалистов.

Как это работает?

Допустим, что под видом сотрудников компании, в интернете, на различных ресурсах, по выше описанному принципу, развернута система фейков, в том числе с участием реальных работников, которые согласуют свои действия. В случае целенаправленного системного поиска и посещения страниц развернутой системы, а также появлении на нее информационных воздействий, появляется возможность системно определять такие факты, а также содержание информационных контактов из интернета, анализировать контактеров, вести с ними нужный обмен информацией. Распределение аккаунтов системы по сложности распознавания в интернете позволяет определить глубину поиска, т.е. профессионализм контактеров…

В заключение необходимо отметить факт того, что первый полученный анализ информации о системных визитах из интернета на страницы «работников» компании, своей закономерностью и целенаправленностью превысил ожидания руководителя соответствующих исследований, а собственника компании поверг в ужас.

Особенность коммерческой/конкурентной разведки (КР) заключается в том, что она действует методами разведки, однако делает это в рамках правового поля, или использует обход законодательной базы, т.е. так называемые «действия вне правового поля». Борьба с ней синхронизируется со следующими фазами деятельности разведки:
1. Пассивная – сбор информации по объекту разведки и другим сопутствующим факторам. Определение лиц, которые могут стать потенциальными «агентами влияния». В этот момент важно ее своевременно обнаружить и вступить в контр-игру. На этой фазе осуществляются меры дезинформации и провоцируется переход к активной фазе, но уже по собственному сценарию.
2. Подготовительная – разработка «агентов влияния», установление устойчивой информационной связи с конкретными физическими лицами, которые могут оказать воздействие на объект разведки и обеспечить выполнение разведывательной задачи, а также соответствующая мотивация этих лиц. Это могут быть как сотрудники внутри компании, так и другие лица (чиновники, конкуренты и т.п.). В этот период важно, чтобы КР «вышла» на специально предоставленных «агентов влияния» и начала с ними активно работать.
3. Активная – достижение целей КР, выражается в получении конкретной информации, либо воздействие на изменение в деятельности разведываемой фирмы в свою пользу.
Задача СБ – не допустить этого, т.е. для КР предоставляется ложная информация, а также разведка вводится в заблуждение об изменении в деятельности фирмы… Невыполнение задачи КР есть самое страшное ее наказание, в случае с работой КР на аутсерсинге это означает гибель КР, как бизнеса. В случае, если КР фирма-конкурент осуществляет собственными силами, это как правило, означает значительный урон конкурентоспособности по отношению к нашей фирме.
Интернет не единственное информационное поле, где это работает. Также (как и в старые добрые времена) это работает непосредственно в социальных группах.
А теперь поясню на примере: с помощью «росянки», т.е. системы фейков, описанной во второй части статьи, удалось установить устойчивую связь с фейками, которые целенаправленно искали связи с работниками фирмы (на жаргоне: произошло «влипание в росянку»). Среди фейков «росянки» был один – «ТОП-менеджер компании» (кстати реальное ФИО, т.к. человек был предупрежден и подготовлен), который на различных блогах (естественно под псевдонимом, но имеющий «признаки узнаваемости») негативно отзывался о нашей компании, активно вступал в полемику, даже публиковал реальную информацию. Через некоторое время, на сайтах поиска работы появилось его резюме (опять же с признаками узнавания). Вскоре человека «пригласили» на интервьюирование по поводу очень привлекательного места работы… так была слита очень важная дезинформация о переговорах между двумя фирмами-стратегическими партнерами. Получив эту информацию, конкурент выдвинул такую аферту-предложения на участие в проекте, что вопрос об этом самом его участии был вычеркнут партнерами навсегда.
Следует отметить, что уязвимость информационной безопасности в коммерческих структурах имеет очень важный системный недостаток – социальную составляющую (так называемый человеческий фактор).
Любая информационная система это (по степени уязвимости):
1. Человек – человек
2. Человек – средство массовой информации (коммуникации) – человек.
3. Человек - средство связи - человек
4. Человек - автоматизированная система – человек
Как видите, несмотря на развитие систем коммуникаций, преобладающая роль в уязвимости системы продолжает оставаться за персоналом. Какие бы защищенные системы коммуникации и хранения информации не разрабатывались в компании, какие бы совершенные и защищенные ПО не устанавливались, какие бы регламенты по защите коммерческой тайны бы не вводились, в любой момент человеческий фактор может перечеркнуть все усилия. Мало того, что человек сам по себе без коммуникаций в социальной среде не может (это его основная потребность), все знают что существуют и неисправимые (патологические) болтуны. Я их не обвиняю и не имею на это никакого морального права, так как болтливость – психо-физиологическая категория. Что уж говорить о профессиональном воздействии на персонал по получению от него нужной информации в случае осуществления конкурентной разведки.
Однако надо напомнить опыт спецслужб, например по организации защиты государственной тайны. Всегда человек и непосредственная работа с людьми ставились во главу угла.
А теперь сравните с мероприятиями, осуществляемыми в коммерческих организациях по защите информации с соответствующими мероприятиями спецслужб (мероприятия технического характера я опускаю искусственно).
А). Отбор кандидатов на допуск к конфиденциальной информации – одно из основных, но не единственных мероприятий.
Б). Правовое регулирование допуска к конфиденциальной информации (подписка о неразглашении, категорирование уровня доступа, предупреждение об ответственности).
В). Обучение методам работы с конфиденциальной информацией, порядком получения, хранения, передачи, уничтожения.
Б). Профилактическая, информационно-консультационная работа .
Г). Систематическая проверка (в т.ч. и активные мероприятия провокационного характера)
Д). Систематическая оценка качества работы персонала с конфиденциальной информацией и мотивирование (в т.ч. и материальное).
Сравнили? … Уверен, что в большинстве случаев, работа в фирмах по организации систем информационной безопасности сводится к мероприятиям технического и нормативного характеров, которые способны сработать в лучшем случае против случайной утечки, допускаемой по причине халатности персонала, но отнюдь не поможет в случае целенаправленного разведывательного воздействия, а лишь временно осложнит задачу.

No comments: