Информационная безопаснось

Сегодня всемирная популярность социальных сетей продолжает набирать обороты, все большее пользователей  не может отказать себе в удовольствии пробежаться по акаунтам знакомых и  не знакомых, но интересных ему людей.

Согласно исследованию, проведанному недавно компанией Trend Micro в США, Великобритании, Японии и Германии, число посещений социальных сетей с рабочих мест возросло. В этом году уже 19% респондентов (против 15% в конце 2007 года) признают, что посвящают им часть своего рабочего дня. Такова общемировая тенденция, она, безусловно, затрагивает и Россию. Согласно отчету TNS Web Index в июне этого года ресурс «Вконтакте» в первый же месяц после установки счетчиков вошел в пятерку самых посещаемых ресурсов рунета. Также в пятерку лидеров входят и «Одноклассники». Что примечательно, пики посещаемости этих ресурсов приходятся на рабочие часы в будни.

Подобная тенденция не может  не вызывать опасений у корпоративных  служб информационной безопасности. Ведь было бы удивительно, если бы киберпреступники не попытались бы обратить новые сервисы к собственной выгоде, так же, как когда-то электронную почту и спам в программах обмена мгновенными сообщениями.

Прежде одним из излюбленных  инструментов киберпреступников для  атаки на компьютеры были массовые рассылки писем с вложениями, которые направляли пользователей на зараженные порталы или же непосредственно запускали загрузка потенциально опасного программного обеспечения. Сегодня же у злоумышленников есть возможность совершенно открыто размещать свои ящики Пандоры на популярных сайтах. Они больше не тратят усилия на то, чтобы обойти спам-фильтры и заманить пользователей во всем хорошо знакомые ловушки (например, реклама контента для взрослых, схемы быстрого обогащения или безотказные рецептов покорения противоположного пола). Теперь хакеры интегрируют свои модули в сайты с хорошей репутацией, заслуживающие доверия.

Вредоносные программы распространяются через списки друзей на социальных сайтах. На тех же сайтах размещаются  баннеры, кликнув которые пользователь запускает установку вредоносного кода или отправляется по цепи переадресаций по сайтам, которые проверяют защищенность рабочей станции, ищут бреши в безопасности и загружают опасное ПО. Сама переадресация пользователю не видна, и в результате он действительно оказывается на рекламируемом сайте, но атака на его компьютер уже произведена.

Также, киберпреступники эксплуатируют  доверие пользователей к администрациям социальных сетей, и зачастую пытаются обмануть доверчивых пользователей, маскируясь под известного жертве и пользующегося доверием отправителя. Только в этом году стало известно о нескольких случаях массовых рассылок писем якобы от лица администрации порталов. Это могут быть, например, мнимые сервисные сообщения, подделки под извещения об оставленном на аккаунте сообщении или о присвоенной фотографии оценке.

«Здравствуйте, имярек! Вам пришло новое сообщение от пользователя такого-то. Чтобы прочитать сообщение, перейдите по ссылке: http://www.odnoklassniks.info/**********». Одноклассникам также предлагалось проголосовать за «Мисс Рунет», при нажатии кнопки «Отдать свой голос» на компьютер загружались несколько троянов.

Внимательный пользователь обратит  внимание на то, что имя домена несколько  искажено - odnoklassniks.info. Но не для каждого  очевидно, что это подставной сайт и что не следует переходить по предложенной ссылке. В каждом случае десятки тысяч пользователей кликали ссылки, даже не вдаваясь в нюансы.

Как видим из приведенных примеров, основным инструментом в руках киберпреступников, использующих социальные сети, становятся приемы социального инжиниринга, эксплуатирующие неопытность, невнимательность, неосторожность и элементарное любопытство пользователя. Поэтому учет (найти какой-нибудь синоним посимпатичнее вместо учета) человеческого фактора становится ключевым в обеспечении информационной безопасности. Как обоснованно считают эксперты, целью подобных атак является не просто кража персональной информации пользователей, а запуск еще больших атак через страничку жертвы на социальном сайте, либо подключение компьютера жертвы к бот-нету для массовых рассылок спама, участия в DDoS атаках. Во всех перечисленных случаях за атаками стоят коммерческие интересы и немалые деньги. Социальные сети тем интереснее и перспективнее для киберпреступников, чем больше потенциальных жертв они привлекают и чем больше разнообразных Web 2.0 сервисов предоставляют.

Еще недавно самым верным с точки  зрения обеспечения адекватного  уровня безопасности решением было бы «все закрыть и не пускать» и таким  образом минимизировать угрозы, связанные с неосторожным поведением пользователей в социальных сетях. Однако будет справедливым заметить, что с точки зрения обеспечения множества бизнес-процессов современных компаний – это просто невозможно. Социальные сети и прочие Web 2.0 сервисы уже давно и прочно стали необходимым инструментом в руках подразделений маркетинга, связей с общественностью, продаж, подбора персонала, к работникам, занимающимся промышленной разведкой и обеспечением безопасности. Время «черных списков» прошло.

К счастью, сегодня и поставщикам решений по обеспечению информационной безопасности, интеграторам решений и разработчикам корпоративных политик безопасности, есть, что противопоставить новому спектру угроз.

В части технических средств  противодействия зловредному ПО - комплексные средства мониторинга, анализа и фильтрации входящего и исходящего трафика на уровне шлюзов, а также средства анализа поведения приложений и сетевых коммуникаций.

В части управления доступом к потенциально опасной среде – диверсифицированные внутрикорпоративные политики «белых списков» и фильтрации контента для различных групп пользователей. Суть не в распределении привилегий пользования средствами обмена мгновенными сообщениями или прав выходить в ЖЖ, а в оптимизации рисков и мер их оптимизации.

Так, для каждой группы пользователей  создается специфический «белый список», например, по результатам оценки потенциальной опасности ресурсов с точки зрения существующей веб-репутации, или наличия-отсутствия сертификата SSL, или по определенному профилю контентной фильтрации. Речь не идет о банальном перечислении ресурсов, разрешенных к посещению. Соответственно настраиваются и средства безопасности для группы пользователей, для тех, кто должен работать в потенциально более опасной среде, политики буду жестче, проверки будут проводиться чаще и более тонко настраиваемыми средствами.

Кроме того, совершенно необходимо проводить  адекватную разъяснительную и просветительскую работу среди персонала. Как ни банально, но людей необходимо обучать поведению в современной ИТ-среде. Ведь большинство приходящих в компании «продвинутых пользователей ПК» не имеют ясного представления о существующих угрозах и о средствах информационной безопасности.

Наиболее распространенными способами  и основными рычагами воздействия на сотрудников являются меры дисциплинарной, гражданской и даже уголовной ответственности в совокупности с программами повышения осведомленности пользователей. Но не всегда менеджмент воспринимает систему организационных мер как действенный инструмент в защите от угроз информационной безопасности. А ведь беспечное поведение людей в социальных сетях в большинстве случаев связано как раз с незнанием того, что их действия могут принести вред бизнесу компании, в которой они работают. Реализация этих мер – это довольно большой объем работы: создание и доведение до сведения сотрудников локальных нормативных актов, регламентов или инструкции, внедрение режима коммерческой тайны, подразумевающего большого комплекса мероприятий, в том числе и организационно-методических. Поэтому компании, работающие в сфере информационной безопасности, иногда имеют в портфеле своих услуг и этот вид деятельности. Например, для Федерального дорожного агентства Министерства транспорта РФ специалисты КРОК создали систему обеспечения безопасности корпоративной информационной системы управления. Были разработаны концепции и политики обеспечения информационной безопасности, осуществлена подготовка организационно-распределительных документов и создан ведомственный удостоверяющий центр. Еще раз хочу указать, что организационно-технический меры – это часть комплекса работ, не заменяющая технических средств, а дополняющая их, и только их сочетание даёт необходимый эффект в области защиты информации.

Экспертное сообщество справедливо, на мой взгляд, оценивает перспективы дальнейшего развития социальных сетей и эволюции угроз, связанных с ними. По мере развития Web2.0 сервисов киберпреступники также будут совершенствовать свои инструменты и, в каких-то случаях будут опережать службы безопасности, чья роль в части совершенствования систем, как правило, останется реактивной.. Сегодня системы постепенно выходят за пределы корпоративной сети, то есть они нацелены уже не столько на обнаружение и ликвидацию опасного ПО внутри, а на идентификацию и обезвреживание или изолирование угроз на внешних подступах – на уровне шлюзов и даже в Глобальной Сети. И как мне кажется, такое развитие продолжится в ближайшие годы. Но помимо совершенствования технических средств, безусловно, возрастет роль работы с персоналом. Ведь, согласно тому же исследованию компании Trend Micro, 45% опрошенных признали, что посылали конфиденциальные данные с помощью веб-интерфейса электронной почты, а никакой программно-аппаратный комплекс не научит пользователя не отправлять конфиденциальные денные по незащищенным каналам и тем более не размещать их в своем онлайн дневнике.

Социальные  сети и информационная безопасность

 
Очень большое внимание за последние 3 – 4 года уделено теме приватности  и информационной безопасности в  социальных сетях. И это вполне можно объяснить, ведь все больше социальных сетей открываются для внешнего мира, пользовательские аккаунты легко взламываются, случается утечка личных данных, а администрация сетей обладает доступом к любой информации. Но, как говорится, это только верхушка айсберга, которую все видят и о которой пишут СМИ. Эта верхушка, кстати, представляет далеко не полную картину потенциальных угроз для личной информации человека.

 
Самый безобидный на первый взгляд вариант - когда используются личные данные без разрешения. Это внутренние механизмы Соцсетей, показывающие таргетированную рекламу, производящие отбор интересного контента и подбор потенциальных знакомых. Этот вариант никто не скрывает. Данные механизмы анализируют, собирают личные данные, а затем используют в коммерческих целях. Кроме этого, социальные сети передают личные данные во внешний мир и такой факт уже официально признан. Об этом я прочитала здесь.  
 
Для людей создает много проблем утечка личной информации по вине Соцсети. Самая большая утечка данных была зафиксирована весной 2011 года в сети PlayStation Network. Тогда 77млн. пользователей пострадало от этого и до сих пор не выяснены последствия этого случая, есть только предположения. 
 
Но социальные сети несут в себе еще более серьезные проблемы, которые могут быть вызваны взломом отдельных аккаунтов пользователей и получения свободного доступа ко всем личным данным. В настоящее время это совсем не сложно даже для обычного пользователя, который умеет пользоваться социальной инженерией. Помимо этого существует ряд специальных услуг по взлому аккаунтов, цена такой услуги всего 20 долларов.

 
Не стоит забывать о фишинге  и вирусах, которые незаметно для вас воруют пароль и логин, затем их используют для незаконных целей.

 
Самой большой угрозой считается  тот факт, что доступ ко всем личным данным есть у большой группы лиц, которые в любой момент могут  ее просматривать, даже тогда, когда  человек удаляет что-то из своего аккаунта.

 
Во-первых, администрация социальных сетей, у которой есть свободный  доступ к базе данных и специальный  мастер-пароль (в Facebook), используя который  можно войти в любой аккаунт.

 
Во-вторых, социальные сети предоставляют доступ правоохранительным органам.

 
Этому конечно можно найти логическое объяснение. Администрация обязана  иметь доступ, это их работа, правоохранительные органы отлавливают в Соцсетях преступников, но это не ограждает от опасности, что данные не будут переданы третьим лицам. И весьма часто такой информацией могут быть конфиденциальные данные или целый психологический портрет. 
 
В заключение добавлю, что люди, однажды столкнувшиеся с данной проблемой, всё чаще фильтруют информацию, прежде чем выложить ее в социальные сети, предоставляют ложные данные, либо вообще удаляют данные о себе из Соцсетей. Но прежде чем вы создадите свой аккаунт, помните одну интересную вещь: даже удаление личных данных не даст полной уверенности в информационной безопасности. Почему? Потому, что социальные сети сохраняют информацию на своих серверах и могут в дальнейшем ее использовать.

В последние 3-4 года тема информационной безопасности и приватности  в социальных сетях привлекает много  внимания. Это вполне объяснимо: сети все больше открываются внешнему миру, были случаи утечки личных данных, аккаунты пользователей легко взламываются, а у администрации сетей есть доступ к любой информации. Но все это только внешняя часть, которая лежит на поверхности и о которой пишет пресса, однако далеко не полная картина потенциальных угроз для личных данных.

Самым безобидным, на первый взгляд, вариантом использования  личных данных без разрешения пользователя можно считать внутренние механизмы  социальных сетей для показа таргетированной  рекламы, подбора потенциальных знакомых или отбора потенциально интересного контента. Эти механизмы стали стандартом почти во всех социальных сетях, и никто не скрывает данный факт: все они собирают и анализируют личные данные, которых в любой сети очень много, а потом используют их в коммерческих целях. Более того, социальные сети передают личные данные во внешний мир, и уже официально успели признать этот факт.