Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Инструкции по использованию  компьютера могут включать много  нюансов. При ее составлении необходимо учесть следующие моменты:

·   недовольство пользователей (в лучшем случае пользователи не станут выполнять слишком строгую инструкцию, которая создает серьезные неудобства, – особенно если им непонятно, насколько эти меры оправданы, в худшем – возможно нарастание скрытой агрессии и открытый конфликт);

·   наказания (если правило подразумевает принятие некоторых болезненных мер, то оно всегда должно выполняться с максимальной значительностью и строгостью, в идеале такие меры должны приниматься один раз);

·   сотрудники (в любом документе, который содержит инструкции по использованию сети, должно подчеркиваться, что сотрудники, находясь в сети, обязаны вести себя этично);

·   внешние соединения (еще одной областью, которой часто уделяется недостаточно внимания, являются сотрудники, которые приходят в организацию и получают временный доступ к сети. Для сотрудника, который нанят по контракту для выполнения определенных работ, обязательно должны быть разработаны правила использования компьютера – такие сотрудники должны прочесть эти правила и подписью подтвердить факт ознакомления с ними).

В инструкциях так же должно быть сказано, что сотрудник не имеет  права обсуждать с кем-либо не только информацию, к которой он имеет доступ, но даже и тип этой информации.

Работа отдела кадров. Очень  часто, когда речь заходит о безопасности организации, в том числе, когда  дело касается социального инжиниринга, нельзя забывать о том, что опасность  может быть внутри организации. Связано  это с тем, что у сотрудников  могут быть свои пороки. Типами сотрудников  являются:

1. Упрямые сотрудники (они упрямы и уверены, что делают что-либо правильно и это не может подлежать никакому критическому обсуждению).

2. Недобросовестные сотрудники (они демонстрируют деловую активность пока за ними наблюдаешь, как только наблюдение прекращается – они перестают работать).

3. Расхитители (по данным Национальной Американской Ассоциации от «50 до 70% убытков организации приходится на кражи, которые совершают сотрудники» []). К расхитителям можно отнести и тех сотрудников, которые наняты конкурентами.

Согласно статистике, представленной на рисунке 11, «процент честных сотрудников  равен 10, 65% готовы нарушить закон в  том случае, если они будут уверены  в своей безнаказанности. Оставшиеся 25% готовы нарушить закон при любых  обстоятельствах» [].

Рисунок 11 Статистика честности  сотрудников

Отделу кадров рекомендуется  наблюдать за сотрудниками на всех стадиях их развития в организации.

Любой сотрудник в организации  всегда проходит три стадии развития:

1. Устройство на работу.

2. Этап работы.

3. Увольнение.

При приеме сотрудника на работу необходимо собрать о нем как  можно больше сведений, с целью  прогноза поведения в каких-либо ситуациях. Как правило, такие проверки проще проводить с помощью  стандартных психологических тестов. Так же следует определить, не принадлежит  ли кандидат на должность к одной  из категорий «неудобных сотрудников», классификацию и описание которых  приведена ниже.

Нельзя допускать в  своей организации существования  алкогольно-сексуальных групп (речь идет о стиле поведения людей, входящих в эту группу) [28, стр. 186].

Лояльность сотрудников  – это означает, что сотрудник  доволен работой в организации, как моральном, так и в материальном плане. Всех сотрудников можно разделить  на четыре группы:

1. Сотрудники, которые довольны работой в организации, как в моральном, так и в материальном плане.

2. Сотрудники, которые довольны работой в организации в моральном плане, но в материальном плане они не получают достойного вознаграждения за свой труд, при этом относятся к этому снисходительно, т.к. считают, что другой такой же интересной работы они не найдут, а на неинтересной работе они работать не могут.

3. Сотрудники, которые работают только за зарплату, которая их пока устраивает, а к любой работе они относятся только как к обязанности, которую нужно выполнить, чтобы получить деньги (эта группа является опасной, т.к. такого сотрудника можно подкупить).

4. Сотрудники, которые не довольны работой в организации ни в моральном, ни в материальном плане (эта группа сотрудников является самой опасной, т.к. если в организации большинство сотрудников принадлежит именно к этой группе, то такая организация разрушит сама себя.

Нельзя создавать незаменимых  сотрудников, связано это с тем, что сотрудник, почувствовавший  свою значимость, начинает шантажировать  организацию [26, с. 117].

Сообщения от сотрудников, о  попытках атак. Служба безопасности обязана  предоставить сотрудника или группу, которая  сформирована, как орган, в который должны поступать все отчеты о подозрительной деятельности, направленной на атаку организации.

Если есть мнение, что  сотрудники раскрыли информацию об организации, необходимо сообщить об этом надлежащим сотрудникам организации: в службу безопасности и/или системным администраторам. Их же можно предупреждать о любой  подозрительной или необычной активности.

Если существует подозрение, что были скомпрометированы сведения финансового характера, следует  незамедлительно поставить в  известность финансовую организацию  и заблокировать соответствующие  счета. Следует обращать внимание на любые неясные расходные операции по своим счетам.

Необходимо сообщать об инциденте  в правоохранительные органы.

Сотрудник должен составить  протокол, который описывает попытку  атаки, с содержанием следующей  информации:

·   название;

·   отдел;

·   цель нападения;

·   эффект нападения;

·   рекомендации;

·   дата;

·   подпись.  

Все сотрудники должны немедленно сообщать обо всех запросах, которые  были сделаны при необычных обстоятельствах.

Также должны сообщать обо  всех неудачных попытках установить личность запрашивающего.

Проводя протоколирование попыток  атаки, можно идентифицировать их в  дальнейшем. Необходимо помнить, что  только тщательный анализ и разбор инцидентов сможет помочь снизить их последствия в дальнейшем.

Советы по улучшению. Необходимо использовать яркие заставки, которые  будут появляться при включении  компьютеров у сотрудников, и  каждый раз содержать новый совет  по безопасности. Сообщение должно быть построено таким образом, чтобы  оно не исчезало автоматически, а  требовало от сотрудника нажатия  на определенную кнопку.

Следует производить постоянные напоминания о безопасности. Для  этого можно использовать внутреннюю еженедельную рассылку. Сообщения должны иметь каждый раз разное содержание.

Так же следует использовать короткие аннотации. Необходимо делать несколько маленьких колонок, как  маленький экран в собственной  газете. В каждой аннотации следует  представлять очередное напоминание  в коротком и хорошо запоминающемся виде.

Для расширения тренинга рекомендуется активная и  яркая программа вознаграждений. Следует объявлять сотрудникам, кто отличился, выявив и предотвратив атаку социального инженера, или добился большого успеха в освоении программы безопасности и осведомленности. Существование такой программы поощрения должно подчеркиваться на каждом мероприятии, которое посвящено тренингу, а взломы должны быть широко освещены и разобраны внутри организации [31, с. 204].

Но так же сотрудники должны понимать, что нарушение политик  безопасности и установленных процедур и халатность наказуемы. 

 

 

  

 

Заключение 

 

При подготовке дипломной  работы мною был изучен широкий спектр существующих сегодня методов социального  инжиниринга. Предложена общая классификация  угроз организаций.

По статистике 70% несанкционированного доступа к информации происходит с помощью социального инжиниринга, который использует в свою очередь  человеческий фактор, и сотрудников, не соблюдающих политики безопасности. Подразделениями в организации, занимающимися безопасностью и  кадровой безопасностью, являются технический  отдел и отдел кадров. Они должны находиться в тесном и постоянном взаимодействии.

Как можно убедиться –  социальный инжиниринг – это мощнейший  инструмент в руках умелого психолога, и защита от него не менее важна, чем от других способов взлома. Защита от атак социального инжиниринга  несомненно, одно из самых сложных  в разработке мероприятий. Данный тип  защиты нельзя построить исключительно  техническими методами.

Социальный инжиниринг является самым быстрым и легким путем  к нарушению информационной безопасности и самым труднообнаруживаемым. Для  проведения атак злоумышленники, применяющие методы социального инжиниринга, эксплуатируют в своих целях доверчивость, лень, любезность и даже энтузиазм сотрудников организации. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули, а даже если и подозревают, часто предпочитают не рассказывать об этом. Воздействие приходится оценивать, полагаясь на свидетельские показания сотрудников, ставших жертвами, причем надо учитывать, что они могут искажать реальность, желая спасти свою репутацию.

Каждая организация сталкивается с нелегким выбором между мощной безопасностью и продуктивностью  сотрудников, что заставляет некоторых  сотрудников пренебрегать правилами  безопасности, не понимая, насколько  они необходимы для защиты целостности  секретной информации, содержащейся в их организации.

Если правила безопасности не будут точно описывать возможные  проблемы при пренебрежении ими, сотрудники могут пойти по пути наименьшего  сопротивления, и сделать что-либо, что облегчит их работу.

Угрозами со стороны социальных инженеров являются: противоправные действия для получения конфиденциальной информации и иной информации, а  также действия, наносящие ущерб  организациям.

Полностью исключить опасность, исходящую от социального инжиниринга  невозможно, но можно сократить риск нанесения ущерба, а в некоторых  случаях и  исключить его. Если не запускать ситуацию и адекватно реагировать на возникающие проблемы, то будет не сложно добиться весьма высоких результатов.

Для того чтобы снизить  эти риски, в данной выпускной  квалификационной работе, мной была разработана  методика противодействия социальному  инжинирингу, которая описывает  теоретические аспекты социального  инжиниринга, методы воздействия на сотрудников организации, и методы, которых необходимо придерживаться сотрудникам, для снижения реализации угрозы со стороны социальных инженеров.

Также в выпускной квалификационной работе мной была произведена оценка рисков, разработаны требования к  процедурам и документациям, которые  в последующем были осуществлены.

Комплекс всех мер по противодействию  социальному инжинирингу способствует укреплению организаций, их стабильности и безопасности, экономическому развитию, внося тем самым лепту в  профилактику экономических преступлений и нарушений, укрепляя экономику  на всех уровнях.

Не только против злоумышленников  можно применять методы социальной инженерии, они могут оказаться  полезными при отборе персонала, для контроля уровня лояльности внутри коллектива, выявления виновных в  нарушениях, произошедших в организациях. Это огромная область знаний, каждый уважающий себя специалист по безопасности должен иметь навыки в этой сфере. Защищая информацию на уровне компьютеров и других устройств, мы остаемся открытыми для иных угроз, исходящих напрямую от людей. Социальный инжиниринг не защитит сервер от действий хакеров (за исключением случаев, когда у системного администратора пытаются выманить пароль доступа). Она не предотвратит случайную отправку сотрудником важных документов на чужой адрес. Однако она, безусловно, поможет справиться с ситуациями, связанными с действиями злоумышленников, которые пытаются добиться своих целей с помощью хитрости и обмана. Сотрудники организации должны знать, как лучше всего определять и блокировать атаки, основанные на методах социального инжиниринга. 

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

Библиографический список 

 

1. Гражданский кодекс Российской Федерации : офиц. текст : по состоянию на 1 мар. 2013 г. – М. : ЭЛИТ, 2013 г. – 321 с.

2. Об информации, информатизации и защите информации : ФЗ от 27 июл. 2006 г. №149-ФЗ // РГ – 2006. №4131. – 197 с.

3. Об утверждении Перечня сведений конфиденциального характера : Указ от 23 сен. 2005 г. №1111 // – РГ – 2006. №4531 – 3 с.

4. О защите коммерческой тайны : ФЗ от 29 июл. 2004 г. №98-ФЗ // ГАРАНТ – 2011. №3543. – 168 с.

5. Приказ МЧС России от 28.12.2009 года № 743 : офиц. текст – 3 с.

6. Технический регламент о требованиях пожарной безопасности : ФЗ от 22 июл. 2008 г. №123-ФЗ // РГ – 2008. №4720. – 140 с.

7. Трудовой кодекс Российской Федерации : офиц. текст : по состоянию на 19 мая 2013 г. – М. : ЭЛИТ, 2013 г. – 265 с.

8. Уголовный кодекс Российской Федерации : офиц. текст : по состоянию на 24 июл. 2009 г. – М. : ЭЛИТ, 2013 г. – 179 с.

9. Устав ООО «ВДПО» от 22.07.2011 года : офиц. текст – 5 с.

10. Устав ООО «СМ-Уфа» от 25.05.2011 года : офиц. текст – 3 с.

11. Андреева Г. М. Социальная психология : учебник для вузов / Г. М. Андреева – М. : ЭЛИТ, 2003. – 270 с.

12. Баутов А. Экономический взгляд на проблемы информационной безопасности / А. Баутов // Открытые системы. – 2012. – № 2. – с. 12-23.

13. Большаков А. А. Основы обеспечения безопасности данных в компьютерных системах и сетях : учебник для вузов / А. А. Большаков, А. Б. Петpяев, В. В. Платонов – М. : РИЦ, 2008. – 528 с.

14. Вихорев С. Как определить источники угроз / С. Вихорев, Р. Кобцев // Открытые системы. – 2012. – № 8. – с. 9-16.