Современные информационные технологии./4.Информационная безопасность.

Стд. Маликов Е.В.

Государственное высшее учебное заведение "Национальный горный университет", Украина

Роль социальной инженерии на предприятии.

В современных системах управления информационной безопасностью огромное количество внимания уделяется техническим аспектам и совсем немного социальным. С уверенностью того что все проблемы связаны с безопасностью можно решить приемами идентификации, шифрования, видеонаблюдения и т.д.  мы забываем что всем этим управляет человек, к которому как известно главное найти подход.   

Хотелось бы отметить, что социальная инженерия, в отличии от других способов нанесения вреда предприятию не использует грубых методов по сравнению с техническими приемами, также зачастую не требует большой материальной базы и денежных затрат. Огромное преимущество социальной инженерии состоит также в том, что при мошенничестве жертва о нем даже не догадывается.                                                                                                                                            

Социальная инженерия основывается на психологии человека, а значит использует его слабости.В основе лежат шесть наиболее, применимых к каждому человеку качеств, которые можно использовать при влиянии на объект атаки. Такими есть: лень, доверчивость, страх, жадность, жалость, жажда превосходства. Но это не значит, что шаблонно каждый человек имеет эти качества, у кого-то они проявляются больше, у кого-то меньше. Но вероятность отсутствия, какого либо крайне мала, а преобладание одной двух над остальными очень распространенное явление. Но знать все слабости – мало, для того чтоб успешно использовать приёмы социальной инженерии.  Злоумышленник, во-первых, должен быть отличным психологом, чтобы с лёгкостью играть на чувствах. Но играть на чувствах незнакомого человека пустая трата времени, поэтому с первых минут общения нужно добиться расположения человека к себе. Зачастую используют лесть и профессиональные комплименты, разумеется, всего должно быть в меру. Для этого нужно быть коммуникабельным и в разговоре иметь аргумент на каждое «но» оппонента. Во-вторых, уметь вводить в заблуждение. В-третьих, нужно знать предметную область, в которой планируется мошенничество, ведь при разговоре с жертвой обмана нужно быть не только уверенным, но и создавать впечатление компетентного человека. В-четвертых, просчитывать заранее все комбинации разговора, в основном такая подготовка помогает ответить на компрометирующие вопросы и готовит к резким поворотам общения. Эффект от всех данных мероприятий значительным образом увеличивает предварительная подготовка. Речь идет не только об изучении психологического портрета, но и о создании условий или ситуаций, в которых жертва будет: подвержена стрессу, нервничать. Ведь, как известно, человек имеющий проблемы будет более психологически уязвимым. Одним из главных помощников социальной инженерии, является сбор информации из окружающих источников. Именно из открытого источника о предприятии можно определить вектор дельнейшей работы. Если ко всем данным нюансам добавить, что объект атаки не самый ответственный и добросовестный человек то, кажется, что безопасность предприятия находится под угрозой.

Возникает вопрос, как обезопасить охраняемый объект от приемов социальной инженерии. Но как нет шаблонных подходов мошенничеству, так нет типовых способов их противодействию. Можно лишь поставить преграды в виде организационных мероприятий, ограничивающих возможность воздействия на сотрудников. Главным способом будет достойная заработная плата – что снизит возможность подкупа. Регламентация обращения с циркулируемой, на предприятии, информацией поможет не только обезопасить её, но и при утечке поспособствует в поиске источника угроз. Ограничение общения сотрудников с внешним миром, в рабочее время, сократит поле действия злоумышленников. К примеру, телефонный разговор помогает находиться в непосредственном контакте с жертвой и одновременно оставаться анонимным. Кадровая политика немаловажный нюанс, влияющий на безопасность предприятия. Поэтому при приеме на работу желательно прохождение не только профессионального теста, но и собеседование с профессиональным социальным инженером. Важным образом в безопасности предприятия может сыграть политика безопасности, в которой будет уделяться внимание социальным нюансам. При этом в первую очередь учитывать возможный ущерб, ведь по специфике предприятия и типом ее угроз может оказаться, что злоумышленники приемами социальной инженерии не смогут провести нужную им акцию. Но все-таки по-моему глубокому убеждению наличие социального инженера в штате службы безопасности предприятия будет не преградой, а противодействием злоумышленникам. И провидением профилактических мероприятий можно значительным образом сократить  возможность мошенничества.

В заключении хотелось бы отметить, что социальная инженерия это наука, которая не имеет определенных рамок и формул, поэтому является занятием креативных, хитрых, изворотливых людей как с одной, так и с другой стороны. Убежден, что низкий уровень уделения внимания этой науке обусловлен недавним ее появлением и изучением в основном не гражданскими заведениями, а значит и использованием в решении специальных вопросов государства. Надеюсь что в дальнейшем социальная инженерия будет занимать свое достойное место в безопасности всех организаций.

Литература:

1.     Экман Пол «Психология лжи»

2.     Пиз Аллан «Язык телодвижений»

3.     http://ru.wikipedia.

4.     http://citforum.ru/security/articles/soc_eng/

5.     http://www.truehackers.ru/social-engineering