Аудит информационной безопасности при помощи социального инжиниринга, создание и внедрение методики на примере ФГУП "ФТ-Центр"

Дефтаков В.М.
выпускник группы CISO-01
Школы IT-менеджмента
РАНХиГС при Президенте РФ.

В современном мире информация получила статус ресурса определяющего развития общества в целом. Под информацией понимают не только знания накопленные человечеством, но и новые ее способы получения, обработки и хранения. Сегодня как никогда актуально изречение, - «Кто владеет информацией, тот владеет миром».

Подтверждение этому мы находим в последних событиях происходящих мире, например, различные войны приняли образ информационных.
Следует также отметить, что исключительная роль информации в современном научно - техническом прогрессе привела к пониманию информации как ресурса, столь же необходимого и важного, как энергетические, сырьевые, финансовые и другие ресурсы.

Информация стала предметом купли - продажи, т.е. информационным продуктом, который наравне с информацией, составляющей общественное достояние, образуя информационный ресурс общества.

Сегодня, создавая все новые и совершенные технологии защиты данных их уязвимость не только не уменьшается, но и постоянно увеличивается. Поэтому актуальность задач, связанных с защитой информации все более усиливается.

Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач.

Специалистами сформулированы два базовых принципа по защите информации:

• целостность данных;
• конфиденциальность информации.

Основными мерами, направленные на защиту информации являются:

• технические (например: защита от несанкционированного доступа к системе),
• организационные (например: исключение возможности работы на компьютерной технике посторонних лиц),
• правовые (например: общественный контроль за разработчиками и пользователями компьютерных систем и программ).

Следует отметить, что ни аппаратные, ни программные и любые другие решения не смогут гарантировать полную сохранность данных в компьютерных системах. Минимизировать риски можно лишь при комплексном подходе к защите информации.

Социальный инжиниринг является самым быстрым и легким путем к нарушению информационной безопасности и самым трудно обнаруживаемым. Для проведения атак злоумышленники, применяющие методы социального инжиниринга, эксплуатируют в своих целях доверчивость, лень, любезность и даже энтузиазм сотрудников организации. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули, а даже если и подозревают, часто предпочитают не рассказывать об этом. Воздействие приходится оценивать, полагаясь на свидетельские показания сотрудников, ставших жертвами, причем надо учитывать, что они могут искажать реальность, желая спасти свою репутацию. Цель мое работы было показать, что многие компании при построении модели угроз информационной безопасности забывают о уязвимости самих сотрудников организации, которые подчас и не подозревают что они являются орудием взлома и утечки конфиденциальной информации.

В России этой проблеме уделено всего 5 % от всех проектов, которые компании реализуют в процессе построения защиты информации.
В Европе и США, задача защиты сотрудников от социального инжиниринга внутри компаний состоит на равных позициях, что и реализация защиты информации техническими, организационными и правовыми мерами.

Для того чтобы снизить эти риски, в данной выпускной квалификационной работе, мной была разработана методика противодействия социальному инжинирингу, которая описывает теоретические аспекты социального инжиниринга, методы воздействия на сотрудников организации, и методы, которых необходимо придерживаться сотрудникам для снижения реализации угрозы со стороны социальных инженеров.

Также в выпускной квалификационной работе мной была произведена оценка рисков, разработаны требования к процедурам и документациям, которые в последующем были внедрены на предприятии, где я работаю.

Комплекс всех мер по противодействию социальному инжинирингу способствует укреплению организаций, их стабильности и безопасности, экономическому развитию, внося тем самым лепту в профилактику экономических преступлений и нарушений, укрепляя экономику на всех уровнях.

Не только против злоумышленников можно применять методы социальной инженерии, они могут оказаться полезными при отборе персонала, для контроля уровня лояльности внутри коллектива, выявления виновных в нарушениях, произошедших в организациях. Это огромная область знаний, каждый уважающий себя специалист по безопасности должен иметь навыки в этой сфере. Защищая информацию на уровне компьютеров и других устройств, мы остаемся открытыми для иных угроз, исходящих напрямую от людей. Социальный инжиниринг не защитит сервер от действий хакеров (за исключением случаев, когда у системного администратора пытаются выманить пароль доступа). Он не предотвратит случайную отправку сотрудником важных документов на чужой адрес. Однако он, безусловно, поможет справиться с ситуациями, связанными с действиями злоумышленников, которые пытаются добиться своих целей с помощью хитрости и обмана. Сотрудники организации должны знать, как лучше всего определять и блокировать атаки, основанные на методах социального инжиниринга.