информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Все любят медSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / безопасность
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Сотрудники компании как основной источник организационных угроз информационной безопасности
Леонид Крымский
Опубликовано: dl, 16.04.06 05:25

Security is a process, not a product
Bruce Schneier

Введение

Информация является одним из наиболее ценных ресурсов компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных бизнес-задач. Традиционно система защиты информации рассматривается как совокупность программных, программно-аппаратных и технических средств защиты информации (антивирусов, межсетевых экранов, систем обнаружения вторжений, систем контроля доступа и т.п.) При построении такой системы защиты информации в большинстве случаев учитываются лишь технологические угрозы информационной безопасности.

В данной статье рассматриваются аспекты защиты информации от угроз организационного характера. Под угрозами организационного характера понимаются действия, направленные на сотрудников компании или осуществляемые сотрудниками компании с целью получения конфиденциальной информации или нарушения функционирования бизнес-процессов. При проектировании и внедрении систем защиты информации на угрозы организационного характера часто не обращают должного внимания, хотя они, как правило, сказываются не менее критично на информационной системе, чем угрозы технологического характера. В подтверждение данного факта можно обратиться к статистике. Наиболее полные статистические данные по компьютерным преступлениям накоплены в США. По результатам исследования ФБР в 2005 году среди крупных американских компаний (в исследовании приняли участие 37% компаний-респондентов с годовым оборотом более 1 млрд. долларов) ущерб от угроз организационного характера, таких как умышленные или неумышленные действия сотрудников компании и хищения с помощью воздействия на персонал (например, хищение интеллектуальной собственности компании), составил более 50% от общих потерь, при этом, для сравнения, ущерб от вирусов и вирусных эпидемий составил всего лишь около 30%.

Рассмотрим угрозы организационного характера и способы их реализации. Большинство существующих классификаций угроз информационной безопасности описывают только угрозы технологического характера; организационные угрозы в них представлены недостаточно полно или отсутствуют вообще. Однако, учитывая тот факт, что организационные угрозы существенно влияют на безопасность информационной системы, специалистами компании Digital Security была разработана классификация угроз информационной безопасности DSECCT ( Digital Security Classification of Threats ), описывающая как технологические, так и организационные угрозы. Воспользуемся ей для анализа организационных угроз.

Как следует из классификации DSECCT, все организационные угрозы по характеру воздействия подразделяются на угрозы воздействия на персонал и действия самого персонала. Воздействие на персонал может быть физическим или психологическим. Причины действий персонала, способных вызвать угрозы информационной безопасности, могут быть умышленного или неумышленного характера. Таким образом, угрозы организационного характера либо направлены на сотрудников компании, либо реализуются через сотрудников компании, то есть источниками угроз организационного характера являются сами сотрудники компании.

Угрозы организационного характера

Физическое воздействие на персонал заключается в том, что злоумышленник прибегает к силовому воздействию на сотрудника компании или его друзей и родственников с целью получить конфиденциальную информацию или нарушить функционирование каких-либо бизнес-процессов компании. Такие инциденты расследуются отделом физической безопасности компании и правоохранительными органами.

В рамках психологического воздействия классификация DSECСT рассматривает такие распространенные методы психологического воздействия в области информационной безопасности как: шантаж, подкуп, социальная инженерия и многие другие. Способы реализации шантажа и подкупа всем известны и в данной статье рассматриваться не будут. Речь пойдет о социальной инженерии – наиболее интересном методе психологического воздействия с точки зрения реализации и способов защиты. В научной литературе психологическое воздействие часто называется манипуляцией или манипулятивным воздействием. Манипуляция – это вид психологического воздействия, искусное исполнение которого ведет к скрытому возбуждению у другого человека намерений, не совпадающих с его актуально существующими желаниями (Доценко Е.Л. Психология манипуляции. - М., 1996). Существует большое количество видов и методов манипулирования; разработать общую классификацию методов психологического воздействия (манипулирования) достаточно сложно, так как манипуляция используется во многих коммуникативных областях в различных проявлениях и формах.

Психологическая атака - метод активного воздействия на психику человека с целью отключения логического мышления: произведения положительного (отрицательного) впечатления или введения в состояние растерянности с последующим побуждением человека к нужной реакции.

Например, злоумышленник отправляет письмо сотруднику компании ("жертве") на адрес электронной почты, в котором с помощью психологического воздействия заставляет его выполнить определенные действия (открыть веб-страницу, запустить прикрепленный файл и т.п.). Адрес электронной почты может быть получен из открытых источников, таких как поисковые системы, личные электронные дневники (блоги), форумы и др. Далее приведены легенды атак на сотрудников компании и детали текста писем.

Пример GenoTree :

Письмо-просьба, в котором отправитель (злоумышленник) рассказывает, что составляет генеалогическое дерево своего рода, причем у получателя (сотрудник компании, "жертва") и отправителя совпадают фамилии. Отправитель просит "жертву" посмотреть уже составленное им генеалогическое дерево; для просмотра дерева якобы используется специальная программа, которая также прикреплена к письму. На самом же деле к письму прикреплено троянское программное обеспечение.

Психологическое программирование - метод однообразного или настойчивого воздействия на психику человека с целью выработки алгоритмов его поведения и образов мышления.

Пример "Денежная пирамида":

Примером психологического программирования может быть регулярная рассылка различных сообщений одной и той же тематики (например, с предложением участия в традиционных денежных пирамидах). Сотрудник компании, получив сообщение с предложением легкого заработка и проигнорировав его, в следующий раз, получив подряд несколько аналогичных сообщений, возможно, задумается и через некоторое время выполнит указанные злоумышленником в инструкции действия.

Психологическое манипулирование - метод двойственного воздействия на психику человека, целью которого является поставить человека в положение выбора линии поведения между двумя альтернативами (между хорошим и плохим, добром и злом).

Пример "Электронный платеж":

Письмо представляет собой фрагмент переписки двух человек, который якобы ошибочно был прислан сотруднику компании ("жертве"). В переписке обсуждается возможность оплаты каких-либо услуг с помощью электронных денежных средств. Один из адресатов предлагает другому оплатить услуги с помощью электронного кошелька, при этом в письме приводятся номер электронного кошелька, пароль, инструкция по использованию. К письму прикреплен "плагин для совершения денежных операций" – троянское программное обеспечение. Таким образом, получатель попадает в положение выбора, находясь между двумя альтернативами: украсть или нет, воспользоваться чужими денежными средствами или нет.

Психологическое давление - метод внушительного воздействия на психику человека с целью принуждения его к определенным действиям.

Пример "Критичное обновление":

Сотрудник компании ("жертва") получает письмо якобы от имени другого сотрудника компании, обладающего более высоким статусом (большими полномочиями). Письмо представляет собой перечень действий (инструкцию), которые должен выполнить сотрудник компании. Для усиления психологического давления в письме могут быть приведены:

  • основание для выполнения указанных в инструкции действий сотрудником, (например, вымышленный номер приказа);
  • точные сроки выполнения указанных действий;
  • пояснения к инструкции, ссылки на дополнительные источники информации;
  • прочие атрибуты, усиливающие эффект доверия и подчинения.

Например, сотрудникам компании может быть разослано письмо якобы от имени руководителя отдела информационной безопасности компании, в котором сообщается о необходимости незамедлительно установить критичное обновление операционной системы, которое не вошло в репозитарий системы автоматического обновления по определенным причинам. К письму прикладывается детальная инструкция по установке обновления и само обновление (являющееся, естественно, троянским программным обеспечением).

Следует отметить, что рассмотренные методы психологического воздействия могут комбинироваться, образуя тем самым новые проявления воздействия на человека. Часто случается так, что "жертвы" психологической манипуляции не подозревают, что стали объектом атаки. В частности, это обстоятельство значительно затрудняет установление факта инцидента и его последующее расследование. Кроме этого, не всегда удается точно определить, были ли действия сотрудника умышленными или нет, и определить степень ответственности и меру взыскания, накладываемую на сотрудника.

Угрозы организационного характера легко реализуемы на практике; специалистам по информационной безопасности необходимо уделять им серьезное внимание. Для защиты информационной системы компании от угроз организационного характера следует:

  • Разработать, утвердить на уровне руководства и довести до сведения пользователей нормативные документы по информационной безопасности: политику безопасности, инструкции и регламенты по использованию средств обработки информации, правила предоставления доступа к информационным ресурсам. Должна быть предусмотрена ответственность за невыполнение требований данных нормативных документов.
  • Обязать каждого сотрудника подписать соглашение о конфиденциальности (о неразглашении конфиденциальной информации, обрабатываемой в компании), которое разрабатывается в соответствии с действующим законодательством и политикой безопасности компании. Предупредить сотрудников о последствиях нарушения соглашения о конфиденциальности.
  • Периодически проводить психологические тестирования сотрудников; предусмотреть возможность оказания психологической помощи (консультаций) сотрудникам компании.
  • Периодически проводить обучение пользователей по вопросам информационной безопасности, в частности, детализируя методы, используемые злоумышленниками – социальными инженерами. Обучение пользователей рекомендуется завершать практическим тренингом и зачетом.
  • Использовать различные программные средства защиты информации, минимизирующие возможное влияние угроз организационного характера.

Заключение

Угрозы организационного характера легко реализуемы и, как правило, их реализация сказывается не менее критично на информационной системе, чем реализация угроз технологического характера. Источниками угроз организационного характера являются сотрудники компании, поэтому меры защиты от угроз организационного характера должны быть направлены на обучение сотрудников компании вопросам информационной безопасности, определение их ответственности за несоблюдение требований нормативных документов по информационной безопасности и ограничение нежелательных действий сотрудников компании с помощью программных средств защиты информации и позитивного психологического воздействия. Особое внимание следует обратить на обеспечение регулярного и непрерывного совершенствования организационных методов защиты информации, ведь, как сказал Брюс Шнайер, "безопасность – это процесс, а не результат".


Леонид Крымский (Leonid.Krimsky@dsec.ru)
Аналитик по информационной безопасности
Digital Security

обсудить  |  все отзывы (0)

[40242; 13; 8.69]





мини-реклама
Сеть заправок заместившая Shell - АЗС Тебойл на drive2.ru.

Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach