Актуальность проблемы обеспечения защиты от утечки информации методами социальной инженерии.
Рассмотрим проблемы обеспечения безопасности информации при использовании методов социальной инженерии. Обоснована актуальность методов воздействия на персонал организации, рассмотрены основные методы социальной инженерии, предложены варианты противодействия, сформулированы основные выводы и рекомендации.
Вопросы обеспечения защиты от утечки информации и обеспечения безопасности информационной системы в целом сводятся к решению двух главных проблем. Первая - это обеспечение информационной безопасности на программно-техническом уровне, а вторая - обеспечение информационной безопасности на социально-бытовом и личностном уровне, получившая название социальной инженерии.
Вопросы обеспечения информационной безопасности на программно-техническом уровне в достаточной мере проработаны специалистами соответствующих отечественных и зарубежных профильных организаций [1]. По каждому направлению соответствующими организациями и специалистами проводятся научно-исследовательские, опытно-конструкторские и инженерно-технические работы. В результате создаются аппаратные, программные и программно-аппаратные средства защиты, а также нормативно-методическая база для их применения в различных условиях. Нельзя сказать, что все проблемы в вопросах обеспечения информационной безопасности на программно-техническом уровне уже решены.
Рассмотрение и решение этих проблем является актуальным, но лежит за рамками рассматриваемого в данной статье вопроса.
По поводу второй проблемы следует заметить, что любая автоматизированная система, независимо от характера обрабатываемой информации, состоит не только из программно-технических средств и поддерживающей работу автоматизированной системы инфраструктуры, но и из обслуживающего персонала и пользователей информационной системы. При этом, как показывает практика, самым слабым звеном в автоматизированной информационной системе с точки зрения обеспечения ее безопасности является человек, являющийся либо оператором данной системы, либо пользователем, либо выполняющим иные функции.
Справедливость данного утверждения может быть подтверждена следующими аргументами.
1. Деятельность человека не подчинена логике выполнения итераций вычислительного процесса. Человек - не машина, работающая по заранее заложенной в него программе, поэтому сложность формирования адаптивного процесса защиты соизмерима со сложностью построения алгоритма функционирования человеческого мозга [2].
2. Выполнение обязанностей оператора автоматизированной системы сопровождается наличием сторонних факторов, прямо или косвенно влияющих на соблюдение технологического процесса. При этом указанные факторы носят вероятностный характер, не всегда подчиненный определенному распределению.
3. Любой человек обладает слабостями, используя которые можно внести изменения в технологический процесс обработки информации.
4. Обилие всевозможных сервисов, их доступность, помноженные на стремление выделиться среди окружающих, заставляет совершать различные, не всегда обдуманные, поступки в информационном пространстве, в частности в социальных сетях [3].
Данные обстоятельства позволяют потенциальному злоумышленнику для достижения своих целей не искать уязвимости в программно-аппаратных средствах защиты информации, а всеми доступными методами, в частности методами социальной инженерии, получать интересующую информацию от самих лиц, осуществляющих обработку информации.
Специалисты по социальной инженерии часто цитируют высказывание великого Альберта Эйнштейна: "Можно быть уверенным только в двух вещах: существовании вселенной и человеческой глупости, и я не совсем уверен насчет первой". В этих двух строчках, по их мнению, состоит актуальность проблемы утечки конфиденциальной информации за счет использования методов социальной инженерии.
Рассмотренные в настоящей статье методы получения информации за счет воздействия на персонал организаций и методы противодействия являются актуальными. Степень угрозы информации не может быть в общем случае адекватно и всесторонне оценена и ранжирована в зависимости от тяжести нанесенного ущерба. Человеческое мышление не всегда поддается логическому анализу, и вследствие этого невозможно сформировать четкий алгоритм его работы. Можно только определить перечень целей и требовать от сотрудника строгого его соблюдения.
Обеспечение деятельности персонала организации в рамках утвержденных инструкций и правил работы является одной из главных задач руководителя организации. Если руководитель организации с такой задачей справится, то методы социальной инженерии не будут представлять в целом значимой угрозы.
