В современном мире, где информационные технологии играют все более важную роль, обеспечение информационной безопасности является одним из ключевых приоритетов. Однако, несмотря на развитие технических средств защиты, человеческий фактор по-прежнему остается ахиллесовой пятой в мире информационной безопасности. В работе подчеркивается важность признания концепции «человек — слабое звено» и предлагаются методы управления рисками, связанными с человеческим фактором. Которые включают развитие культуры информационной безопасности, обучение и повышение осведомленности сотрудников, внедрение строгих политик и постоянный мониторинг уязвимостей. Цель статьи — выявление основных уязвимостей, вызванных человеческим фактором и пути их устранения.
Ключевые слова: социальная инженерия, человеческий фактор, уязвимости.
In the modern world, where information technologies play an increasingly important role, ensuring information security is one of the key priorities. However, despite the development of technical security measures, the human factor remains the Achilles' heel in the world of information security. The work emphasizes the importance of recognizing the concept of «human as the weak link» and proposes risk management methods associated with the human factor. These include the development of information security culture, training and raising awareness of employees, implementation of strict policies, and continuous monitoring of vulnerabilities. The purpose of the article is to identify the main vulnerabilities caused by the human factor and ways to eliminate them.
Keywords : social engineering, human factor, vulnerabilities.
В век развития информационных технологий потребность в защите информации особенно актуальна. Информационные технологии окружают нас повсеместно, трудно представить хоть одну сферу жизни современного человека, в которую эти технологии не проникли. Одновременно с прогрессом в сфере информационных технологий, разрабатываются различные технические средства защиты информации, которые, несомненно, играют одну из ключевых ролей в комплексном обеспечении информационной безопасности.
Однако для достижения целей по защите информации, необходим системный подход. То есть необходимо рассматривать защиту информации и информационных ресурсов как интегрированную систему, включающую в себя не только технические средства и меры, но и организационные, процессуальные и человеческие аспекты. В данной работе внимание сосредоточенно на одном из ключевых аспектов, а именно о человеческом факторе, если не уделять должное внимание данному аспекту все остальные усилия теряют свою эффективность.
Компанией IBM было проведено исследование кибератак среди нескольких тысяч клиентов в более чем 130 стран, согласно отчету IBM Cyber Security Intelligence Index основной причиной 95 % всех нарушений повлекших за собой утечку конфиденциальной информации была человеческая ошибка. [1].
Прежде всего, стоит разобраться, почему в первую очередь люди уязвимы для атак и какие приемы используют злоумышленники в своем арсенале.
Социальная инженерия (social engineering) или «атака на человека» — это совокупность психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию.
Robert B. Cialdini, написавший в «Американской науке» (Февраль 2001), объединил результаты социальных исследователей, посвященные изучению манипуляции, выделил 6 «черт человеческой натуры» используемые в попытке получения нужного ответа.
Это 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулировать.
- Авторитетность. Люди обычно стремятся получить одобрение и признание от тех, кто обладает властью или авторитетом, так как это может принести им какие-то преимущества или возможности. Примеры атак: Злоумышленник пытается выдать себя за авторитетное лицо из IT департамента, выполняющее задание компании.
- Умение расположить к себе. Люди часто стремятся удовлетворить запросы близких по духу людей или тех, кто находится в похожей ситуации. Примеры атак: Атакующий исследует увлечения жертвы, затем утверждает, что им близко, и создает сходство или общность, например, сообщая о принадлежности к одной школе или месту.
- Взаимность. Делая что-то для кого-то, мы создаем обязательство, которое может быть отблагодарено. Подарок может быть материальным или нематериальным. Неожиданный подарок может вызвать желание ответить на него. Эффективный способ влиять на людей — делать им неявно обязывающие подарки. Примеры атак: Сотрудник получает звонок от злоумышленника, который выдает себя за сотрудника IT отдела. Злоумышленник рассказывает о вирусе, который не обнаруживается антивирусом, и им заражены некоторые компьютеры компании. Этот вирус способен привести к уничтожению всех файлов на компьютере. Далее злоумышленник предоставляет информацию о способах решения проблемы. После этого он просит сотрудника проверить работоспособность недавно обновленной программы, которая позволяет пользователям менять пароли. Служащему неудобно отказаться, потому что звонящий предлагает помощь, которая защитит пользователей от вируса, и он хочет отблагодарить «доброго человека», сделав что-нибудь взамен. Например, ответить на несколько вопросов.
- Ответственность. Люди обычно выполняют свои обещания, потому что они хотят сохранить свою репутацию и показать, что они достойны доверия. Даже если возникают трудности, они всё равно находят способы выполнить свои обязательства. Примеры атак: Злоумышленник выходит на связь с новым сотрудником и предлагает ознакомиться с соглашением о политиках безопасности и процедурах. Он указывает, что соблюдение этого соглашения позволит использовать информационные системы компании. В ходе обсуждения некоторых положений о безопасности атакующий запрашивает пароль сотрудника «для подтверждения согласия» с соглашением. Пароль должен быть надежным. После предоставления пароля, звонящий дает рекомендации по выбору более сложных паролей в будущем, чтобы усложнить задачу злоумышленникам. Сотрудник соглашается следовать этим рекомендациям, полагая, что это соответствует политике компании и что его согласие только что было подтверждено звонящим.
- Социальная принадлежность к авторизованным. Люди часто следуют поведению своей социальной группы, считая, что это правильно и соответствует общепринятым нормам. Примеры атак: Звонящий утверждает, что он член проверочной команды и называет имена коллег, которые также участвуют в проверке. После этого он начинает задавать вопросы, включая запрос о логине и пароле жертвы. Жертва доверяет звонящему, поскольку он назвал имена ее коллег из департамента.
- Ограниченное количество «бесплатного сыра». Одной из потенциально опасных черт человека является убежденность в том, что он единственный обладатель определенной информации или что эта информация доступна только в данный момент. Примеры атак: Хакер отправляет фальшивые электронные письма о выигрыше билетов на премьеру фильма для первых 500 зарегистрировавшихся на новом сайте компании. При регистрации сотрудников на сайте, хакер запрашивает адрес электронной почты и пароль, что может привести к доступу к их рабочему или домашнему компьютеру, если они используют одинаковые пароли в различных системах. [2,108].
Применение социальной инженерии для сбора информации об объекте информатизации. Для осуществления атаки, злоумышленнику необходимо получить по возможности как можно больше информации о системе, на которую планируется атака. Для этого можно использовать открытые источники. К примеру, компании, на которую злоумышленник хочет осуществить атаку, требуется ИТ-специалист. Обычно работодатель указывает в описании вакансии слишком много информации: название оборудования, операционных систем и приложений, с которыми придется работать будущему специалисту. Также помимо этой информации, возможно, задать уточняющие вопросы по телефону, так как многие компании для экономии времени проводят предварительное собеседование по телефону, либо и вовсе попасть на очное собеседование, где можно получить другую полезную информацию, а в случае удачного стечения обстоятельств даже побывать в серверной, многие руководители IT-отделов проводят экскурсию в серверную для потенциальных работников. Проанализировав всю полученную информацию, злоумышленник может в последующем удачно осуществить атаку на информационную систему. [3, 21].
Альтернативные человеческие факторы, ведущие к утечке информации
- Недостаток мотивации. Сотрудников необходимо мотивировать на безопасное обращение с информацией.
- Недостаток осведомленности. Утечка информации может происходить по причине отсутствия знаний об атаках и способах их реализации. Необходимо обучать персонал для уменьшения рисков.
- Неграмотное пользование технологиями. Примеры ненадлежащего использования технологий включают несанкционированную реконфигурацию систем, доступ к чужим паролям и получение недопустимой информации. [4].
- Внутренние враги. Под внутренними врагами понимают сотрудников компании, которые в целях личной выгоды или по другим причинам наносят ущерб компании. Киберпространство особенно чувствительно в этом отношении. Тот, кто пишет программу защиты, может предусмотреть «черный ход» в нее. Тот, кто устанавливает брандмауэр, может оставить тайную брешь в защите. Тот, кто по роду своей деятельности обязан проверять работу системы безопасности, может сознательно пропустить какие-то вещи. [5,243].
Методы управления рисками, связанными с человеческим фактором
Создание тренировочных и образовательных программ. Для снижения рисков, связанных с информационной безопасностью, необходимо разработать и реализовать обучающие программы. Каждый сотрудник должен тщательно изучить и соблюдать правила, а также понимать причины их принятия, чтобы избежать их обхода ради личной выгоды.
Основная цель — заставить сотрудников изменить свое поведение и отношение, чтобы мотивировать их защищать и сохранять корпоративную информацию.
Программа обучения требует поддержки. Каждый сотрудник, имеющий доступ к важной информации или компьютерной системе, должен постоянно совершенствоваться и «натаскиваться» на новые угрозы и уязвимости.
Цели обучения: фокусировка на мысли о возможности атаки в любое время, заучивание своей роли в защите от проникновения в систему или кражи данных. Сотрудники должны осознать важность усиления информационной «брони» организации.
Знание тактик и приемов социальной инженерии и пути их предотвращения важно, но они будут бесполезны без мотивации сотрудников использовать эти знания. Компания может считать цель достигнутой, если все сотрудники убедятся, что защита информации — часть их работы.
Тестирование. После завершения обучения, рекомендуется проводить тестирование сотрудников, тест поможет выявить бреши в защите и устранить их путем последующей работы.
Поддержание бдительности. Программа по поддержанию бдительности должна быть интерактивной и использовать все доступные каналы для передачи сообщений, помогающих сотрудникам постоянно помнить о безопасности. Возможные действия: предоставление копий книги всем сотрудникам, информационные статьи, рассылки, напоминания, календари, комиксы, публикация надежного работника месяца, плакаты в рабочих помещениях, доски объявлений. Вопросы безопасности должны быть постоянными на собраниях, пятиминутках, на электронных табло в общественных местах и в виде электронных брошюр. [2,109].
Снижение ущерба риска от внутренних врагов. Компании пытаются снизить риск ущерба от внутренних врагов различными способами. Лучше всего — нанимать честных людей, но это сложно. Некоторые компании проводят предварительный отбор кандидатов, проверяют их на честность. Другие распределяют ответственность между сотрудниками и ограничивают возможности причинения ущерба. Чтобы иметь возможность обвинить сотрудника в суде, нужно проводить проверки. [5, с. 243].
Подводя итоги, стоит еще раз упомянуть, что человеческий фактор играет важную роль в обеспечении защиты информации и в большинстве случаев к утечке информации приводит человеческая ошибка, не стоит пренебрегать данным фактором и прилагать усилия для уменьшения рисков, связанных с ним.
Литература:
1. Why Human Error is #1 Cyber Security Threat to Businesses in 2021 [Электронный ресурс] — URL: https://thehackernews.com/2021/02/why-human-error-is-1-cyber-security.html (дата обращения: 26.05.2024).
- Митник К. Д. Саймон В. Л. Искусство обмана. Перевод: Груздев А, Семенов А.: Компания АйТи, 2004. — 121 с.
- Бирюков А. А. Информационная безопасность: защита и нападение. 3-е издание, перераб. И доп.: ДМК Пресс, 2023. — 440 с.
- Человеческий фактор в информационной безопасности [Электронный ресурс] — URL: https://habr.com/ru/articles/344542/ (дата обращения: 26.05.2024).
- Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире.: Питер, 2003. — 364 с.