Информационная безопасность. Хакеры приходят не только через интернет. Часть первая

IT-департаменты ведут кропотливую работу по установке защитных брандмауэров, мониторингу сетей и созданию других преград с целью повышения уровня защищенности компьютерных систем, однако, со слов профессионального хакера, наибольшей проблемой по части безопасности является не техническая составляющая, а сотрудники компаний, имеющие доступ к определенным данным.

«Зачем взламывать системы безопасности и антивирусное программное обеспечение, когда можно зайти через парадные двери?» – такими были слова Кая Эксфорда, менеджера и старшего аналитика по вопросам безопасности компании Accretive Solutions, во время выставки GovSec, прошедшей в начале апреля в Вашингтоне. Работа Эксфорда заключается в тестировании компьютерных сетей помещений корпоративных организаций.

Во время своей презентации, озаглавленной «Как я взломаю вашу сеть», Эксфорд заявил, что наряду с комплектом инструментов, являющимися ноу-хау в сфере взлома электронных систем, он обладает социальными навыками, посредством которых служба безопасности клиента непременно предоставит ему доступ к своим компьютерным системам без прохождения предварительной процедуры идентификации личности.

Эксфорд говорит о том, что в прошлом ему неоднократно удавалось посредством различного рода манипуляций проникать в серверную комнату многих коммерческих учреждений, включая и банки.  Со слов хакера, однажды он проник в банковское хранилище, а электронное оборудование, которое по идее должно было его остановить, не сработало. Он показал видеозапись того, как он и его коллега обманули охрану банка и зашли в серверное помещение, где полностью поменяли телекоммуникационное оборудование. Охранникам они представились как техники, пришедшие для установки оборудования по распоряжению корпоративной службы безопасности. Никто даже не подверг сомнению истинность их слов.

Аналитик Эксфорд работал на «Майкрософт» и, как считается, даже участвовал в некоторых спецоперациях армии США. Согласно его выводам, общая безопасность должна эволюционировать также как и компьютерные технологии. «Любая глупость должна быть исключена» – отмечает хакер. Контакты посредством электронной почты, личное общение и манипуляционных приемы могут позволить злоумышленникам успешно пройти все уровни защиты, как физические таки и технологические, на разработку которых корпорации и правительственные агентства тратят огромные средства. По мнению Эксфорда, социальные сети также могут способствовать взлому систем безопасности. «Охранники с меньшей подозрительностью относятся к человеку, одетому в костюм, либо же им просто все равно» – объясняет эксперт.

Одними из наиболее лакомых источников, которые могут быть использованы лицами, специализирующимися в информационных утечках, являются рекламные объявления о поиске служащих. В тексте объявления довольно часто упоминается программное обеспечение, используемое организацией. На корпоративных сайтах, как правило, размещается контактная информация о служащих компании, учебные заведения, в которых они учились, и также их хобби и интересы. Все эти сведения могут быть использованы с целью получению доступа к секретным данным.

Сейчас представители руководства бизнес-организаций не могут с уверенностью сказать, что все те, кто находятся в помещении их компании, являются доверенными лицами, в том числе и те люди, на лацкане пиджака которых прикреплен значок службы безопасности. Служащим следует тщательнее проверять личности посетителей, до тех пор, пока они не удостоверятся в том, что эти люди и в действительности являются теми, кем себя называют.

Представители компаний могут снизить риск внешней угрозы и обнаружить постороннего человека, пытающегося физически или посредством электронных технологий получить доступ к секретным данным. Однако если вор является служащим организации, имеющим право доступа к определенным данным, тогда проследить за его действиями и предотвратить утечку информации будет довольно сложно. Инсайдер может похищать данные для личного пользования, но он также может оказаться и «шпионом», тем, кто ворует секретные сведения с целью передачи конкурирующим фирмам или бизнес-структурам.

Защита интеллектуальной собственности

В последние годы кража интеллектуальной собственности стала довольно распространенным явлением, порой информационные утечки остаются незамеченными в течение многих месяцев и даже лет.

Также в последнее время участились инциденты, когда служащие, переходя на новое место работы, уносят с собой и технологические разработки, принадлежащие их старой компании.

В этой связи американские конгрессмены решили ужесточить уголовную ответственность за преступления, совершаемые в отношении интеллектуальной собственности с целью защитить инновации и не допустить того, чтобы нарушения интеллектуальных прав стали нормой в современном бизнесе.

Иностранные правительства, местные и зарубежные организации-конкуренты, могут узнать о секретах производства, а также информацию, являющуюся законной собственностью других лиц, с помощью шпионов. Для этой цели используют и способ вербовки действующих служащих.

Личные факторы

Существует множество мотивов и личных обстоятельств, руководствуясь которыми люди могут осуществлять шпионскую деятельность в отношении своего работодателя.

- Жадность или финансовая необходимость: твердая уверенность в том, что денежное вознаграждение оправдывают любые действия. Крупные долги, чрезмерные расходы.
- Месть: недостаток признания, разногласия с сотрудниками, менеджером, недовольство работой, временное сокращение.
- Идеология: желание помочь менее сильной стороне, либо любая другая схожая причина.
- Лояльность другой компании, или стране.
- Авантюрные цели: желание внести новые краски в свою жизнь, интерес к тайной деятельности, желание походить на «Джеймса Бонда».
- Страх шантажа: супружеская измена, азартные игры.
- Эгоистические мотивы: желание «играть не по правилам», либо повысить самооценку. Вербовщики могут  пообещать лучшие условия в другой компании, высоко отозвавшись о профессиональных качествах служащего.
- Деструктивное поведение: наркотическая, алкогольная или другая зависимости.
- Семейные проблемы: конфликты, развод.

Организационные факторы:

Определенные ситуации, зависящие от организации процесса работы, могут склонить человека к воровству.

- Доступность секретной либо другой информации, являющейся собственностью компании. Предоставление права доступа тем лица, которым это не нужно.
- Частная или засекреченная информация может быть некорректно маркирована.
- Возможность того, что служащие могут беспрепятственно выйти из помещения (или из компьютерной системы), унеся с собой - секретные сведения или другие защищенные материалы.
- У служащего может сложиться ощущение того, что в его компании уровень безопасности находится не на должном уровне, либо же, что последствия кражи будут минимальными.
- Зачастую служащих не обучают тому, как защищать секретные сведения.