Корпоративная политика информационной безопасности
Исходя из данных ФБР, опубликованных Associated Press в апреле 2002 года, девяносто процентов крупнейших компаний и государственных учреждений подверглись нападению компьютерных злоумышленников. Интересно, что при этом лишь треть опрошенных компаний заявили об атаке публично. Такое нежелание говорить о своей уязвимости имеет огромное значение. В бизнесе вообще не принято громко говорить о неприятностях, тем более, если они связаны с безопасностью и потерей доверия клиентов.
Похоже, что статистики социоинженерных атак не существует, а если бы такая и была, то ее данным вряд ли можно было бы доверять. Тем более, что в подавляющем количестве случаев удачное нападение вообще остается незамеченным.
Естественно, что против большинства видов социоинженерных атак существуют эффективные контрмеры. Но практика доказывает, что противодействие возможно только в компаниях, где каждый понимает значимость информационной безопасности для бизнеса и воспринимает правила политики безопасности всерьез.
Мы живем во время бурного развития технологий безопасности и не секрет, что для информационных грабителей все более заманчивыми становятся именно методы социальной инженерии. Эти методы используют не «дыры» в защитных технологиях, а человеческие слабости. Мастера промышленного шпионажа пошли по пути наименьшего сопротивления, находя скрытные и, вместе с тем, простые способы достижения цели. Часто получается так, что компания, которая делает ставку на высокотехнологичные системы, оказывается совершенно беззащитной перед социоинженером.
В этой главе приводятся правила, специально разработанные для минимизации риска информационного нападения. Надо отметить, что акцент делается именно на социоинженерных атаках, которые эксплуатируют не всегда и не только технические уязвимости. В нападении социальный инженер использует особые методы обмана и маскировки, провоцирующие жертву – сотрудника, наделенного определенными полномочиями – на разглашение служебной информации или на действия, которые помогут злоумышленнику в достижении его цели. А цель социоинженера – получение доступа к конфиденциальным данным, к компьютерным системам и сетям предприятия.
