Проект видавничого дому «МЕДІА-ПРО»
Утечка корпоративных данных через социальные сети | director.com.ua

Утечка корпоративных данных через социальные сети

Автор статьи: 

Татьяна БИЗЮК,
независимый эксперт

Заглавное изображение: 

Всемирная популярность социальных сетей продолжает набирать обороты. Все больше пользователей не могут отказать себе в удовольствии «пробежаться» по страничкам знакомых и незнакомых людей. Если раньше пользователями соцсетей были в основном подростки и молодежь, то сейчас это площадка для общения людей любого возраста и статуса. Профессиональное сообщество не стало исключением: теперь собственные аккаунты есть и у топ-менеджеров, и у рядовых служащих компаний. Неудивительно, что все они делятся информацией с друзьями, и, рано или поздно, она становится достоянием общественности

Читаю как с открытой книги

Военные моряки США регулярно «сливали» секретные правительственные данные в Facebook, даже не подозревая о том, что данная информация составляет государственную тайну. Они завели аккаунты в популярной соцсети и, как и все пользователи, выкладывали свои фотографии, комментировали события, указывая даты и конкретные места своего пребывания. Военные рассказывали своим «френдам» о том, на каких кораблях они плавают и каким оружием пользуются, совсем позабыв, что подобные сведения ни в коем случае не должны разглашаться и, тем более, активно обсуждаться с третьими лицами.

Как такое возможно? Происходящее можно объяснить тем, что многие пользователи воспринимают аккаунты в социальных сетях как личные электронные дневники, где можно фиксировать свои мысли, делиться воспоминаниями, описывать отношения с друзьями и коллегами. Но ведь, в отличие от бумажных дневников XVIII–XIX вв., социальные сети общедоступны, и воспользоваться опубликованными в них данными может любой желающий. Что, если намерения у него при этом не самые благие?

Не углубляясь в сухую статистику, можно констатировать, что число посещений социальных сетей с рабочих мест возрастает с каждый днем (согласно исследованиям, проведенным различными компания-ми в США, Великобритании, Японии и Германии). Эта общемировая тенденция, безусловно, затрагивает и страны СНГ.

В сложившейся ситуации было бы удивительно, если бы киберпреступники не попытались найти в соцсетях персональные данные пользователей с целью извлечения экономической выгоды.

TheWallStreetJournal 18 октября 2010 года опубликовал новость о том, что некоторые популярные приложения Facebook автоматически пересылали ID-номера пользователей одной брокерской конторе, которая, в свою очередь, передавала эти данные рекламным компаниям. С одной стороны, ID-номер никакой личной информации в себе не несет. С другой — введя его в адресную строку Facebook, любой желающий может попасть на страницу пользователя и узнать его имя, внешние данные и другие подробности. Если же рассматривать подобную утечку с технической точки зрения, то корень зла заключается в нежелании пользователей внимательно читать всю информацию, по предлагаемым ему приложениям настроек полной приватности. Таким образом, главным инструментом в руках киберпреступников, использующих социальные сети, становятся приемы, эксплуатирующие неопытность, невнимательность, не-осторожность, а также элементарное любопытство пользователя. Пресловутый «человеческий фактор».

Был бы товар…

Так какую же информацию может извлечь злоумышленник из социальной сети?

«Злоумышленников всегда интересуют те сведения, которые можно обратить в личную выгоду — как сейчас модно говорить, монетизировать. Обычно это данные, позволяющие восстановить пароль пользователя, например, к системе интернет-банкинга, с помощью стандартных вопросов (имя питомца, девичья фамилия матери и т. д.). В ряде случаев злоумышленники используют, как вариант, данные о перемещениях потенциальной жертвы, информацию о местах, которые она посещает, чтобы заниматься киднеппингом», — рассказывает Роман Идов, аналитик компании SearchInform.

Действительно, учитывая, что некоторые люди в подробностях освещают и личную, и профессиональную жизнь в соцсетях, на них легко могут выйти шантажисты, нуждаясь в деньгах либо корпоративных секретах компаний.

Цель киберпреступников — не просто кража персональной информации пользователей, а запуск еще более масштабных атак через аккаунт жертвы либо подключение ее компьютера к ботнету для массовых рассылок спама. Во всех перечисленных случаях за атаками стоят всё те же коммерческие интересы и немалые деньги. Социальные сети тем интереснее и перспективнее для киберпреступников, чем больше потенциальных жертв привлекают.

Социальные сети интересуют всех, начиная с кадровых агентств и HR-менеджеров, получающих сведения о кандидатах на работу, и заканчивая уже упоминавшимися киднепперами, — продолжает г-н Идов. — Но основная масса — это, конечно, те, кто «уводит» аккаунты в социальных сетях, чтобы рассылать через них вредоносное ПО и спам».

Как правильно поступить в подобной ситуации?

Вариант первый: блокировка доступа на сайты данной категории. Чаще всего в крупных организациях именно так и поступают, поскольку посещение таких сайтов приводит к потере рабочего времени и снижению производительности. В то же время, сегодня большинство необходимых профессиональных контактов, минуя бюрократическую машину, осуществляется именно через соцсети. К тому же, это необходимый инструмент в руках маркетологов, специалистов по связям с общественностью, по подбору персонала, менеджеров по продажам, работников, занимающихся промышленной разведкой и обеспечением безопасности.

Вариант второй: контроль над пользованием сайтами данной категории.

Подходит компаниям, для которых Facebook и Twitter — площадка для активной профессиональной деятельности. Но здесь сразу же встает вопрос о потенциальной угрозе утечки информации через социальные сети.

Как защититься?

В первую очередь, важно выявить сведения, которые являются конфиденциальными и не должны попасть в третьи руки. Именно таким образом создаются «политики безопасности» компании, с которых и начинается информационная безопасность организации. Контролируя все каналы передачи информации внутри компании, можно в целом осуществлять мониторинг информационных потоков в ней, включая соцсети, форумы, блоги, а также общение посредством интернет-месседжеров и Skype. И все-таки: контроль или блокировка?

По мнению Георгия Кузнецова, специалиста по информационной безопасности, главным аргументом в пользу запрета является тот факт, что опубликованное в соцсетях впоследствии не удалишь. К тому же вся информация индексируется поисковыми системами и становится доступной, условно говоря, всему миру. Более того, как правило, популярные соцсети расположены за пределами Украины, а там иные законы, иные интересы (Facebook — США — ФБР, Одноклассники — РФ —
ФСБ и т. д.). «Полагаясь на свой профессиональный опыт, могу сказать, что соцсети — всего лишь средство отвлечения сотрудников от основной трудовой деятельности, и очевидной пользы компании они не приносят. Если говорить о неких способах релаксации в период сложной и интенсивной работы путем отвлечения на такие сайты, то эффект также сомнителен, поскольку расставание с любимым «аватаром» или получение виртуальной оценки за фото ниже ожидаемой может вызвать у сотрудника больший стресс», — считает эксперт.

«Почему руководители большинства организаций считают недопустимым посещение социальных сетей во время работы? — делится Владимир Матвийчук, менеджер подразделения услуг в области информационных технологий и IТ-рисков компании Ernst & Young. — Проанализируем самые распространенные причины такого запрета, а также их целесообразность:

Причина 1. Социальные сети способствуют утечке данных. На самом деле, истинная причина проблемы кроется в осведомленности сотрудников в вопросах информационной безопасности. Конфиденциальные сведения можно успешно распространять и через электронную почту, и по телефону, и в повседневном общении с людьми.

Причина 2. Социальные сети отнимают рабочее время. Однако это, скорее, проблема мотивации персонала. Лишите их социальных сетей — и они будут читать новости, рассылать «письма счастья» либо спать на рабочем месте.

Причина 3. Социальные сети — источник вирусов и прочей вредоносной «живности». С этим аргументом трудно поспорить. Правда, подобные ресурсы в данном отношении не уникальны. Вирус или «троянского коня» можно с равным успехом принять по электронной почте, блуждая по просторам Интернета или просто загрузив CD с пиратским программным обеспечением в свой компьютер».

Наложить вето

«Можно ли запретить посещение социальных сетей на работе? Организационно — да, но сделать это технически крайне сложно, — продолжает г-н Матвийчук. — Даже при закрытии всех подобных сайтов (а их бесконечное множество) и сервисов, при помощи которых можно получить доступ к своему аккаунту (их еще больше), проблема не решится: мобильный телефон с доступом в Интернет сейчас не является чем-то фантастическим. Существуют также домашние сети — потенциальные каналы утечки информации.

Запрет на общение в соцсетях несет в себе еще и упущенную возможность использовать в работе мощный инструмент коммуникации, который можно успешно применять для развития бизнеса. Более того, есть социальные сети, сугубо бизнес-ориентированные. Во многих компаниях уже работают специалисты, в обязанности которых входит продвижение продуктов и услуг фирмы через такие сайты. Например, в некоторых компаниях менеджерам по продаже читается специальный курс, в который входит раздел, посвященный использованию социальных сетей для увеличения объема продаж.

Поэтому, если революцию нельзя предотвратить — ее нужно возглавить, т. е. контролировать использование социальных сетей, как это делают в цивилизованном мире. В первую очередь, через донесение до пользователей перечня рисков, которые несет в себе бездумное общение в соцсетях, и обучение сотрудников ключевым правилам безопасного применения данного канала коммуникации».

«Существует три возможных ситуации, при которых следует запрещать доступ к социальным сетям, — советует Владимир Гнинюк, генеральный директор ООО «Глобал АйТи Сервис», эксперт по вопросам информационной безопасности:
•присутствует необходимость изолирования работника от внешнего мира;
•отсутствует контроль и управление доступом к социальным сетям;
•не производится оценка эффективности труда работников (например, через оценку Key Performance Indicators (KPI) — ключевые показатели эффективности).

Если первая ситуация может сложиться в силу объективных обстоятельств и должна трансформироваться в перманентное требование, то две остальные должны восприниматься менеджментом фирмы как временные, вызванные недоработками в вопросах управления и технической оснащенности.

Усилия должны быть направлены на устранение данных недоработок, потому как развитие современных технологий и возможностей доступа к Интернету способно разрушить установленные запреты, сведя на нет все усилия и средства по их возведению».

«Во многом желание организаций запретить, а не контролировать социальные сети обусловливается непониманием технических принципов их контроля и тех выгод, которые из него можно извлечь, — добавляет г-н Идов. — Проще говоря, как только руководство вдруг решает, что подобные сайты — зло, ему и в голову не приходит другого выхода, кроме как «Заблокировать!».

Между тем запрет использования соцсетей на рабочем месте не поможет решить проблему утечек конфиденциальных данных, потому что блокировка одного из каналов может спровоцировать поиск альтернативных путей передачи данных конкурентам или журналистам. Контроль же позволяет не только схватить инсайдера с поличным, но и дает возможность быть в курсе настроений внутри коллектива, своевременно узнавать о том, кто из сотрудников собирается менять место работы…

Таким образом, контроль дает возможность оперативно реагировать на любые угрозы информационной безопасности фирмы, а запрет — лишь иллюзию такой «защиты».

 

Послесловие

В последнее время тема информационной безопасности и приватности в социальных сетях привлекает много внимания. Например, брачные юристы США уже сейчас фиксируют каждый пятый развод из-за таких сайтов: супруги получают доступ к профилю партнера, находят там переписку с любовником/любовницей, что в результате приводит к разводу. Также известен случай, когда молодого человека не приняли на работу по причине того, что на его странице в Facebook была выложена фотография, где соискатель был изображен с пистолетом в руке.

При этом соцсети влияют не только на жизнь конкретных людей, но и на деятельность организаций: час-то сотрудники обсуждают со своими якобы «друзьями» дела фирмы, после чего такие сведения становятся источником заработка для других компаний.

Но означает ли это, что Facebook, Twitter и другие соцсети — эдакие «плохие ребята»? Может быть, дело в соблюдении разумных пределов: если и пользоваться ими на работе, то порционно, если и обсуждать в них какие-либо вопросы, то лишь с четким пониманием специфики той или иной информации.

 

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж