Дмитрий Пархоменко: Социальные сайты интернета потенциально опасны для компании. Как с этим бороться и как это использовать

Дмитрий Пархоменко

В феврале текущего года, на известном интернет-ресурсе HeadHunter были опубликованы результаты опроса 1600 пользователей ресурса о том, как их работодатели следят за внерабочей интернет-активностью сотрудников.

Комментарии к размещенной на hh.ru статье, а также личный опыт общения с персоналом коммерческих фирм, руководителями и собственниками компаний, позволяют сделать вывод, что работники не понимают опасности утечки различной информации через интернет, а многие работодатели не придают значения реальным информационным угрозам, заключающимся в возможностях социальных и специализированных сетей интернета, которые все чаще используются в интересах конкурентной (коммерческой) разведки.

В статье опускаются часто публикуемые проблемы потерь компаний, связанных с отвлечением персонала на общение в социальных сайтах в рабочее время, а также какие-либо подробности из личной жизни работников, размещенные на персональных страницах. Это не проблемы безопасности. Общение в интернете в принципе закреплено, как норма основного права человека. Если персонал на рабочих местах имеет возможность проводить свое рабочее время в социальных сайтах и другой личной переписке, то вопросы стоит задавать тем, кто организовывает рабочие/производственные процессы, а также задуматься над тем как могут повлиять встречающиеся в интернете нарушения работниками общепринятых морально-этических норм на goodwill компании…

В данной статье рассматриваются реальные угрозы бизнесу, связанные с возможностью утечки информации, имеющей коммерческую ценность, а также описываются основные принципы как разведывательной, так и контрразведывательной деятельности, использующей возможности интернета в интересах информационной безопасности компании.

Спешу предупредить, что:

1). Все описываемые в статье мероприятия не превышают рамки правовых норм;
2). Концептуальное описание мероприятий с красивыми и таинственными названиями «разведка» и «контрразведка», несмотря на кажущуюся простоту, не является призывом к непрофессиональному и внесистемному применению, так как по причине высокой вероятности допуска непрофессионалами ошибок, могут не иметь желаемого результата и более того – принести вред;
3). Статья имеет исключительно информационно-познавательный характер.

Итак, некие информационно-управленческие мероприятия с использованием возможностей интернета разделим на два этапа: разведка в отношении компании и контрразведка в интересах компании.

I-й этап – «Детские игры из Интернета»

Многие подростки (и не только), просиживающие дни напролет во всевозможных интернет-сетях, баловства ради, или из любопытства создают в сетях так называемые «фейки». Одно из значений этого слова связано с поддельными аккаунтами и применяется на любом сайте, где есть регистрация. Фейковый аккаунт - это анкета, представляющая либо несуществующего человека, либо существующего, но эту анкету создал или содержит вовсе не тот, кого она представляет. Таким образом, у любого человека появляется возможность выдавать себя в интернете совсем за другого человека. Так на социальных сайтах появляются сногсшибательные полу- и совсем обнаженные раскомплексованные красавицы и красавцы, десятки одних и тех же публичных персон и просто интересных людей с выдающейся внешностью и другими личностными достоинствами… Некоторые пользователи сетей, например, в стремлении заработать привилегии для своих реальных аккаунтов создают целые системы «фейков», которые так или иначе отмечают на сайте реальный аккаунт, хвалят его, присуждают ему какие либо баллы и прочее. Масса появляющихся при этом возможностей для общения с, в большинстве своем, доверчивыми людьми приводит к фактам информационного взаимодействия, «дружбе в сети», всевозможным объединениям, в которых реальные пользователи общаются «по душам» с выдуманными героями, при этом абсолютно ничего не подозревая. Таким образом, в интернете проявляются возможности социальной инженерии, т.е. возможности целенаправленного влияния на людей.

Социальная инженерия в интернете - термин, использующийся для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения, цель - обхитрить людей, различными способами войти в доверие и получить от них необходимую информацию, или спровоцировать совершить определенные и реальные действия. Если результат такого воздействия не имеет за собой последствий оскорбления чести и достоинства личности и, каких либо других, законодательно закрепленных правонарушений или преступлений, то и сами действия социальной инженерии преступными признаны быть не могут…

Использование системы фейков позволяет проверить работников компании на предмет болтливости в интернете

Одно дело - подозрение работников в болтливости, ведущей к риску утечки информации коммерчески-ценной для компании и совсем другое – реальная проверка на возможность такой утечки и получение конкретных результатов, т.е. упреждение утечки информации. Простейшие навыки поиска в интернете позволяют найти личные страницы любого человека, размещающего информацию о себе в различных социальных сетях и сообществах. Мероприятия конкурентной (коммерческой) разведки, с использованием интернет-ресурсов в отношении отдельных компаний используют, в том числе подобные методы поиска информации о сотрудниках разведываемой компании по различным критериям, описывать которые я не буду, по причине необходимой при этом фундаментальности.

Кроме того, не секрет, что любая компания, использующая собственные IT- ресурсы, имеет возможность определения посещаемости работниками сайтов, в простейшем варианте - через чтение логов. То есть, при проведении проверки на болтливость собственного персонала, возможностей по определению и регистрации персонала компании на различных сайтах интернета гораздо больше, чем у внешних интернет-разведчиков.

Почему для проверки целесообразно использовать систему фейков, а не одного? Причин несколько. Во-первых, фейки должны отличаться как по гендерным и возрастным признакам, быть распределенными по различным сетям, в которых зарегистрированы работники компании, так и различаться по психотипам. Такое разнообразие псевдо-аккаунтов позволит наиболее эффективно соответствовать интересам всех работников компании, использующих для общения в сетях различные ресурсы. Во-вторых, система фейков должна быть соизмерима с исследуемым коллективом. Узко ограниченное количество фейков может привести к объединению формируемых групп исследуемых работников между собой через единых «друзей», т.е. фейков и как нежелательный результат – обмен информацией между проверяемыми работниками. Стоит добавить, что процесс формирования сети фейков достаточно трудоемкий и длительный, ведь каждый из них должен быть максимально похожим на реального пользователя интернета, иметь собственное окружение, «друзей» и желательно, чтобы это были такие же реальные пользователи… Технология социальной инженерии в интернете достаточно подробно описывается на различных специализированных форумах.

Таким образом, чтобы не утомлять внимание читателей, в статье представлены результаты исследования коллектива группы компаний, с общим штатом офисных сотрудников до 300 человек. Исследования проводились в течение 2,5 месяцев. Из общего количества работников, удалось обнаружить порядка 224 (75%) людей, зарегистрированных на различных социальных сайтах. Попытки установить с ними контакт увенчались успехом в 89 случаях (40%). Активно обсуждали со своими «друзьями» особенности своей работы 16 работников (18%). Обрывочная информация, полученная от каждого из этих работников позволила:

а). Сформировать персональные данные о собственниках бизнеса и основном руководстве;
б). Получить информацию конфиденциального характера об участии в конкретном закрытом тендере, его заказчике и даже ценовых предложениях (!!!);
в). Получить массу информации об особенностях служебных и личных взаимоотношений в коллективе.

Ограничение сроков такого исследования было исключительно искусственным, совершенно очевидно, что ничего не мешает использовать системы фейков в интересах конкурентной (коммерческой) разведки конкретной компании неопределенно долгий период времени, превращая его во все более ценный и информативный источник…

Бытует мнение о том, что эффективность таких исследований коллектива работников зависит в большей степени от профессионализма проводящего исследование, чем от усилий по ограничению работников в обмене различной конфиденциальной информацией в социальных сетях. Однако проводить работу с персоналом предприятий необходимо и ключ к успеху в основном заключается в профилактической работе.

Чтобы упредить вполне справедливые реплики, типа: «зачем все это нужно…», «это похоже на какой то бред…», «больше руководству заняться нечем…» и т.п. перейдем к описанию второго этапа.

II-й этап – «Детские игры с Интернетом»

Использование системы фейков и реальных аккаунтов в интернете позволяет вскрывать разведывательные мероприятия в отношении компании

Процедура несколько более тонкая, чем та, которая описывается в первом этапе. Основные принципы при формировании соответствующей системы:

1). В систему могут быть включены реальные пользователи - работники компании, имеющие определенную степень доверия и соответствующим образом проинструктированные в поведении при различных информационных контактах;

2). Количество фейков в системе не должно превышать в общей сумме с реальными аккаунтами в социальных сетях штат компании, т.е., применительно к данным исследования компании, приведенным в первом этапе – не более 76 фейков.

4) В системе должны использоваться, в том числе и такие интернет-ресурсы, на которых имеется возможность подсчета контактеров с аккаунтами.

3). Каждый фейк или реальный пользователь, включенный в систему, как правило имеют несколько аккаунтов в различных интернет ресурса. Аккаунты данных фигурантов системы должны включать признаки, позволяющие их идентифицировать, т.е. привязывать к определенной «личности», вне зависимости фейк это на самом деле, или реальный пользователь. Поясню на примере: на сайте поиска работы есть аккаунт-резюме некоего человека «Иван» с указанием последнего места работы в конкретной компании, даты рождения, конкретного образования, указанием примечательного адреса электронной почты. В тоже время, на социальном сайте «одноклассники», и/или «в контакте», и/или «мой мир» и т.п. есть аккаунт «Иван» с такой же датой рождения, такими же особенностями полученного образования. В тоже время, в каком-нибудь блоге есть аккаунт, использующий часть примечательного адреса электронной почты. Таким образом, при осуществлении поиска в интернете по данным признакам в отношении «конкретного человека», связанного с нашей организацией можно найти все сайты, где он «обитает»… У отдельных участников нашей системы есть аккаунты не коррелируемые по имени, почтовому адресу и прочим очевидным признакам с другими его страницами в интернете, однако присутствуют оригинальные: статьи, высказывания и прочая информация которые повторялись на других страницах «конкретного человека», таким образом, привязать данные этой страницы к «конкретному человеку» возможно лишь при использовании «глубокого поиска» в интернете, с применением специализированных программ и профессиональных специалистов.

Как это работает?

Допустим, что под видом сотрудников компании, в интернете, на различных ресурсах, по выше описанному принципу, развернута система фейков, в том числе с участием реальных работников, которые согласуют свои действия. В случае целенаправленного системного поиска и посещения страниц развернутой системы, а также появлении на нее информационных воздействий, появляется возможность системно определять такие факты, а также содержание информационных контактов из интернета, анализировать контактеров, вести с ними нужный обмен информацией. Распределение аккаунтов системы по сложности распознавания в интернете позволяет определить глубину поиска, т.е. профессионализм контактеров…

В заключение необходимо отметить факт того, что первый полученный анализ информации о системных визитах из интернета на страницы «работников» компании, своей закономерностью и целенаправленностью превысил ожидания руководителя соответствующих исследований, а собственника компании поверг в ужас.

Расскажите коллегам:
Эта публикация была размещена на предыдущей версии сайта и перенесена на нынешнюю версию. После переноса некоторые элементы публикации могут отражаться некорректно. Если вы заметили погрешности верстки, сообщите, пожалуйста, по адресу correct@e-xecutive.ru
Комментарии
Аналитик, Москва

Продолжение статьи:
В одном конкретном исследовании целенаправленных изучений компании через социальные сайты вскрылось несколько объектов, изучающих компанию. Стоило предполагать, что пытаться целенаправленно искать в интернете и контактировать с работниками компаний могут по разным причинам, как специалисты коммерческой разведки (конкуренты), так и различные маркетологи, в т.ч. подрячики, использующие интернет в качестве установления неформальных связей (партизанский маркетинг). В результате публикации данных материалов (ранее статья была опубликована на нескольких ресурсах), воздействие с используемой системой фейков претерпело системные изменения: часть контактеров ''потерялась''... Как Вы думаете - это были конкуренты или маркетологи? ;-)

Технолог, Украина

Насколько я помню, отдел коммерческой разведки входит в отдел маркетологов. В этом есть логический смысл, внешнюю среду наиболее часто должны анализировать маркетологи. По надобности другие отдели тоже пользуются отделом коммерческой разведки, но не так часто по сравнению с маркетологами. Хотя может кто-то по другому организовывает свое предприятие. :D

А вообще тема действительно актуальная и свое рода автор выложил противоядие, за что ему большое спасибо 8)

Аналитик, Москва

''Разведчики'' и ''маркетологи'' - это искусственное разделение в том контексте, что первые более профессиональные в методах воздействия, но главное - ЦЕЛЬ их воздействия на упомянутую компанию, которая связана с конкурентным влиянием и попадает в компетенции СБ по противодействию такому влиянию.

А что касается места ''отдела конкурентной разведки'' у компании-конкурента, то это не рассматривается в принципе. На практике встречался с аутсерсерами, которые вели такую разведку по заказу в целях конкретной задачи, достижение которой привело бы к лишению стратегического преимущества компании на рынке. Заказ осуществляли не маркетологи компании-конкурента, а собственники. На одном специализированном форуме я рассказывал, как за это можно наказывать :-)

Спасибо за респект!

Технолог, Украина
Дмитрий Пархоменко пишет: На одном специализированном форуме я рассказывал, как за это можно наказывать smile:-)
А продублировать на этом форму не будет сложно? Буду признателен smile:-)
Аналитик, Москва

Особенность коммерческой/конкурентной разведки (КР) заключается в том, что она действует методами разведки, однако делает это в рамках правового поля, или использует обход законодательной базы, т.е. так называемые «действия вне правового поля». Борьба с ней синхронизируется со следующими фазами деятельности разведки:
1. Пассивная – сбор информации по объекту разведки и другим сопутствующим факторам. Определение лиц, которые могут стать потенциальными «агентами влияния». В этот момент важно ее своевременно обнаружить и вступить в контр-игру. На этой фазе осуществляются меры дезинформации и провоцируется переход к активной фазе, но уже по собственному сценарию.
2. Подготовительная – разработка «агентов влияния», установление устойчивой информационной связи с конкретными физическими лицами, которые могут оказать воздействие на объект разведки и обеспечить выполнение разведывательной задачи, а также соответствующая мотивация этих лиц. Это могут быть как сотрудники внутри компании, так и другие лица (чиновники, конкуренты и т.п.). В этот период важно, чтобы КР «вышла» на специально предоставленных «агентов влияния» и начала с ними активно работать.
3. Активная – достижение целей КР, выражается в получении конкретной информации, либо воздействие на изменение в деятельности разведываемой фирмы в свою пользу.
Задача СБ – не допустить этого, т.е. для КР предоставляется ложная информация, а также разведка вводится в заблуждение об изменении в деятельности фирмы… Невыполнение задачи КР есть самое страшное ее наказание, в случае с работой КР на аутсерсинге это означает гибель КР, как бизнеса. В случае, если КР фирма-конкурент осуществляет собственными силами, это как правило, означает значительный урон конкурентоспособности по отношению к нашей фирме.
Интернет не единственное информационное поле, где это работает. Также (как и в старые добрые времена) это работает непосредственно в социальных группах.
А теперь поясню на примере: с помощью «росянки», т.е. системы фейков, описанной во второй части статьи, удалось установить устойчивую связь с фейками, которые целенаправленно искали связи с работниками фирмы (на жаргоне: произошло «влипание в росянку»). Среди фейков «росянки» был один – «ТОП-менеджер компании» (кстати реальное ФИО, т.к. человек был предупрежден и подготовлен), который на различных блогах (естественно под псевдонимом, но имеющий «признаки узнаваемости») негативно отзывался о нашей компании, активно вступал в полемику, даже публиковал реальную информацию. Через некоторое время, на сайтах поиска работы появилось его резюме (опять же с признаками узнавания). Вскоре человека «пригласили» на интервьюирование по поводу очень привлекательного места работы… так была слита очень важная дезинформация о переговорах между двумя фирмами-стратегическими партнерами. Получив эту информацию, конкурент выдвинул такую аферту-предложения на участие в проекте, что вопрос об этом самом его участии был вычеркнут партнерами навсегда. :cry:

Аналитик, Москва

Следует отметить, что уязвимость информационной безопасности в коммерческих структурах имеет очень важный системный недостаток – социальную составляющую (так называемый человеческий фактор).
Любая информационная система это (по степени уязвимости):
1. Человек – человек
2. Человек – средство массовой информации (коммуникации) – человек.
3. Человек - средство связи - человек
4. Человек - автоматизированная система – человек
Как видите, несмотря на развитие систем коммуникаций, преобладающая роль в уязвимости системы продолжает оставаться за персоналом. Какие бы защищенные системы коммуникации и хранения информации не разрабатывались в компании, какие бы совершенные и защищенные ПО не устанавливались, какие бы регламенты по защите коммерческой тайны бы не вводились, в любой момент человеческий фактор может перечеркнуть все усилия. Мало того, что человек сам по себе без коммуникаций в социальной среде не может (это его основная потребность), все знают что существуют и неисправимые (патологические) болтуны. Я их не обвиняю и не имею на это никакого морального права, так как болтливость – психо-физиологическая категория. Что уж говорить о профессиональном воздействии на персонал по получению от него нужной информации в случае осуществления конкурентной разведки.
Однако надо напомнить опыт спецслужб, например по организации защиты государственной тайны. Всегда человек и непосредственная работа с людьми ставились во главу угла.
А теперь сравните с мероприятиями, осуществляемыми в коммерческих организациях по защите информации с соответствующими мероприятиями спецслужб (мероприятия технического характера я опускаю искусственно).
А). Отбор кандидатов на допуск к конфиденциальной информации – одно из основных, но не единственных мероприятий.
Б). Правовое регулирование допуска к конфиденциальной информации (подписка о неразглашении, категорирование уровня доступа, предупреждение об ответственности).
В). Обучение методам работы с конфиденциальной информацией, порядком получения, хранения, передачи, уничтожения.
Б). Профилактическая, информационно-консультационная работа .
Г). Систематическая проверка (в т.ч. и активные мероприятия провокационного характера)
Д). Систематическая оценка качества работы персонала с конфиденциальной информацией и мотивирование (в т.ч. и материальное).
Сравнили? … Уверен, что в большинстве случаев, работа в фирмах по организации систем информационной безопасности сводится к мероприятиям технического и нормативного характеров, которые способны сработать в лучшем случае против случайной утечки, допускаемой по причине халатности персонала, но отнюдь не поможет в случае целенаправленного разведывательного воздействия, а лишь временно осложнит задачу.

CIO, Казань

Замечательные статьи. Нашел подтверждение своего понимания, в процессах сохранения информации, и сборе данных о конкурентах.

Руководитель, Москва

Респект за статью и ее сопровождение на форуме. Понятно, что статья охватывает проблему информационной безопасности только с одной стороны, но нельзя объять необъятное, коим является система безопасности предприятия в целом.
К сожалению - материалы подобного уровня становятся редкостью на e-xe...

Нач. отдела, зам. руководителя, Москва

Дмитрий, Вы молодец. Только боюсь, Ваши наработки в 9 случаях из 10 станут использовать разведчики а не контрразведчики :(

Аналитик, Москва
Марат Бисенгалиев пишет: боюсь, Ваши наработки в 9 случаях из 10 станут использовать разведчики а не контрразведчики
Марат. Это не мои наработки, это проецирование старых избитых правил управления и систематизации информационными потоками в социальных средах на интернет-ресурсы. Разведка, в т.ч. госструктуры и коммерческая давно используют сети для своих целей, помешать этому невозможно, кроме как пропагандой этих самых методов. Если к профессионалам разведки благодаря этим статьям начнут примыкать любители - в этом ничего плохого не вижу. Возможно в коммерческом звене, когда нибудь мы дорастем и до этических норм :-)
Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Эрнст Мальцев
  На это просто напрашивается цитата из повести Хольма ван Зайчика "Дело жадного варвара" (комм...
Все дискуссии
HR-новости
Исследование: что доводит сотрудников до выгорания

Большинство респондентов регулярно испытывают нехватку ресурсов, сталкиваются с размытыми задачами, переработками, а также ощущают давление негласных корпоративных правил.

Большинство россиян считают работу в креативной индустрии привлекательной

76% хотели бы попробовать себя в роли креативного продюсера, при этом у половины из них нет четкого представления, чем занимается этот специалист.

Средние зарплаты в отрасли туризма и гостеприимства выросли на 52% за год

Рост внутреннего туризма стимулирует спрос на кадры, а конкуренция за них меняет подходы работодателей.