В феврале текущего года, на известном интернет-ресурсе HeadHunter были опубликованы результаты опроса 1600 пользователей ресурса о том, как их работодатели следят за внерабочей интернет-активностью сотрудников.
Комментарии к размещенной на hh.ru статье, а также личный опыт общения с персоналом коммерческих фирм, руководителями и собственниками компаний, позволяют сделать вывод, что работники не понимают опасности утечки различной информации через интернет, а многие работодатели не придают значения реальным информационным угрозам, заключающимся в возможностях социальных и специализированных сетей интернета, которые все чаще используются в интересах конкурентной (коммерческой) разведки.
В статье опускаются часто публикуемые проблемы потерь компаний, связанных с отвлечением персонала на общение в социальных сайтах в рабочее время, а также какие-либо подробности из личной жизни работников, размещенные на персональных страницах. Это не проблемы безопасности. Общение в интернете в принципе закреплено, как норма основного права человека. Если персонал на рабочих местах имеет возможность проводить свое рабочее время в социальных сайтах и другой личной переписке, то вопросы стоит задавать тем, кто организовывает рабочие/производственные процессы, а также задуматься над тем как могут повлиять встречающиеся в интернете нарушения работниками общепринятых морально-этических норм на goodwill компании…
В данной статье рассматриваются реальные угрозы бизнесу, связанные с возможностью утечки информации, имеющей коммерческую ценность, а также описываются основные принципы как разведывательной, так и контрразведывательной деятельности, использующей возможности интернета в интересах информационной безопасности компании.
Спешу предупредить, что:
1). Все описываемые в статье мероприятия не превышают рамки правовых норм;
2). Концептуальное описание мероприятий с красивыми и таинственными названиями «разведка» и «контрразведка», несмотря на кажущуюся простоту, не является призывом к непрофессиональному и внесистемному применению, так как по причине высокой вероятности допуска непрофессионалами ошибок, могут не иметь желаемого результата и более того – принести вред;
3). Статья имеет исключительно информационно-познавательный характер.
Итак, некие информационно-управленческие мероприятия с использованием возможностей интернета разделим на два этапа: разведка в отношении компании и контрразведка в интересах компании.
I-й этап – «Детские игры из Интернета»
Многие подростки (и не только), просиживающие дни напролет во всевозможных интернет-сетях, баловства ради, или из любопытства создают в сетях так называемые «фейки». Одно из значений этого слова связано с поддельными аккаунтами и применяется на любом сайте, где есть регистрация. Фейковый аккаунт - это анкета, представляющая либо несуществующего человека, либо существующего, но эту анкету создал или содержит вовсе не тот, кого она представляет. Таким образом, у любого человека появляется возможность выдавать себя в интернете совсем за другого человека. Так на социальных сайтах появляются сногсшибательные полу- и совсем обнаженные раскомплексованные красавицы и красавцы, десятки одних и тех же публичных персон и просто интересных людей с выдающейся внешностью и другими личностными достоинствами… Некоторые пользователи сетей, например, в стремлении заработать привилегии для своих реальных аккаунтов создают целые системы «фейков», которые так или иначе отмечают на сайте реальный аккаунт, хвалят его, присуждают ему какие либо баллы и прочее. Масса появляющихся при этом возможностей для общения с, в большинстве своем, доверчивыми людьми приводит к фактам информационного взаимодействия, «дружбе в сети», всевозможным объединениям, в которых реальные пользователи общаются «по душам» с выдуманными героями, при этом абсолютно ничего не подозревая. Таким образом, в интернете проявляются возможности социальной инженерии, т.е. возможности целенаправленного влияния на людей.
Социальная инженерия в интернете - термин, использующийся для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения, цель - обхитрить людей, различными способами войти в доверие и получить от них необходимую информацию, или спровоцировать совершить определенные и реальные действия. Если результат такого воздействия не имеет за собой последствий оскорбления чести и достоинства личности и, каких либо других, законодательно закрепленных правонарушений или преступлений, то и сами действия социальной инженерии преступными признаны быть не могут…
Использование системы фейков позволяет проверить работников компании на предмет болтливости в интернете
Одно дело - подозрение работников в болтливости, ведущей к риску утечки информации коммерчески-ценной для компании и совсем другое – реальная проверка на возможность такой утечки и получение конкретных результатов, т.е. упреждение утечки информации. Простейшие навыки поиска в интернете позволяют найти личные страницы любого человека, размещающего информацию о себе в различных социальных сетях и сообществах. Мероприятия конкурентной (коммерческой) разведки, с использованием интернет-ресурсов в отношении отдельных компаний используют, в том числе подобные методы поиска информации о сотрудниках разведываемой компании по различным критериям, описывать которые я не буду, по причине необходимой при этом фундаментальности.
Кроме того, не секрет, что любая компания, использующая собственные IT- ресурсы, имеет возможность определения посещаемости работниками сайтов, в простейшем варианте - через чтение логов. То есть, при проведении проверки на болтливость собственного персонала, возможностей по определению и регистрации персонала компании на различных сайтах интернета гораздо больше, чем у внешних интернет-разведчиков.
Почему для проверки целесообразно использовать систему фейков, а не одного? Причин несколько. Во-первых, фейки должны отличаться как по гендерным и возрастным признакам, быть распределенными по различным сетям, в которых зарегистрированы работники компании, так и различаться по психотипам. Такое разнообразие псевдо-аккаунтов позволит наиболее эффективно соответствовать интересам всех работников компании, использующих для общения в сетях различные ресурсы. Во-вторых, система фейков должна быть соизмерима с исследуемым коллективом. Узко ограниченное количество фейков может привести к объединению формируемых групп исследуемых работников между собой через единых «друзей», т.е. фейков и как нежелательный результат – обмен информацией между проверяемыми работниками. Стоит добавить, что процесс формирования сети фейков достаточно трудоемкий и длительный, ведь каждый из них должен быть максимально похожим на реального пользователя интернета, иметь собственное окружение, «друзей» и желательно, чтобы это были такие же реальные пользователи… Технология социальной инженерии в интернете достаточно подробно описывается на различных специализированных форумах.
Таким образом, чтобы не утомлять внимание читателей, в статье представлены результаты исследования коллектива группы компаний, с общим штатом офисных сотрудников до 300 человек. Исследования проводились в течение 2,5 месяцев. Из общего количества работников, удалось обнаружить порядка 224 (75%) людей, зарегистрированных на различных социальных сайтах. Попытки установить с ними контакт увенчались успехом в 89 случаях (40%). Активно обсуждали со своими «друзьями» особенности своей работы 16 работников (18%). Обрывочная информация, полученная от каждого из этих работников позволила:
а). Сформировать персональные данные о собственниках бизнеса и основном руководстве;
б). Получить информацию конфиденциального характера об участии в конкретном закрытом тендере, его заказчике и даже ценовых предложениях (!!!);
в). Получить массу информации об особенностях служебных и личных взаимоотношений в коллективе.
Ограничение сроков такого исследования было исключительно искусственным, совершенно очевидно, что ничего не мешает использовать системы фейков в интересах конкурентной (коммерческой) разведки конкретной компании неопределенно долгий период времени, превращая его во все более ценный и информативный источник…
Бытует мнение о том, что эффективность таких исследований коллектива работников зависит в большей степени от профессионализма проводящего исследование, чем от усилий по ограничению работников в обмене различной конфиденциальной информацией в социальных сетях. Однако проводить работу с персоналом предприятий необходимо и ключ к успеху в основном заключается в профилактической работе.
Чтобы упредить вполне справедливые реплики, типа: «зачем все это нужно…», «это похоже на какой то бред…», «больше руководству заняться нечем…» и т.п. перейдем к описанию второго этапа.
II-й этап – «Детские игры с Интернетом»
Использование системы фейков и реальных аккаунтов в интернете позволяет вскрывать разведывательные мероприятия в отношении компании
Процедура несколько более тонкая, чем та, которая описывается в первом этапе. Основные принципы при формировании соответствующей системы:
1). В систему могут быть включены реальные пользователи - работники компании, имеющие определенную степень доверия и соответствующим образом проинструктированные в поведении при различных информационных контактах;
2). Количество фейков в системе не должно превышать в общей сумме с реальными аккаунтами в социальных сетях штат компании, т.е., применительно к данным исследования компании, приведенным в первом этапе – не более 76 фейков.
4) В системе должны использоваться, в том числе и такие интернет-ресурсы, на которых имеется возможность подсчета контактеров с аккаунтами.
3). Каждый фейк или реальный пользователь, включенный в систему, как правило имеют несколько аккаунтов в различных интернет ресурса. Аккаунты данных фигурантов системы должны включать признаки, позволяющие их идентифицировать, т.е. привязывать к определенной «личности», вне зависимости фейк это на самом деле, или реальный пользователь. Поясню на примере: на сайте поиска работы есть аккаунт-резюме некоего человека «Иван» с указанием последнего места работы в конкретной компании, даты рождения, конкретного образования, указанием примечательного адреса электронной почты. В тоже время, на социальном сайте «одноклассники», и/или «в контакте», и/или «мой мир» и т.п. есть аккаунт «Иван» с такой же датой рождения, такими же особенностями полученного образования. В тоже время, в каком-нибудь блоге есть аккаунт, использующий часть примечательного адреса электронной почты. Таким образом, при осуществлении поиска в интернете по данным признакам в отношении «конкретного человека», связанного с нашей организацией можно найти все сайты, где он «обитает»… У отдельных участников нашей системы есть аккаунты не коррелируемые по имени, почтовому адресу и прочим очевидным признакам с другими его страницами в интернете, однако присутствуют оригинальные: статьи, высказывания и прочая информация которые повторялись на других страницах «конкретного человека», таким образом, привязать данные этой страницы к «конкретному человеку» возможно лишь при использовании «глубокого поиска» в интернете, с применением специализированных программ и профессиональных специалистов.
Как это работает?
Допустим, что под видом сотрудников компании, в интернете, на различных ресурсах, по выше описанному принципу, развернута система фейков, в том числе с участием реальных работников, которые согласуют свои действия. В случае целенаправленного системного поиска и посещения страниц развернутой системы, а также появлении на нее информационных воздействий, появляется возможность системно определять такие факты, а также содержание информационных контактов из интернета, анализировать контактеров, вести с ними нужный обмен информацией. Распределение аккаунтов системы по сложности распознавания в интернете позволяет определить глубину поиска, т.е. профессионализм контактеров…
В заключение необходимо отметить факт того, что первый полученный анализ информации о системных визитах из интернета на страницы «работников» компании, своей закономерностью и целенаправленностью превысил ожидания руководителя соответствующих исследований, а собственника компании поверг в ужас.
Очень содержательная и полезная статья. Спасибо Вам искреннее. Есть огромное поле, о чем можно задуматься/
Присоединяюсь к коллегам-СПАСИБО :!: 8)
Очень полезно и профессионально. Спасибо. :!: