В июньском материале журнала «Персональные данные» «Социальная инженерия vs ИСПДн» рассматривались используемые для атак на базы данных методы социальной инженерии и способы защиты. Сейчас более подробно мы остановимся на самой уязвимой части системы – человеческом факторе.
Для начала следует определиться: что именно мы защищаем, какова ценность на черном рынке именно этой подборки персональных данных, кто и для чего заинтересован обойти защиту и получить охраняемые ПДн, сколько сил и средств злоумышленники готовы потратить на атаку, чтобы самим не остаться в убытке? Правильные ответы на эти вопросы позволят выстроить необходимую и достаточную схему защиты, используя разумное сочетание технических и организационных мер.
Теоретически внедриться можно куда угодно, но будет ли это выгодно синжеру? Базы емэйлов, телефонов и так далее продаются на рынке по пятачку за пучок. Здесь можно выиграть только на больших объемах. Клиентские базы банков дороже, но цены тоже не заоблачные. Поэтому, поскольку атакующие руководствуются критерием затраты-прибыль, на него же есть смысл ориентироваться при организации защиты – в противном случае стоимость защитных мероприятий окажется чрезмерной.
Осведомлен – значит вооружен
Во всех тайных войнах знание форм и методов действий спецслужб противника, их тактики и стратегии давало изрядную фору противоборствующей стороне. Поэтому такие сведения тщательно оберегались и засекречивались, добыть их было не так просто. Но синжеры – не разведчики, используемые ими методики хорошо известны, во всяком случае, в целом.
Для эффективного противодействия методам социальной инженерии сотрудники служб информационной и физической безопасности должны хорошо владеть методами СИ, знать типовые сценарии атак, быть в курсе последних новаций в этой сфере. На основе этих знаний необходимо постоянно поддерживать актуальными политики безопасности компании, принимать участие в составлении должностных инструкций для сотрудников и в собеседованиях с претендентами на вакантные должности.
Понятно, что сотрудников ИБ желательно периодически отправлять на профильные курсы повышения квалификации. Но там они освежат свои знания в основном по техническим и программным средствам защиты. С обучением социальной инженерии сложнее, тут придется больше полагаться на самообразование и изучение тематических форумов.
Программно-аппаратные и организационные меры
Как правило, начинать приходится с наведения в организации хотя бы элементарного порядка. Приоритет следует отдать именно организационным мерам. Служба информационной безопасности должна четко знать структуру информационных потоков и баз данных, кто из сотрудников чем занимается, к чему допущен и где его рабочее место, что и где находится. При этом программно-аппаратные средства играют немаловажную роль при отражении «обычных» хакерских атак, совсем загонять их на вторые роли недопустимо.
Следует фиксировать документально все работы на объекте, проводимые сторонним персоналом. Например, если приглашенный электрик менял разбитую розетку, в журнале непременно должна быть запись – кто, по чьему распоряжению, в какой день и время, в каком помещении, какую именно розетку. Посетители и привлеченные специалисты (включая даже уборщиц) не должны бесконтрольно перемещаться по территории компании – это задача охраны.
Чтобы поддерживать выполнение политики безопасности на приемлемом уровне, следует разработать протоколы об инцидентах для персонала службы поддержки. Каждый случай проникновения (или даже попытки такового) должен фиксироваться во всех подробностях – для дальнейшего анализа и принятия мер по предотвращению подобной ситуации в будущем. Ну и для выявления виновных, естественно.
Не следует пренебрегать и совсем простыми решениями. Например, хороший шредер радикально решает проблему утечки информации через мусор. Ни один напечатанный или написанный от руки листок не должен пройти мимо него и оказаться в корзинке для мусора – там его могут подобрать пытливые синжеры.
Материал полностью читайте в №8(61) журнала «Персональные данные»