ЧЕЛОВЕК КАК УГРОЗА ИНТЕРЕСАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ - Студенческий научный форум

IX Международная студенческая научная конференция Студенческий научный форум - 2017

Личный портфель

ЧЕЛОВЕК КАК УГРОЗА ИНТЕРЕСАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Алексеева Е.Н.
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
Сегодня безопасность, как отдельной зафиксированной информации, так и информационных ресурсов и систем в целом постепенно занимает лидирующее положение в жизни общества. Сложно представить сферу деятельности, где абсолютно не применяются компьютерные технологии, которые, по мнению многих экспертов, не только являются прогрессом в развитии технологий создания, обработки и хранения информации, но и ознаменовали своим появлением и массовым распространением переход общества к качественно новому этапу развития человеческой цивилизации.

Современное понятие безопасности рождается на стыке двух противодействующих общественных сил: необходимостью сокрытия каких-либо данных, продиктованной с точки зрения экономической выгоды и желания злоумышленников получить информацию, стоимость которой зачастую в несколько раз превосходит стоимость носителей с учетом всех применяемых мер защиты. Примечательно, что от деятельности хакеров страдают не только государственные и коммерческие организации разного профиля, но и крупные ИТ-компании.

Так в январе прошлого года произошла масштабная утечка баз данных сети магазинов «Target». В руки злоумышленников попали данные о кредитных картах около сорока миллионов покупателей, а убытки компании превысили триста миллионов долларов. К тому же пострадала деловая репутация компании.

Летом этого года «Acer» опубликовала информацию об утечки конфиденциальных данных более 30 тысяч пользователей, совершавших покупки через интернет-магазин. Как сообщили в компании, взлом стал результатом «проблемы системы безопасности» и «неосторожного хранения данных в незащищенном формате», так же до сих пор не известна сумма причинённого ущерба компании и ее пользователям [4].

В это же время в России набирал обороты скандал вокруг сервиса «autonum.info», который позволяет по номеру автотранспортного средства не только установить его владельца, но и получить контактную информацию. Разработчики утверждали, что эта база данных сформирована самими пользователями, но многочисленные проверки выявили, что большая часть «клиентов» сервиса никогда подобную информацию не размещали. По мнению специалистов, данный ресурс пользуется базами данных ГИБДД и страховых компаний, т.е. речь идет о масштабной утечке закрытой информации из этих организаций. Мнения самих пользователей разделились: часть признала сервис полезным, так как он способен помочь в регулировании конфликтов «на дороге», а другая – крайне возмущена тем фактом, что их персональные данные оказались общедоступными.

Несколько особняком в вопросе информационной безопасности стоят банки. Являясь финансовыми организациями, они априори привлекают внимание злоумышленников, а убытки измеряются миллионами долларов США. Так в ноябре этого года на ряд российских банков была совершена мощная DDoS-атака, которая была успешна отбита. Но, несмотря на то, что утечки конфиденциальной информации не произошло, наблюдалось некоторое «зависание» интернет-сервисов и задержка в оплате товаров через терминалы и кассы.

Как видно из выше сказанного, развитие информационных технологий и развитие средств несанкционированного доступа к данным и взлома защитных систем идут параллельными курсами. При реализации новой угрозы разработчики тщательно анализируют ее структуру и воздействие и предлагают наиболее эффективное решение по противодействию. Возможен и обратный ход, когда в ответ на появление нового продукта на рынке ИТ-безопасности появляются десятки решения по их «обходу» и использованию выявленных уязвимостей.

С точки зрения логики данная система является безупречной, ведь как уже было не раз доказано на практике, невозможно построить абсолютно неуязвимую систему защиты или создать абсолютно не идентифицируемый вредоносный код. Ведь со временем они будут устаревать и рано или поздно их уязвимости станут очевидны для технологий и средств нового поколения.

В реальности же есть ряд сторонних факторов, почти не зависящих от уровня развития ИТ-технологий, которые могут оказать существенное влияние на повышение уровня информационной безопасности в организации или же свети к минимуму эффективность применения всех предпринимаемых мер и способов защиты. Одним из таких факторов является влияние человека и принимаемые им в зависимости от субъективных предпосылок решения [1].

Еще несколько лет назад данная угроза считалась незначительной, полностью перекрываемой специализированными средствами защиты. Единственной выделяемой проблемой становилось не умение сотрудников работать с новыми средствами вычислительной техники, и именно на ее решение были направлены все силы. Однако сегодня на практике доказана ошибочность данного утверждения. По мнению специалистов, общая безответственность сотрудников и их информационная безграмотность становятся большей угрозой для информационной безопасности, чем все возможные утечки данных по техническим каналам. Тогда сотрудников можно рассматривать в качестве еще одного, нового источника угроз для предприятия или организации.

На этом факте основан агентурный канал утечки информации. Для получения конфиденциальной информации он предполагает использование конкурентами внедренных агентов и работу с морально неустойчивыми сотрудниками самой организации. Первый метод сегодня менее востребован, так как требует большей подготовки и проработки для получения доступа к необходимым документам. Поэтому все чаще используется вербовка сотрудников, которые непосредственно работают или которым доступны интересующие злоумышленника данные.

Специалисты отмечают, что к вербовке необходимо подходить с психологической точки зрения. Совокупность факторов психоэмоционального состояния человека и окружающей его среды обуславливает отсутствие единого метода вербовки: не смотря на общность используемых приемов, он всегда строго индивидуален и подразумевает комплексное использование всех возможных вариантов сотрудничества в различном соотношении.

На подготовительном этапе изучают характер объекта, выявляют его слабости и мотивы, из-за которых он может выдать необходимую информацию. В большинстве случаев именно мотивы оказываются главным фактором в принятии решения о вербовке конкретного сотрудника. Психологи разделяют мотивы человека на личные и характерные.

О личных мотивах человека узнают путем наблюдения за ним и анализа его действий, учитывая степень выраженности его побуждений. Именно понимание последних дает возможность составить наиболее полный глубинный психологический портрет, что значительно облегчает подбор воздействий на объект с целью вербовки или психологического давления.

С характерными мотивами ситуация проще и сложнее одновременно. С одной стороны данные мотивы ярче выражены и для их выделения не требуется тщательный анализ. С другой стороны их использование на практике гораздо сложнее, т.к. подразумевает не только психологическую обработку, но и ряд внешних воздействий, направленных на человека.

Можно выделить следующие характерные мотивы выдачи информации и возможные пути их реализации:

- алчность: обещание или же предоставление денег и иных материальных ценностей;

- страх за себя или близких: шантаж, а порою и угроза либо факт грубого физического или утонченного психологического воздействия;

- фактор боли: качественная пытка или угроза интенсивного болевого воздействия;

- безразличие: четкая реализация депрессии, возникающей в результате инспирированных или спонтанных жизненных обстоятельств, а иной раз и в результате психофизической обработки объект;

- внутренний авантюризм: предоставление шансов индивиду для ведения им своей игры;

- счеты с организацией: умное использование идеологических разногласий и существующей неудовлетворенности объекта своим нынешним положением либо завтрашней перспективой;

- счеты с конкретными лицами: разжигание таких негативных чувств как месть, зависть и неприязнь с непреодолимым желанием нанести "врагу" определенный ущерб;

- национализм: игра на глубинном ощущении некоей национальной общности, ненависти, гордости, исключительности;

- религиозные чувства: пробуждение неприязни к "иноверцам" или же привязывание определенной ситуации к избранным доктринам исповедуемой религии;

- гражданский долг: игра на законопослушности;

- общечеловеческая мораль: игра на порядочности;

- подсознательная потребность в самоуважении: спекуляция на идеальных представлениях человека о самом себе;

- корпоративная солидарность: игра на конкретной элитарности;

- тщеславие: провоцирование желания объекта произвести определенное впечатление, показать свою значимость и осведомленность;

- легкомыслие: приведение человека в беззаботнейшее состояние неосмотрительности и болтливости;

- угодливость: четкая реализация подсознательной и осознанной зависимости объекта от получателя;

- ярко выраженное желание получить что-либо;

- нескрываемый расчет получить определенную информацию взамен;

- страстное стремление убедить в чем-либо, изменить отношение к чему-либо, побудить к определенным действиям.

Как видно из выше сказанного единственным методом решения данной проблемы является постоянная работа с сотрудниками, обучая их основам информационной безопасности и повышая степень личной ответственности. Так же необходимо обращать внимание и на личные проблемы сотрудников, по возможности помогая в их решении, это повысит самооценку сотрудника, как значимого специалиста для компании, и позволит «привязать» его к конкретной организации.

Так же угрозу для безопасности может нести информация, которую компания размещает для ознакомления широким кругом лиц. На этом основан легальный канал утечки информации, который представляет собой результат переработки и глубокого анализа открытой информации для получения новых данных на основе уже известных.

В большинстве случаев организациям удается частично фильтровать и корректировать тот поток информации, который рано или поздно оказывается доступен для широкой аудитории через средства СМИ, специализированную литературу и Интернет-ресурсы. Именно поэтому очень часто этому каналу уделяется недостаточно внимания со стороны руководства организации.

Тем не менее, по мнению многих специалистов, это ошибочная позиция, т.к. уже сегодня можно существенно расширить и дополнить стандартный список источников:

- передача документации на экспертизу или депонирование без соответствующих соглашений;

- передача опытного образца, изделия на испытание потенциальным покупателям или партнерам без соответствующих соглашений о сохранении конфиденциальности;

- описание секретов в инвестиционном проекте при оформлении кредитов;

- участие и дискуссии на семинарах или симпозиумах, так же публикация научных статей;

- получение консультаций по смежной или подобной тематике у обладателей know-how;

- подготовка документации при получении грантов и финансовой помощи от спонсоров, а так же публикация в патентном бюллетене при регистрации объекта интеллектуальной собственности;

- ведение совместных разработок с равными правами на использование результатов;

- обращение за консультацией к внешним консалтинговым фирмам;

- приглашение специалистов по срочным контрактам и др.

Отдельно стоит отметить вопросы, связанные с рекламой и публикацией ознакомительной информации о продукции компании. При подготовке и проведении рекламной компании перед организацией встает проблема. С одной стороны продукт необходимо представить в выгодном свете, показав его преимущества перед предложениями конкурентов и заинтересовав потенциального клиента, а с другой – необходимо обеспечить защиту конфиденциальной информации и коммерческой тайны для соблюдения экономических интересов организации. Соблюсти баланс в этом случае довольно проблематично, и удается немногим компаниям с обширным опытом проведения подобных мероприятий и гибкой системой защиты информации.

Сегодня практически вся деятельность организации, направленная на взаимодействие с внешним миром, при соответствующем анализе и сопоставлении фактов может стать источником информации, находящейся под грифом конфиденциальности. К сожалению, не всегда удается вовремя установить и пресечь утечку засекреченных данных. В этом процессе постоянно повышается ценность отдельного сотрудника, как человека способного своими осознанными действиями повысить надежность и эффективность системы информационной безопасности. Но для этого необходима не только лояльность сотрудников по отношению к компании и их личная заинтересованность в успехе организации, но и высокий уровень знаний в этой области. Именно на этой проблеме стоит сосредоточиться в нынешних условиях, ведь сегодня большей степени общества свойственна некоторая степень безответственности и халатности в области информационных отношений, которую люди переносят и на рабочие моменты, что не только крайне непрофессионально, но и опасно для обеспечения режима информационной безопасности.

Списоклитературы

  1. Балановская, А.В. Анализ современного состояния угроз информационной безопасности предприятий. - Информационная безопасность регионов, 2015, №3. - 9-15с. - ISSN-1995-5731

  2. Лаборатория перспективных разработок: информационные войны в интернете, управление репутацией, манипулирование и многое другое [электронный ресурс].:- Режим доступа: http://www.ci2b.info - (25.11.16)

  3. Secandsafe [электронный ресурс].: - Режим доступа: https://secandsafe.ru - (12.11.16)

  4. Тadviser.Государство.Бизнес.ИТ.: - Режим доступа: http://www.tadviser.ru – (19.11.16)

Просмотров работы: 358