Топ-менеджмент - наиболее уязвимая мишень для социальной инженерии
Джейсон Стрит, консультант по вопросам безопасности и IT-директор компании Stratagem 1 Solutions, назвал четыре основных причины, которые делают высший менеджмент организаций наиболее уязвимым для методов социальной инженерии.
Хотя Стрит, в основном, говорит об уязвимости IT-руководителей (видимо, в силу специфики издания, которое опубликовало материал), но все сказанное, по моему мнению, справедливо для представителей высшего руководства всех направлений. И - не только в бизнесе. Так, мне нередко встречаются руководители государственных и муниципальных органов власти, испытывающие слабость ко всякого рода новым гаджетам. И это при том, что в новых устройствах ими используются лишь самые примитивные (по нынешним временам) функции - позвонить, отправить/принять почту, что-то сфотографировать, музычку послушать. Понты, однако, превыше всего - надо всем показать, что ты в техническом авангарде, на волне моды, в курсе последних веяний и, не последнее, что «можешь себе позволить». Естественно, что все служебные коммуникации идут через эти самые «новейшие и модные девайсы».
Знать о таких уязвимостях, безусловно, очень полезно. В своей практике информационной защиты организаций в кризисных ситуациях, мне доводилось (и не раз) сталкиваться с несколько пренебрежительным отношением «больших боссов» к вопросам личной ответственности за информационную безопасность их компаний. Информация, которой располагает непосредственно руководитель высшего звена, всегда лакомая добыча и для конкурентного разведчика, и для промышленного шпиона, и для рейдера, и для шантажиста. Но, если первые не станут нарушать законы для получения информации и постараются придерживаться этических норм, то для других из перечисленных - все средства хороши, если они ведут к цели. И, конечно же, не только для них, а и для других злоумышленников.
Они уверены, что не обязаны строго следовать политике безопасности
Они (топ-менеджмент) - самые важные люди в компании, а потому уверены, что все эти неудобные правила и политики безопасности их не касаются. Руководству не нравится, что от них, как и от обычных работников, требуют, к примеру, пользоваться брандмауэрами. Они считают, что могут ходить на любые сайты, куда доступ другим сотрудникам заблокирован. Руководители не хотят, чтобы службы безопасности их контролировали и пренебрегают даже такими простыми способами защиты, как использование прокси-серверов.
Они уверены, что их защитят
Когда, в результате действий руководителя, компании будет нанесен ущерб, босс не скажет: «Ой! Это я виноват!». Он обвинит своих сотрудников, ответственных за безопасность, что они не защитили его от него самого.
Стрит провел серию пентестов (тестов на проникновение) в двух отелях и, в результате, получил доступ в серверную комнату. Для этого он всего лишь послал поддельное электронное письмо служащим гостиницы, где было сказано, что Стрит - руководитель компании-поставщика техподдержки отеля. Потом, когда Стрит спросил у сотрудников - почему они впустили его, те ответили, что владелец отеля всегда так делает - предупреждает их такими же электронными письмами. Владелец полагал, что его служба безопасности все сделает и все обеспечит, и сам создавал риски для собственного бизнеса, отдавая распоряжения через электронную почту, тогда как системы проверки подлинности электронной почты у отеля не было.
Они используют новейшие технологии
IT-директора, считает Джейсон Стрит, отличные мишени для социальных инженеров, потому что неравнодушны к новым гаджетам. Кто еще, говорит Стрит, будет использовать iPhone еще до того, как их одобрит служба безопасности компании? Или станет пользоваться iPad для работы с внутренней сетью и получая на него корпоративную почту? Они же предпочтут не стандартые (одобренные компанией) ноутбуки, а ультра-легкие или типа нетбуков. Но проблема этих новых устройств в том, что они не прошли должной проверки на угрозы безопасности, не были надежно настроены для работы с сетью компании. К тому же, такие устройства часто используются топ-менеджерами и в домашних сетях. Проблема усугубляется еще и тем, что, как сказано выше, руководство считает, что им то безопасность обеспечена.
У них есть семьи, которые и не подозревают, что они - мишени
Нападающие ищут наиболее простые пути, а попытка проникнуть в компьютер топ-менеджера через администратора корпоративной сети - не самый простой путь. Куда как проще получить доступ через супруга руководителя или его ребенка. К примеру, на Facebook. Эти члены семьи часто используют дома один и тот же компьютер. Почему бы не проникнуть через компьютер жены, когда ее супруг приносит свой ноутбук домой и подключает его к домашней сети, где защита заведомо слабее, чем в офисе? Стрит замечает, что когда на карту ставятся миллионы долларов, то члены семей могут стать невольными жертвами злоумышленников.
Источник: Computerworld
Изображение: www.examiner.com