Подбор персонала и проблемы информационной безопасности

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Российский экономический университет имен Г.В. Плеханова»

Факультет Математической экономики и информатики

РЕФЕРАТ

По дисциплине «Технические средства защиты информации»

Подбор персонала и проблемы информационной безопасности

Выполнил:

студент 2-ого курса, группы №427

Крикунов Д.О.

Принял:

преподаватель Морев Р.В.

Москва - 2015



1. Подбор персонала и проблемы кадровой безопасности

По данным российской статистики, около 80% ущерба материальным активам компаний наносится их собственным персоналом. А вот пример американской статистики: стоимость преступлений, совершенных должностными лицами и работниками американских компаний, в 1980 году составила $50 млрд., в 1990 -- $250 млрд., в 1998 -- $400 млрд., в 2002 -- $600 млрд. Мошенничество сотрудников стало основной причиной вынужденного закрытия около 100 американских банков за последние 20 лет. 95% ущерба, понесенного в банковской сфере США, образуется при непосредственном участии персонала банков и только 5% за счет действий клиентов и иных лиц. Также невозможно обойти вниманием и общемировую статистику, применимую к России: 10-15% всех людей являются нечестными по определению, 10-15% абсолютно честны, остальные 70-80% -- колеблющиеся, то есть те, кто поступит нечестно, если риск попасться будет минимальным.

Кадровая безопасность - это ничто иное, как обеспечение экономической безопасности предприятия за счет снижения рисков и угроз, связанных с недоброкачественной работой персонала, его интеллектуальным потенциалом и трудовыми отношениями в целом.

Угрозы кадровой безопасности могут быть внутренними и внешними. Например, внутренние опасности таковы:

· несоответствие квалификации сотрудников предъявляемым к ним требованиям;

· недостаточная квалификация сотрудников;

· слабая организация системы управления персоналом;

· слабая организация системы обучения;

· неэффективная система мотивации;

· ошибки в планировании ресурсов персонала;

· снижение количества рационализаторских предложений и инициатив;

· уход квалифицированных сотрудников;

· сотрудники ориентированы на решение внутренних тактических задач;

· сотрудники ориентированы на соблюдение интересов подразделения;

· отсутствие или “слабая” корпоративная политика;

· некачественные проверки кандидатов при приеме на работу.

А это - примеры внешних угроз:

· условия мотивации у конкурентов лучше;

· установка конкурентов на переманивание;

· давление на сотрудников извне;

· попадание сотрудников в различные виды зависимости;

· инфляционные процессы (невозможно не учитывать при расчете заработной платы и прогнозировании ее динамики).

Было бы неправильно утверждать, что кадровой безопасностью должна заниматься только служба безопасности. Вся деятельность служб персонала может быть разложена на этапы (поиск, отбор, прием, адаптация и т.д. вплоть до увольнения и далее) и на каждом этапе присутствует масса вопросов безопасности, решаемых именно “персональщиками”. Любое действие менеджера по персоналу на любом этапе -- это либо усиление, либо ослабление безопасности компании по главной ее составляющей - по кадрам.

Можно выделить три фактора, влияющих на кадровую безопасность любой компании:

1.Найм. На этом этапе необходимо прогнозировать благонадежность сотрудника. Здесь работает незатейливая формула -- «как примете на работу, так люди у вас и будут работать». Это действительно так. Конечно, менеджер по персоналу при найме старается выбрать лучших, на его взгляд, кандидатов. Но кадровая безопасность зависит не только от его отбора. Документальное и юридическое обеспечение приема на работу, испытательный срок и даже адаптация напрямую затрагивают вопросы безопасности компании.

2.Лояльность. Это целая система, направленная на установление позитивных отношений работников к вам, работодателям. От того, кем ощущает себя сотрудник предприятия - заменимым «винтиком» или уважаемым передовиком производства - зависит его отношение к работе. Улучшается или ухудшается качество продукции, а, следовательно, исчезает или появляется угроза брака, который напрямую ведет к убыткам.

Обычно применяются следующие мотивирующие факторы, применяемые в кадровой работе, способствующие усилению лояльности сотрудников:

· деньги и иные материальные блага для сотрудников;

· условия труда и современные инструменты для работы;

· стабильность деятельности компании, уверенность в завтрашнем дне;

· защищенность (юридическая, психологическая, физическая и т.д.);

· профессиональное признание;

· карьерный рост;

· психологически комфортный коллектив;

· возможность создавать и улучшать личные достижения в профессиональном плане;

· предоставленные полномочия;

· бренд компании;

· возможность переобучения, профессиональной переквалификации;

· работа сама по себе (удовлетворенность в решении профессиональных задач);

· содействие компании в достижении личных целей сотрудников;

· прозрачность (справедливость вознаграждения);

· гибкость (индивидуальность) подхода;

· желание принадлежать к конкретной группе сотрудников.

Факторы, которые способствуют ослаблению лояльности сотрудников:

· заниженная оценка труда (например, заработная плата);

· отсутствие признания результатов труда со стороны руководства;

· отсутствие возможности профессионального роста;

· плохие условия труда;

· рутинные задачи;

· несовпадение личного карьерного плана и корпоративных возможностей;

· отсутствие стабильности и защищенности;

· несовпадение социальной роли и статуса позиции;

· несовпадение корпоративной и личной культуры и этики;

· формальный (недемократичный) стиль руководства.

3.Контроль. Он призван проверять, насколько выполняются регламенты, ограничения, режимы, технологические процессы, оценочные и другие операции процедур безопасности, установленные для персонала, в том числе для администрации. Эти меры нацелены на ликвидацию возможностей причинения ущерба и отрабатываются, как правило, службой безопасности или другими подразделениями, но в меньшей степени службой персонала.

Контроль за сотрудником со стороны Службы безопасности строится по направлениям:

· контроль действий, которые совершает сотрудник в течение рабочего времени;

· контроль и проверка отчетности (особенно документов), представляемой сотрудником;

· контроль служебных и некоторых внеслужебных контактов сотрудника;

· контроль адекватности поведения сотрудника, особенно анализ смены поведения во времени. При наложении этих наблюдений на график совершения сделок можно увидеть определенные закономерности и сделать некоторые выводы. Особое внимание следует обращать на такие показатели, как резкое изменение благосостояния сотрудника, значительное и длительное ухудшение настроения, замкнутость, рассеянность и т.п.;

· внутренний аудит, сбор, обобщение и анализ информации, использование доверенных лиц в этой работе.

При этом работает принцип «компенсации недостаточности внимания» к отдельным факторам. Если руководство не сделало прием на работу частью системы безопасности, не заботилось об укреплении лояльности персонала - то ему придется потратить серьезные ресурсы на контроль, выявление и расследование убытков.

2. Несанкционированное распространение информации через персонал

Разглашение информации через «человеческий фактор» чаще всего возможно:

· при контактах с сотрудниками компании, используя мотивированное и немотивированное разглашение информации;

· через сотрудников, ранее уволившихся из компании;

· через человека, внедренного в компанию.

Разглашение информации через персонал может быть мотивированным и немотивированным.

Мотивированное разглашение информации сотрудником компании возможно по следующим причинам:

· алчность (подкуп);

· шантаж;

· сведение счетов с другой организацией или с другим человеком (обида);

· расчет получить какие-либо блага (решение личных проблем сотрудника);

· страх сотрудника за свою жизнь и за жизнь близких людей;

· стремление к власти;

· национальные чувства;

· религиозные чувства;

· гражданский долг (игра на законопослушании);

· общечеловеческая мораль (игра на порядочности);

· корпоративная (клановая) солидарность;

· увлечение чем-либо (например, коллекционирование);

· расчет получения другой информации взамен.

Немотивированное разглашение информации сотрудником компании возможно по следующим причинам:

· эмоциональность (в состоянии сострадания, любви, ревности, восторженности и т.д.);

· депрессия;

· внутренний авантюризм человека;

· использование элементов нейро-лингвистического программирования (НЛП) и гипноза;

· легкомысленная болтливость;

· алкогольное опьянение;

· импульсивность;

· тщеславие и честолюбие (склонность к достижению превосходства над окружающими за счет показа своей информированности и осведомленности);

· увлеченность работой (особенно часто происходит разглашение информации при контактах с коллегами по профессии).

Какие же сотрудники представляют наибольшую опасность для компании? Можно выделить несколько видов психологических особенностей сотрудников, которые представляют опасность в плане несанкционированного распространения информации:

· пренебрежение и даже презрение по отношению к общепринятым моральным нормам (не красть, не обманывать, не причинять зла людям, с которыми он вместе живет и работает). Сотрудник относится к ним с пренебрежением и цинизмом. Такой работник не будет испытывать угрызений совести от того, что подводит или предает коллег, компанию, в которой трудится;

· индивидуалистическая направленность личности, неумение и нежелание работать в единой команде, устойчивое стремление противопоставить себя коллегам, отсутствие корпоративных чувств, привязанности к месту работы и коллективу;

· завышенная самооценка, не соответствующая реальным возможностям человека, вера в собственную непогрешимость, непомерное тщеславие, неудовлетворенные амбиции, завистливость, как следствие неудовлетворенность карьерой, противоречие между высокими притязаниями и реальным продвижением по службе;

· черты характера, обусловленные психопатией и характеризующиеся мстительностью, злопамятностью, повышенной обидчивостью. Такие люди долго не могут освободиться от своих негативных переживаний, простить обиду и задетое самолюбие. Им обычно свойственна конфликтность с окружающими (неуживчивость, намеренное противопоставление себя другим людям). Эти лица могут переживать конфликт в течение длительного времени. Особенно опасен устойчивый конфликт «по вертикали», когда работник надолго сохраняет желание отомстить за нанесенные обиды своему руководителю;

· инфантилизм (личностная незрелость), отсутствие самостоятельности суждений, ориентация на других, более сильных в психологическом отношении людей, в принятии решений и действиях (легкая добровольная подчиненность влиянию со стороны). Таким людям не хватает самоорганизации. Они не умеют планировать свой бюджет, свою жизнь, не способны противостоять внешнему давлению и шантажу, проявляют пугливость, трусость. Ими легче управлять, их легче втянуть в совершение противоправных или аморальных действий и поступков;

· импульсивность, которая является доминирующей в поведении. Она проявляется в том, что человека легко «завести», привести к потере самоконтроля и совершенно необдуманных, безрассудных действий. Такие люди нередко бывают болтливыми, их легко разговорить по любым вопросам, в том числе и по тем, которые составляют коммерческую тайну. Особенно часто у них «развязывается язык» в неформальной обстановке, после принятия алкоголя, при вовлечении в спор или полемику и др. Такие люди подвластны эмоциям, чувствам и страстям, которые целиком захватывают их; под влиянием страстей они не могут «остановиться вовремя», принять рациональное решение. Им присущи слабости личного характера (например, злоупотребление спиртными напитками, пристрастие к азартным играм и др.). Они могут, например, проиграть свои и чужие деньги, потратить их на предмет личных увлечений, «потерять голову» от любви, необдуманно осуществить покупку дорогостоящей вещи в долг и т.п. Поступки таких людей определяются не осознанными целями и намерениями, а внутренними импульсами или внешними обстоятельствами (например, навязанными извне желаниями);

· неустроенность в личной жизни, отчужденность от других, одиночество, «потеря корней», отсутствие близких людей, связи с ними. Такая социальная «оторванность» во многом облегчает совершение ненормативных, аморальных поступков, поскольку человек считает, что в случае «прокола» он один будет нести ответственность, и страдать или переживать будет некому;

· острая ситуативная жизненная потребность (например, в дорогостоящем лечении близких), которую человек не может реализовать самостоятельно. Данный фактор является наименее прогнозируемым, а значит и наименее управляемым. В то же время оперативное получение полной и достоверной информации о возникновении такой ситуации может снизить ее негативное воздействие на надежность работника;

Каковы же меры обеспечения кадровой безопасности?

Меры по обеспечению кадровой безопасности целесообразны в следующих ситуациях: * При подборе кандидатов на вакантные должности; * При работе с трудовым коллективом; * При служебных разбирательствах в связи с чрезвычайными происшествиями; * При планировании увольнения сотрудников.

Существует огромное количество мер обеспечения кадровой безопасности, далее некоторые из них:

· проводить серьезный и всесторонний отбор сотрудников, при котором не допускается: прием на работу людей, имеющих личностные недостатки, которые могут нанести вред интересам компании;

· Сбор и анализ сведений из открытых источников о кандидатах для принятия руководством решений о приеме (отказе) на работу или же для принятия решений о допуске сотрудника к конфиденциальным документам или к участию в важных проектах;

· Выявление и пресечение угроз, исходящих от персонала: криминальная деятельность, разглашение коммерческой тайны, незаконное сотрудничество с конкурентами, нанесение ущерба интересам бизнеса, негативные психолого-физиологические и морально-нравственные проявления;

· создать условия, при которых работнику будет невыгодно совершать действия, наносящие ущерб компании. Эти условия должны включать целую систему мер по моральному и материальному стимулированию, заинтересованности в результатах труда, формированию престижности работы в компании, заботе о внешнем и внутреннем имидже компании и т.д.;

· Разработка процедур кадровой безопасности на период адаптации новых сотрудников;

· Изучение обстановки в трудовых коллективах и взаимоотношений между сотрудниками;

· Определение лояльности персонала, выявление «групп риска» и разработка мер по нейтрализации их влияния;

· заботиться о формировании и поддержании оптимального социально-психологического климата в коллективе, создании корпоративной культуры. Возможно проведение коллективных неформальных мероприятий, в которых работники могут совместно проводить время, участвовать в них семьями. Корпоративная культура, как свод правил и норм поведения, может быть документальным и представлять собой описание действий персонала в тех или иных ситуациях. В описание корпоративной культуры могут быть внесены пункты, прямо определяющие поведение сотрудников при столкновении с конкурентами (склонении к сотрудничеству, переманивании или выведывании информации);

· исключить возможность злоупотребления сотрудниками и соблазн совершения противоправных действий. По статистике 10 % сотрудников никогда не будут совершать противоправные действия, 10% будут их совершать всегда, а 80 % совершают правонарушения при наличии возможностей. Цель кадровой политики заключается в устранении возможности совершения противоправных действий для 80 %;

· обратить особое внимание на людей, наиболее подверженных вербовке (секретари, уборщики, системные администраторы и иные люди, которые знают коммерческие секреты или могут их узнать);

· осуществлять защиту от хедхантеров (охотниками за головами). Эта защита, как правило, заключается в мотивации персонала, ограничении распространения информации о наиболее квалифицированных сотрудниках, установлении обязательств, по которым сотрудники обязаны компании (например, содействие в выдаче кредитов), заключение договоренностей с конкурирующими компаниями и компаниями, занимающимися хедхантерством о непереманивании работников и т.д.;

· использовать в кадровой политике принцип кнута и пряника. Пряник, как правило, предполагает создание системы мотивации, а кнут -- неотвратимость наказания за совершенные поступки;

· проводить периодические, особенно внеплановые, проверки;

· иметь в компании грамотного юриста, обеспечивающего правовое прикрытие деятельности Службы безопасности в кадровой политике;

· создать сеть осведомителей и добровольных помощников Службы безопасности среди персонала, используя различные мотивы, начиная от идеологии и заканчивая компроматами;

· заключить договора о сохранении коммерческой тайны с сотрудниками компании. Периодическое (ежегодное или ежеквартальное) напоминание работникам о необходимости соблюдения определенных правил поведения с обновлением соответствующей подписки. Обычно такие мероприятия из-за своей формализованной процедуры превращаются в чисто номинальные. Поэтому, как руководителю компании, так и работникам кадровой службы и Службы безопасности стоит задуматься над тем, чтобы снизить формализм в проведении этих мероприятий и психологически поднять их значимость и действенность;

· применять методы формирования команды или принцип ротации работников низших должностей для противодействия совершения персоналом противоправных действий;

· четко разграничить полномочия и ответственность между сотрудниками компании с целью исключения конфликтов, связанных с пересечением сфер корпоративных отношений, компетенции, подчиненности и т.д. Создать должностные инструкции;

· определить мотивы, по которым могут совершаться противоправные действия и людей, наиболее подверженных этим мотивам (мотив -- нужда в деньгах на лечение родственника, мотив -- привычка к воровству, так как ранее работал на госпредприятии, где все воровали и т.д.);

· предупреждать ситуации, при которых работник или близкие ему люди могут оказаться в безвыходном критическом положении при возникновении острых жизненных проблем. Профилактика таких ситуаций (в частности, долгов, материальных затруднений) должна осуществляться путем оказания материальной, юридической, психологической и иной помощи. Работники должны быть уверены в том, что в случае возникновения у них трудностей, компания может прийти к ним на помощь. Нужно также не допускать случаи безразличного отношения к просьбе и жалобе каждого работника, а при возникновении таких случаев -- оперативно и жестко реагировать на них;

· обеспечивать безопасность сотрудников (в первую очередь руководства). Достигается мероприятиями по физической, психологической и юридической защите;

· создать нормативную регламентацию управленческих процессов (политики, инструкции, регламенты, алгоритмы и т.д.), ознакомить сотрудников с правилами и процедурами работы по линии корпоративной безопасности в компании под роспись, создать необходимые условия для их выполнения;

· разработать и внедрить программы обучения сотрудников психологически грамотным действиям во внештатной ситуации (пожар, стихийное бедствие, внеплановые проверки и др.);

· использовать технические (аппаратные или программные) средства для осуществления мероприятий «e-spy methods» -- таких методов, как просмотр электронной почты и трансакций в локальной сети сотрудника, организация мониторинга информации, проходящей через сотрудника компании и т.д.;

· внедрить систему материального и морального стимулирования, дополнительно «привязывающих» работника к компании, которые он не сможет получить в конкурирующих организациях. Такая система может включать поощрения (бонусы) за добросовестную работу, соблюдение трудовой дисциплины и лояльность компании. Максимально применять нематериальные системы мотивации, как наиболее эффективные (идеология, личная преданность, национальные особенности, родственные связи и т.д.);

· внедрить персональную ответственность за содеянные поступки и неотвратимость наказания за нарушения требований по безопасности. Наказание за содеянные проступки должно быть публичным;

· применять психологические приемы работы с сотрудниками (беседы, предупреждения и т.д.);

· проводить анализ жизни и работы сотрудников (расходы, материальные ценности, поведение и т.д.) с целью вычисления сотрудников, замешанных в противоправных действиях;

· применять организационные меры, способствующие усилению корпоративной безопасности. Например, разбивание полномочий на части или разбивание конфиденциальной информации с определением прав доступа к каждой части;

· Проведение психофизиологических тестирований на полиграфе при приеме на работу, при определении лояльности персонала, при проведении служебных проверок и других случаях;

· Разработка технологии увольнения для конкретных должностей;

· Предотвращение вероятных рисков, связанных с увольнением персонала (утечка конфиденциальной информации, хищение баз данных и т.п.);

· Разработка системы мероприятий, снижающих психологическое напряжение увольняемых сотрудников.

С точки зрения безопасности в подходе к трудовому взаимодействию присутствует одна маленькая и не всегда заметная деталь -- каждый кандидат на вакансию, каждый работник предприятия должен ежеминутно рассматриваться, в том числе и как источник риска, источник потенциальной угрозы.

Служба безопасности предприятия, работая в плотном взаимодействии со службой персонала, должна в свою очередь использовать свои оперативные методы и средства в работе по части предварительной и попутной проверки кандидатов и сотрудников на предмет выявления личностных и деловых качеств, так или иначе влияющих на производственный процесс. Эта работа должна носить системный характер, схема взаимодействия в этом направлении должна быть прописана в определенный регламент.

3. Добывание сведений через персонал организации

Способов получения конфиденциальной информации у персонала фирмы великое множество, а сами способы отличается большим разнообразием. Чтобы представлять пути противодействия намерениям злоумышленника и формировать необходимые навыки у сотрудников фирмы, просто необходимо знать основные из них.

Самый простой способ получения необходимой злоумышленнику информации - осознанное сотрудничество с ним работника фирмы. Работник помогает злоумышленнику:

* мстя руководству или коллективу фирмы, а также по причине увольнения, подкупа и психической неустойчивости;

* будучи уверенным в справедливости взглядов злоумышленника, а также вследствие дружеских и иных отношений, взаимопомощи;

* будучи убежденным в противоправных действиях или аморальности руководства фирмы;

* вследствие склонения к сотрудничеству путем обмана, шантажа, внушений, использования отрицательных черт характера, физического насилия.

Но наиболее распространенным является использование персонала для неосознанного сотрудничества, т.е. выведыванием информации через персонал. Выведывание всегда было одним из самых эффективных приемов для получения ответов на вопросы, которые напрямую задать нельзя. Сам процесс выведывания лежит на стыке методик психологии, социальной инженерии, НЛП и межличностного общения. Заключается он в получении от человека (собеседника) той информации, которую он при других условиях ни за что разглашать бы не стал. Грубо говоря, это понуждение человека сказать то, что он говорить не хотел бы, без использования какого бы то ни было давления. Фактически, в процессе выведывания его инициатор создает условия, в которых его собеседник сам обо всем рассказывает, не замечая того.

Выведывание информации может осуществляться путем целенаправленного общения - по служебным вопросам, при обсуждении деловых предложений, взаимного сотрудничества, на совещаниях, презентациях, отдыхе, в организованных ситуациях (внезапный ремонт, оказание помощи, защита от угрозы и пр.). Известны специалисты в области общения с особыми навыками ведения разговора, способными "вытянуть" нужные сведения у собеседника, "разговорить" его.

Существенно влияют на ход и результаты беседы фоновая обстановка, предшествующие события, настроение и подготовленность собеседников. Существенным элементом подготовки является сценарий общения, который должен позволить затронуть интересуемые вопросы, не раскрывая истинной цели беседы и обеспечить уход от возможных подозрений. Важную роль играет легенда - вымышленные цель беседы и сведения о лице, выведывающем необходимые сведения.

В процессе выведывания, что иногда называют "получением информации втемную" главная роль отводится воздействию на подсознательные сферы психики человека, которые присутствуют во всех психических процессах - восприятии, мышлении, памяти и т.д. Инициация высказываний собеседника на интересуемые темы базируется на использовании ассоциаций, чувства личной значимости, эмоционального стресса. В памяти любого зрелого человека есть случаи, когда он вопреки намерениям непроизвольно проговаривался или совершал нежелательные действия в различных ситуациях общения.

Систематизируем разновидности приемов, используемых, исходя из складывающейся ситуации.

Обращение к престижности путем выражения уважения, заинтересованности, понимания важности роли и положения собеседника, восхищенного удивления достижениями или степенью осведомленности в процессе высказываний собеседником по интересуемой теме. Это стимулирует его удерживать направление разговора и приводить все новые сведения, факты и цифры. При уходе темы в сторону интенсивность почтительных и поощрительных высказываний плавно снижается, что способствует возвращению к прежней тематике. Демонстрируемое уважение сопровождается соответствующими действиями - представлением приоритетов в движении, лучшего места, первоочередным обслуживанием, выгодным сравнением с другими лицами. В процессе разговора следует не забывать о чувстве меры и недопустимости перенасыщения собеседника - в сочетании с темой разговора "перебор" может привести к подозрительности. При разработке легенды нужно учитывать, что лесть солидного человека, пусть даже грубоватая, ценится выше лести "маленького человека".

Проявление равнодушия к высказанному собеседником сообщению, новости, факту, подчеркивание их незначительности, никчемности приводит к проявлению эффекта психологической инерции, при этом степень желания продолжить, развить тему, пропорциональна демонстрируемому равнодушию. Пренебрежение к затронутой собеседником теме подсознательно переносится на его личность, с целью восстановления престижа он стремится убедить в важности темы, аргументируя данными, которыми в другой ситуации не предполагал бы сообщать.

Особенностью применения этого приема является предварительный вывод собеседника на интересуемую тему или ожидание его желания высказаться, в чем заключается некоторая неудобная пассивность. Чтобы собеседник не терял желания выговориться из-за боязни разглашения конфиденциальных сведений должна поддерживаться атмосфера доверительности и знакомства с темой.

Проявление недоверия к высказанным сведениям в большей степени, чем равнодушие затрагивает и оскорбляет личное достоинство собеседника, вынуждает его защищаться. Недоверие может иметь оттенок насмешки, легкого оскорбления или обвинения. Расчет заключается в побуждении к аргументированной защите, отстаиванию высказанного путем изложения дополнительных сведений, которые могут быть интересными.

Проявление участия целесообразно демонстрировать, если известно о неудовлетворенности собеседника решением каких-либо личных проблем, его затруднительном положении, конфликтах с коллегами или руководством. Создание видимости или проявление искреннего внимания, сочувственного понимания ситуации, демонстрация единомыслия ведут к возникновению чувства благодарности, часто сопровождаемого откровением и соответствующим снижением ограничений по высказываниям на интересуемую тему.

С этой целью в процессе беседы полезно обозначить какие-либо элементы общности с собеседником. Ими могут быть общие взгляды на те или иные вопросы, былое совместное сотрудничество, одинаковые достижения и ошибки, увлечения, болезни, схожие ситуации в личной жизни и другие. Успешному выведыванию способствуют факты или иллюзии хоть малейшего улучшения ситуации или морального состояния собеседника.

Кроме воздействия на чувства значимости широко известен прием ведения разговора на смежную тему, который оживляет в подсознании определенные образы и способствует соответствующим им непроизвольным высказываниям на интересуемые темы. Сложность такой беседы заключается в определении интереса к ней со стороны собеседника. Если смежных тем несколько, то должны быть предусмотрены логические переходы между ними. Близость смежной темы к интересуемому вопросу должна исключать подозрения. При удачно выбранной теме общения, возникающие ассоциации будут способствовать высказываниям собеседника на интересуемую тему.

В отдельных случаях можно добиться высказываний по интересуемому вопросу путем демонстрации символов, вещей, явлений, оживляющих в памяти собеседника соответствующие образы и побуждающих к неожиданным для него высказываниям.

Основанием для таких непроизвольных проговоров являются ассоциации видимых образов с фрагментами конфиденциальной информации, хранящейся в памяти собеседника. Ассоциативное взаимодействие идет на подсознательном уровне и часто не может контролироваться человеком. Демонстрация должна проводиться естественно, взаимоувязано с процессом общения, не вызывая удивления, которое может вызвать подозрение.

Кроме подготовки легенды и выбора приема получения информации втемную, сценарий должен предусматривать привычные для собеседника условия общения. Предлог для общения, представление, форма разговора и характер его завершения должны удерживаться в рамках, свойственных представителям социальной или профессиональной группы собеседника. Разговор должен начаться и закончиться неконфиденциальными вопросами, интересными собеседнику. По ходу беседы изменения темы должны иметь логичный характер, исключая прямые вопросы на конфиденциальную тему.

Другим условием успешности выведывания является наличие располагающих для беседы факторов, например, свободного времени, привычной обстановки, отсутствие видимых угроз и возможная выгода, личностные мотивы и симпатии. Как известно, в мужской компании существенным фактором ускорения взаимопонимания и ослабления подозрений является употребление всевозможных напитков. (Какое же взаимопонимание без этого!)

Однако, применение спиртного требует разумного нормирования. "Перебор" напитков исключен на стадии общения на интересуемую тему, но возможен в конце встречи для "стирания" в памяти собеседника предшествующих деталей разговора. В этой связи предложение напитков и закусок должно искусно регулироваться.

Другими формами выведывания интересуемых сведений является использование таких человеческих качеств, как алчность, боязнь, безразличие в условиях депрессии, мстительность, национализм, религиозность, легкомысленность.

Независимо от уровня подготовки человека, ведущего беседу и качества разработки всех элементов сценария, успешное добывание сведений возможно только при предварительном изучении собеседника, знании сферы его профессиональной деятельности, круга должностных обязанностей, связей, образования, наклонностей и привычек, основных черт характера, семейного положения и даже политических взглядов.

Сбор предварительной информации требует определенного времени, источниками нужных сведений могут быть массивы персональной информации государственных и коммерческих организаций и учреждений (милиция, образовательные и медицинские учреждения, учреждения социального обеспечения), предприятия обслуживания (коммунальные, торговые, связи, транспортные) и многие другие организации, которые, так или иначе, регистрируют сведения о населении, окружение объекта получение информации (родственники, друзья, коллеги по работе и т.д.), а также интернет (в частности, социальные сети).

Социальная инженерия.

Социальная инженерия - это метод получения информации/данных, основанный на особенностях психологии человека. В основном этот термин используется в информационной сфере (получение доступа к защищенным системам, паролям, секретным данным и т.п.). Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается сам человек.

Существует несколько распространенных техник и видов атак, которыми пользуются социальные инженеры. Все эти техники основаны на особенностях принятия людьми решений. Для достижения поставленного результата, злоумышленник может использовать целый ряд всевозможных тактик: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д.

Сегодня одним из самых распространенных методов получения конфиденциальной информации является фишинг (термин образован от игры слов password harvesting fishing -- «ловля паролей»). Фишинг можно охарактеризовать как тип компьютерного мошенничества, который использует принципы социальной инженерии с целью получения от жертвы конфиденциальной информации. Киберпреступники обычно осуществляют свои действия при помощи электронной почты, сервисов мгновенных сообщений или SMS, посылая фишинговое сообщение, в котором напрямую просят пользователя предоставить информацию (путем ввода учетных данных в поля сайта-подделки, скачивания вредоносного ПО при нажатии ссылки и т.д.), благодаря чему злоумышленники получают желаемое при полном неведении со стороны жертвы.

Образование и информирование -- это ключевой защитный механизм, необходимый для пользователей. Они должны следить за новостями и новыми веяниями в мире информационной безопасности, а также знать о ключевых тактиках мошенников.

Множество интересных примеров взлома основаны на техниках социнженерии, которые, в свою очередь, помогают злоумышленникам доставить вредоносное ПО жертвам. Среди наиболее популярных -- фальшивые обновления Flash Player и других популярных программ, вшитые в документ Word исполняемые файлы и многое другое.

Популярны другие типы атак, которые даже не всегда попадают в категорию компьютерного мошенничества. Схема, известная как «виртуальное похищение», использует практики социнженерии, а в качестве средства связи выступает телефон. Злоумышленники обычно звонят жертве и говорят, что член семьи был похищен и для его освобождения требуется незамедлительно заплатить выкуп. Преступник создает ощущение срочности и страха, жертва выполняет требования мошенника, даже не убедившись, на самом ли деле похищен кто-то из родственников. Похожая схема популярна при атаках на пожилых людей и может быть названа «виртуальной болезнью» -- когда жертве звонят якобы из поликлиники, говорят, что в недавних анализах есть признаки опасного заболевания и нужно незамедлительно лечь на операцию для спасения жизни, разумеется, платную. После оплаты, конечно, никого не оперируют, потому что болезни никакой и не было.

Для того, чтобы обезопасить себя от воздействия социальной инженерии, необходимо понять, как она работает. Рассмотрим основные типы социальной инженерии и методы защиты от них.

Претекстинг - это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.

Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника; должность; название проектов, с которыми он работает; дату рождения). Злоумышленник изначально использует реальные запросы с именем сотрудников компании и, после того как войдет в доверие, получает необходимую ему информацию.

Фишинг - техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей - авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу, где располагается такая форма. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее.

Троянский конь - это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.

Кви про кво (услуга за услугу) - данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.

Дорожное яблоко - этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.

Обратная социальная инженерия - данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.

Основным способом защиты от методов социальной инженерии является обучение сотрудников. Все работники компании должны быть предупреждены об опасности раскрытия персональной информации и конфиденциальной информации компании, а также о способах предотвращения утечки данных. Кроме того, у каждого сотрудника компании, в зависимости от подразделения и должности, должны быть инструкции о том, как и на какие темы можно общаться с собеседником, какую информацию можно предоставлять для службы технической поддержки, как и что должен сообщить сотрудник компании для получения той или иной информации от другого сотрудника.

Кроме этого, можно выделить следующие правила:

· Пользовательские учетные данные являются собственностью компании.

Всем сотрудникам в день приема на работу должно быть разъяснено то, что те логины и пароли, которые им выдали, нельзя использовать в других целях (на web-сайтах, для личной почты и т.п.), передавать третьим лицам или другим сотрудникам компании, которые не имеют на это право. Например, очень часто, уходя в отпуск, сотрудник может передать свои авторизационные данные своему коллеге для того, чтобы тот смог выполнить некоторую работу или посмотреть определенные данные в момент его отсутствия.

· Необходимо проводить вступительные и регулярные обучения сотрудников компании, направленные на повышения знаний по информационной безопасности.

Проведение таких инструктажей позволит сотрудникам компании иметь актуальные данные о существующих методах социальной инженерии, а также не забывать основные правила по информационной безопасности.

· Обязательным является наличие регламентов по безопасности, а также инструкций, к которым пользователь должен всегда иметь доступ. В инструкциях должны быть описаны действия сотрудников при возникновении той или иной ситуации.

Например, в регламенте можно прописать, что необходимо делать и куда обращаться при попытке третьего лица запросить конфиденциальную информацию или учетные данные сотрудников. Такие действия позволят вычислить злоумышленника и не допустить утечки информации.

· На компьютерах сотрудников всегда должно быть актуальное антивирусное программное обеспечение.

На компьютерах сотрудников также необходимо установить брандмауэр.

· В корпоративной сети компании необходимо использовать системы обнаружения и предотвращения атак.

Также необходимо использовать системы предотвращения утечек конфиденциальной информации. Все это позволит снизить риск возникновения фитиновых атак.

· Все сотрудники должны быть проинструктированы, как вести себя с посетителями.

Необходимы четкие правила для установления личности посетителя и его сопровождения. Посетителей всегда должен сопровождать кто-то из сотрудников компании. Если сотрудник встречает неизвестного ему посетителя, он должен в корректной форме поинтересоваться, с какой целью посетитель находится в данном помещении и где его сопровождение. При необходимости сотрудник должен сообщить о неизвестном посетители в службу безопасности.

· Необходимо максимально ограничить права пользователя в системе.

Например, можно ограничить доступ к web-сайтам и запретить использование съемных носителей. Ведь, если сотрудник не сможет попасть на фишинговый сайт или использовать на компьютере флеш-накопитель с «троянской программой», то и потерять личные данные он также не сможет.

Стоит упомянуть о двух широко известных личностях в плане социальной инженерии:

1. Кевин Митник. В 90-х годах считался хакером №1 в мире. Благодаря своим навыкам ему удалось взломать огромное количество информационных систем, самое известное - получение доступа к компьютерам Министерства обороны США в Пентагоне. Выпустил книгу «Искусство обмана», в которой детально описал приёмы получения информации.

2. Фрэнк Абигнейл. К 21 году успел заработать около 2.5 млн. долларов благодаря своим навыкам. Скрываясь от уголовного преследования, Абигнейл проявил удивительные способности в перевоплощении, выдавая себя за пилота авиалиний, профессора социологии, врача, адвоката и т. п. По мотивам его деятельности был снят известный фильм «Поймай меня, если сможешь».

И всё же каждый из них в итоге был арестован, и лишен свободы на срок около пяти лет.

Сейчас оба работают в сфере информационной безопасности, помогая найти и устранить уязвимости в системах.



Заключение

персонал кадровый информация шпионаж

Даже поверхностный анализ способов получения конфиденциальной информации показывает, что система защиты информации в организации должна основываться на тщательном отборе персонала, анализе моральных качеств сотрудников, обучении их правилам защиты информации и противодействия злоумышленникам. Очень важно для организации иметь в коллективе здоровый психологический климат и воспитывать в сотрудниках фирменную гордость. Персонал должен быть обучен и готов в рабочее и нерабочее время к противодействию попыткам злоумышленников или посторонних лиц выведать конфиденциальную информацию.

Размещено на Allbest.ru