Промышленный шпионаж принимает разные обличья, но у всех шпионов есть одна общая черта — они хотят использовать секреты вашей компании для получения личной выгоды. Издание CSO сделало подборку наиболее распространенных методик кражи данных и вариантов борьбы с ними.
Существует много способов похитить данные, и о некоторых из них мы писали в предыдущей статье. Сегодня речь пойдет о социальной инженерии, одном из самых простых, наименее затратных и при этом очень эффективных способов хищения данных. Принцип социальной инженерии достаточно прост: если долго и без разбора ломиться во все двери, рано или поздно можно наткнуться на не запертую. И тогда компания остается без своих секретов, а злоумышленник получает то, что искал.
Рассмотрим несколько примеров.
За неделю до того, как компания закончила готовить квартальный отчет, работники подразделения, которое напрямую подчинялось финансовому директору, получили более 200 звонков, от людей, представившихся сотрудниками кредитного агентства. Звонившие утверждали, что должны получить финансовый отчет как можно скорее, так как возникли непредвиденные проблемы с кредитом. Руководство компании, узнав о происходящем, проинструктировало сотрудников, что все подобные звонки должны переадресовываться службе безопасности. Однако утечка информации все же произошла. Первоначальный план был прост: конкуренты очень хотели узнать о финансовом состоянии компании и наняли людей, совершавших звонки. Ставка была сделана на невнимательность сотрудников компании. И, несмотря на то, что руководство компании-жертвы узнало о происходящем и попыталось оказать противодействие, было уже поздно — информация ушла к конкурентам.
Инженер одной американской компании регулярно ходил на обед с бывшим боссом, который теперь работал в другой компании. И мнил себя великим героем, получая ежемесячные бонусы от менеджеров за сбор данных о конкурентах. Пока, через 14 месяцев, не выяснилось, что ему скармливали дезинформацию, за которую он платил правдивой информацией о своей компании. «Инженер-разведчик» стоил компании потерей лидирующих позиций на рынке, сокращением персонала и производства.
Иммигрант из Европы, работающий над исследованием для министерства обороны США, регулярно получал приглашения из родной страны выступить на конференциях или поработать в качестве платного консультанта. Он радостно откликался, стремясь поделиться своими успехами и достижениями со своими менее удачливыми коллегами. Ну а руководство бывшей родины ученого экономило значительные средства на разведке и собственных разработках, получая нужные данные за бесценок.
Все описанные выше случаи правдивы. И с их последствиями имел дело Вильям Бони, вице-президент и глава службы безопасности Motorola, в прошлом офицер армейской разведки и соавтор книги «Шпионаж в сети: глобальная угроза безопасности».
По его словам, главная лазейка для злоумышленников заключается в неправильном взгляде на вещи среднестатистического работника или представителя руководства компании. Люди обычно уверены, что корпоративный шпионаж встречается только в голливудских фильмах. При этом забывая, что это самый простой, надежный и дешевый способ получить ценную информацию. Если можно получить что-то важное за бесценок, почему бы не попробовать? Такая мысль рано или поздно придет в голову одного из хитрых конкурентов, и ваша компания будет атакована.
Атаки конкурентов Бони описывает, как «смерть от тысячи порезов». Обычно утечка информации не приводит к моментальному краху компании. И даже повторное нападение вряд ли будет летальным. Просто компания будет постоянно кровоточить, постепенно терять позиции на рынке, клиенты понемногу будут уходить к конкурентам. Придется изобретать инновации быстрее, чем их крадут, вкладывая все больше средств, которые не окупятся. Итогом такой затяжной, длительной и утомительной гонки станет смерть.
Опрос, проведенный Американским Сообществом Промышленной Безопасности среди 138 компаний, продемонстрировал, за один год только они потеряли 53 биллиона долларов из-за утечек информации. При этом кражи осуществлялись без привлечения хакеров и использования современных технических средств.
Защита ценной информации это не удача, а стратегия, построение которой начинается с объективной оценки всех угроз. А главная угроза, естественно, ваши прямые конкуренты. Подумайте, что дает вам возможность удерживать позиции на рынке, и что это могло бы дать конкуренту?
А заодно спрогнозируйте способы, которыми можно получить вашу конфиденциальную информацию. Их, на самом деле, не так много, всего лишь два: легальный и нелегальный.
Легальные атаки осуществляются с помощью армий юристов, лазеек в законах, покровителей в правительстве и силовых структурах.
Нелегальные – любые грязные трюки, которые помогут получить доступ к информации. Самые опасные враги всегда комбинируют оба вида атак.
Способ справиться со шпионами напрямую зависит от понимания их методов. И сегодня речь пойдет о способах получения информации с помощью социальной инженерии.
Прежде всего, каждый руководитель должен осознать, что главная «дыра» в системе безопасности – это пренебрежительное отношение к защите данных и недооценка угрозы. Очень часто компания несет потери еще до того, как хищники начинают по-настоящему проявлять к ней интерес. Сотрудники случайно разглашают конфиденциальную информацию, бессистемно отправляют почту, общаются на деловые темы с первым встречным. Апофеозом такой ситуации становится поиск работником людей, которые готовы предложить деньги за важную информацию. Ну а почему бы и нет? Если руководство закрывает глаза на «бесплатные» утечки, почему бы не сделать ровно то же самое, но уже за деньги. Был бы товар, а покупатель найдется. Поэтому перед тем, как всерьез начинать бороться с угрозой промышленного шпионажа, нужно устранить свои собственные утечки «по неосторожности».
Для этого достаточно внедрить системы, позволяющие контролировать все перемещения данных: электронную переписку, копирование файлов на жесткие диски или сменные носители. Ну и конечно не менее важен постоянный мониторинг печатных документов, благодаря которым чаще всего важная информация покидает стены родной компании. Определив зоны риска и потенциальные «дыры» вы сможете минимизировать шанс случайной утечки информации.
Второй этап – формирование правил распространения информации о компании в онлайн и оффлайн медиа. Ведь чаще всего внимание к компании привлекают сами сотрудники, бездумно разглашая важные данные. Менеджеры по продажам на различных выставках анонсируют новые продукты, не запущенные в серию. Поставщики кричат о суммах продаж на вебсайтах. Сотрудники обсуждают новые направления компании на форумах.
Эти куски информации помогают конкурентам сформировать представление о вашей компании, определить глобальные стратегические цели, конкурентные преимущества. И сформировать стратегию, которая поможет убрать вас с рынка.
Даже совсем общие утверждения, например такие, как: «Мы работаем над продуктом Х, но в следующем квартале планируем начать работу над продуктом Y», могут быть очень полезны конкуренту. Если я знаю, что компания не работает над этим направлением, и знаю причины, я не буду тратить силы и средства, и сразу пойду другим путем.
Если же в открытом доступе информации о планах и достижениях нет, конкурентам остается воспользоваться старым и проверенным средством – телефоном. Вы не поверите, но массово обзвонив сотрудников компании, можно узнать очень многое: от годового оборота до планов и исследований. Именно так в 2001 году начался скандал между Procter & Gamble и Unilever, закончившийся судебным разбирательством.
Специалист по конкурентной разведке и промышленному шпионажу может узнать очень многое из телефонного разговора. Однако для этого ему необходимо получить как можно больше исходных данных о цели — сотруднике, которые можно почерпнуть из деловой или личной переписки. А также из социальных сетей. Поэтому переходим к третьему важному этапу – контроль общения сотрудников.
Один из специалистов провел эксперимент, в ходе которого выяснилось, что из 50 человек, которые ответили на звонок, 15 положили трубку, а 35 начали говорить.
Бывший офицер разведки не задавал прямых вопросов, а использовал метод, называемый «выявление», ведя беседу в безобидном виде. Цель – узнать, с какой стоимостью продукции компания будет принимать участие в тендере, чтобы компания-конкурент могла предложить меньшую цену. Специалист в течение 20 минут разговора добился расположения менеджера, перевел диалог в личную плоскость и провокационными наводящими вопросами узнал цену.
Существует множество психологических приемов, позволяющих добиться расположения собеседника. Ими очень часто пользуются психологи, разведчики и конечно аферисты. Естественно они также широко применяются в корпоративном шпионаже. Однако без исходных данных о собеседнике получить результат крайне сложно. Именно поэтому так важно понимать, как и с кем общается сотрудник, что он публикует в социальных сетях, какие у него интересы и круг общения внутри компании.
Для снижения угрозы нужен комплексный подход. Во-первых, необходима четкая инструкция, включающая правила переписки и поведения в социальных сетях. Например, какую информацию может размещать сотрудник в своем аккаунте. Может ли он указывать свое место работы и должность. И, если может, какую информацию ему категорически нельзя публиковать на своей странице.
Второй шаг – мониторинг активности сотрудников. Идеальный вариант, это использование программных средств, позволяющих не только фиксировать посещения социальных сетей, но и вести мониторинг набираемых сообщений и отправляемых файлов. Ведь на сегодняшний день социальные СМИ позволяют отправлять практически любые типы вложений. А значит, являются глобальной угрозой безопасности компании.
Следующая угроза безопасности компании связанна напрямую с клиентоориентированностью. И снова на арену выходит старый добрый телефон с тяжелой артиллерией – мессенджерами.
Тренинги и внушения «клиент всегда прав» играют злую шутку. Втянув сотрудника в длинный разговор и притупив его бдительность, можно получить очень много ценной информации. В итоге, сотрудник думает, что он специалист и отлично справился с задачей. На самом же деле его просто обманули.
О социальной инженерии и способах ее применения много говорит известный хакер Кевин Митник в своей книге. Попытки кражи зачастую включают подготовительные звонки от людей, которые представляются студентами, пишущими курсовую. Или сотрудниками компании, которые находятся на конференции в другом городе. Самый популярный вариант – представиться секретарем, готовящим поздравительную рассылку к рождеству.
Итог всегда один — сотрудник потерял бдительность, а злоумышленник получил желаемое.
Для борьбы необходимо внедрять четкие модели поведения сотрудников: нормы времени общения по телефону, разграничение доступа к информации, и конечно ответственность за разглашение информации. Технические средства, позволяющие вести мониторинг и перехват голосовых переговоров, помогут не только проконтролировать качество общения, но предупредят потенциальную утечку. Либо оповестят ответственное лицо о происшествии, и посодействуют в принятии адекватных своевременных мер для восстановления периметра безопасности.
Последний способ получения ценной информации – личное общение. С недавних пор среди злоумышленников стало модно посещать разнообразные конференции и другие места скопления владельцев бизнеса, прикинувшись одним из них. Выбрав жертву и начав приятную беседу, они стараются получить демо-доступ к новому, еще не вышедшему на рынок продукту, чтобы передать его конкуренту. Или выпрашивают хорошие условия для оптовой покупки товара, зная которую их наниматель сможет предоставить лучшие условия в сделке.
В США служба безопасности уже давно приняла за правило внушать владельцам бизнеса простую истину: нельзя обсуждать дела в общественных местах с малознакомыми людьми. Для этого есть отличные места вроде офиса, или ресторана. А человека, с которым планируется вести дело, можно легко проверить перед встречей.
Однако есть одна лазейка, которую очень сложно перекрыть — собеседование. И правильно подготовленный человек может выудить из неопытного HR’а огромное количество технической информации или подробностей о работе компании. Правда, этот способ имеет две стороны. Конкурент также может пригласить одного из сотрудников вашей компании с целью сбора информации.
Противодействовать таким попыткам можно лишь написав четкие инструкции для менеджера по персоналу, и ведя полный мониторинг его действий. Это простимулирует человека быть внимательней и обдумывать свое общение с посторонними людьми.
Социальная инженерия – мощный инструмент получения конфиденциальной информации. Однако, степень «смертоносности» зависит исключительно от владельца компании. Правила распространения информации, общения и переписки в совокупности с современными средствами мониторинга персонала практически сводят на нет угрозу утечки данных.