Социальная инженерия и социальные хакеры
Шрифт:
Глава 4. Построение социальных файрволов
Все нужно делать как можно более просто. Но не проще.
В этой главе мы закончим разговор о методах построения социальных файрволов, начатый в главах 2 и 3.
Работники-хакеры
Очень часто, когда речь заходит о безопасности предприятия, в том числе, когда дело касается социальной инженерии, мы защищаемся только от внешней угрозы, совершенно забывая о том, что опасность может подкрасться изнутри. Дело в том, что некоторые работники предприятия могут натворить бед похлеще, чем заброшенный в стан врага диверсант. И пока мы ищем, кто это нас атаковал снаружи, нас атакуют изнутри собственные сотрудники. Не стоит, конечно, огульно охаивать всех, немалая часть сотрудников честные и порядочные люди, но… Люди есть люди, а у людей
Примечание
Рассмотрение этого вопроса с точки зрения социальной инженерии представляет интерес потому, что именно на тех пороках, которые мы рассмотрим, и играют, как правило, социальные хакеры.
Упрямые работники
Совсем не обязательно, что работник, который может развалить вашу организацию, должен быть вором, антисоциальным психопатом или спать и видеть, как бы взорвать организацию, причем желательно в тот момент, когда там будет все высшее руководство. Совсем нет. Он может быть просто очень упрямым и уверенным в том, что то, что он делает, он делает правильно и это не подлежит никакому критическому обсуждению.
Простой пример. Web-дизайнер фирмы, который абсолютно уверен в том, что "по части искусства он безгрешен", отвечающий на все критические замечания тем, что "в дизайне правил нет". И, если его не проконтролировать, он может нарисовать такое, что нанесет фирме маркетинговый урон намного больший, чем если бы хакеры сделали дефейс основной страницы сайта.
Примечание
Проблема с такими дизайнерами, на наш взгляд, происходит из-за их малограмотности по части искусства вообще и изобразительного в частности. Дело в том, что в связи с резким развитием IT в эту отрасль (и в дизайнеры, и в программисты, и в системные администраторы, и в мерчандайзеры [3] и т. д.) пришло много "специалистов" с совершенно бессистемным образованием. Заметим, что речь идет не о самоучках, — мы сами не раз в своих книгах говорили, что самообучение это прекрасно, и сами приводили примеры того, как самоучки достигали таких высот, которые их коллегам с профильным образованием и не снились. Дело не в этом. Просто многие люди, желая "хапнуть много и побыстрее", упустили из внимания то, что образование, где бы оно не получалось, в ВУЗе ли или дома на диване, должно быть системным. Таким образом, если ты дизайнер, так изволь, хотя бы из уважения к своей профессии разбираться в изобразительном искусстве и отличать Ван Гога от Гогена. Некоторые же дизайнеры про Третьяковскую галерею знают только то, что она в Москве, Илью Глазунова считают известным композитором, а аббревиатуру RGB — надписью на кнопочке в программе Photoshop. Если ты программист, так знай, пожалуйста, не только три оператора и пять функций в РНР. Если ты системный администратор, то не надо падать в обморок от просьбы запрограммировать маршрутизатор Cisco. В результате же того, что рынок наводнило множество дилетантов, складывается ситуация, когда при большом количестве предложений найти хорошего работника — это задача великая. Вот и приходится нередко многим руководителям действовать по принципу "из двух зол меньшее", что, увы, не всегда себя оправдывает, а нередко приводит к прямым и косвенным убыткам.
3
Мерчандайзер — это специалист по продвижению товара. В переводе с англ. глагол to merchandise означает, среди прочих его значений, "продвижение товара на рынке". — Прим. авт.
Другой пример. Главный инженер одной из фирм из года в год заказывал только то оборудование, к которому он привык, а тот факт, что оно уже морально устарело и клиенты хотят "свеженького", его совершенно не интересует. Самое плохое, что подобные люди искренне уверены в своей правоте, и ни о каком раскаянии не может быть и речи, наоборот: они весьма обижаются на любые критические замечания в свой адрес.
Недобросовестные работники
Это такие, за которыми пока смотришь, они демонстрируют потрясающую деловую активность, но как только отвернулся, они работать перестают. В общем, все, как в известной поговорке "Кот из дому, — мыши в пляс".
Анекдот в тему
Известно, что 20 % людей делают 80 % работы. Недавно психологи открыли удивительный факт о том, что 80 % людей считают, что входят в эти 20.
Проблема недобросовестности работников очень серьезна, т. к. в нынешних условиях жесткой конкуренции от работников зависит очень много: если ваши менеджеры плохо ведут себя с клиентами, то они тем самым напрямую уменьшают и объем продаж и
Примечание
На самом деле это значит, что все ранее сказанное относится только к работникам младшего и среднего звена. Совершенно нет. Более того, когда тому или иному пороку подвержен кто-то из членов топ-менеджмента, это намного опаснее, чем подверженность тому же пороку рядовых сотрудников предприятия. Потому что, к примеру, руководитель, который ездит на встречи в нетрезвом виде по своей диверсионной силе один заменит всех недобросовестных сотрудников предприятия. Или другой пример. Главный инженер одной из фирм называл в разговорах и с сотрудниками и с клиентами фирму, в которой он работает, "шарашкиной конторой". Естественно, после таких отзывов, ни о какой положительной мотивации в работе у сотрудников фирмы говорить не приходится, если "сам главный сказал, что наша контора шарашкина". Клиенты в такую фирму тоже вряд ли обратятся. Пикантность этого примера в том, что главный инженер считал контору "шарашкиной" потому, что, по его мнению, в ней в отвратительном виде была техническая и иная документация, которую как раз и обязан был вести главный инженер.
Встречается, кстати, и такая категория работников, которые всем своим видом показывают вам, что они делают вам одолжение уже только своим фактом присутствия на рабочем месте.
Примечание
Таких работников мы называем "Танцующий медведь". Поясним смысл названия. То что медведь танцует хуже профессионального танцора и даже простого человека — всем известно. И даже если медведя очень долго будут учить танцевать дрессировщики, то не исключено, что через несколько лет он начнет танцевать на уровне двухлетнего ребенка. Но ведь смысл то не в этом… Смысл в том, что медведь — танцует! Важно не то, что медведь плохо танцует, важно то, что он в принципе затанцевал! Так и с некоторыми работниками. Сидит такой сотрудник, несколько месяцев бумажки перебирает, по две штуки в день, а потом — бац! — и сделает что-то интересное и действительно полезное. Хотя нормой является то, что ДЕЛО нужно делать каждый день. Но вместо того, чтобы сказать ему это, у вас из глаз хлыщут слезы умиления! И есть отчего: как же, наш Петя вдруг ДЕЛО сделал! Медведь затанцевал!
Расхитители
Анекдот в тему
Главный бухгалтер пришел в фирму узнать, нет ли для него работы. Работодатель очень обрадовался и сказал:
— Прекрасно, а мы как раз ищем нового главного бухгалтера!
— А что со старым?
— Старого мы тоже ищем. Вместе с деньгами.
Если серьезно, то очень нередко персонал способен украсть гораздо больше, чем любые внешние воры. По данным Национальной Американской Ассоциации розничных торговцев Америки от 50 до 70 % убытков организации приходится на кражи, которые совершают "свои".
Примечание
Согласно статистике процент честных людей равен 30 (что, вообще говоря, не так и мало). 50 % готовы нарушить закон в том случае, если они будут уверенны в своей безнаказанности. Оставшиеся же 20 % готовы нарушить закон при любых условиях.
Мотивы краж могут быть самыми разными — от недовольства зарплатой до чисто клептоманического стиля поведения (бывают такие работники, которые если что-то не украдут на предприятии, то считают, что день прошел зря).
К расхитителям можно также отнести и тех работников, которые наняты конкурентами для того, чтобы за определенную плату обслуживать клиентов не в своей фирме, а отправлять в конкурирующую. Очень частая ситуация. И очень опасная. Потому что, по сути, у вас в фирме находится агент конкурирующей фирмы.
Построение социальных файрволов
В этом разделе мы снова поговорим о том, как не допустить того, чтобы ваша организация стала добычей социальных инженеров и социальных хакеров. Чтобы избежать повторов, мы не будем здесь приводить различные рекомендации на эту же тему, которые давались в двух предыдущих главах, а рассмотрим те моменты, о которых еще не говорили.
Наблюдайте за сотрудниками на всех стадиях их развития в организации
Любой сотрудник в организации всегда проходит три стадии развития:
• устройство на работу;
• этап работы;
• увольнение.
При приеме сотрудника на работу необходимо собрать о нем как можно больше сведений, с целью прогноза того, как он поведет себя в той или иной ситуации. Как правило, если вы не человек-рентген, такую проверку проще всего сделать с помощью стандартных психологических тестов, которые сейчас приведены практически на любом сайте по психологии. Также нужно определить, не принадлежит ли кандидат на должность к одной из тех категорий "неудобных сотрудников", классификацию и описание которых мы приведем далее в этой главе.