ПРОГРАММЫ ДЛЯ ПРОТИВОСТОЯНИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

Вот несколько основных моментов, которые необходимо учитывать при разработке программ:

• Надо разработать четкий план действий для сотрудников в случае обнаружения атаки социальной инженерии.

Мы отсылаем читателей к обширному списку политик безопасности, приведенных в «Искусстве обмана». Из них надо выбрать те, которые подходят именно вам. После того, как компания выбрала нужные процедуры и внедрила их в жизнь, эта информация должна быть выложена на сайте компании, чтобы она была постоянно доступна для сотрудников. Еще один прекрасный ресурс — это учебный курс Чарльза Крессона Вуда по разработке политик информационной безопасности «Information Security Policies Made Easy» (San Jose, CA: Baseline Software, 2001).

• Надо разработать простые правила для сотрудников, позволяющие определять, какая информация является важной для компании.

Поскольку мы обрабатываем информацию в случайном режиме большую часть времени, нужно разработать простые правила безопасности, которые отслеживают все запросы к важной информации (такой, как конфиденциальная бизнес-информация или индивидуальные пароли). После того, как сотрудник осознал, что произошел запрос о важной информации или о некотором компьютерном действии, он должен свериться с принятым руководством по политике безопасности, чтобы определить верный алгоритм процедуры, которому надо следовать.

Кроме того, важно осознать и донести до сотрудников, что даже информация, которая не считается особенно важной, может быть полезной социальному инженеру, собирающему крупицы информации, внешне бесполезной, но которую он может использовать для создания атмосферы доверия и симпатии. Имя менеджера или название важного проекта компании, место нахождения команды разработчиков, имя сервера, которым пользуются сотрудники, имя, которым назван секретный проект — все это важно, и каждой компании нужно определить необходимую степень защиты от возможных угроз безопасности.

Есть несколько наглядных примеров информации, которая на первый взгляд не является важной, но может использоваться атакующим. В книге «Искусство обмана» описано несколько сценариев, которые могут быть полезны преподавателям для подтверждения этой мысли.

• Надо видоизменить правила вежливости — научиться правильно отвечать «Нет!»

Большинство из нас чувствует себя неловко, когда приходится отвечать «нет» другим людям. (Некоторые современные технологические продукты разработаны в расчете на людей, которые слишком вежливы для того, чтобы отказаться от назойливой телефонной рекламы. Когда рекламный агент звонит, пользователь нажимает на « * » и кладет трубку на рычаг; после этого приятный голос говорит звонящему: «Извините, пожалуйста, но я должен сообщить вам, что мы с большим сожалением отвергаем ваше предложение». Больше всего в этой фразе мне нравятся слова «с большим сожалением». Интересно и то, что множество людей приобретают себе электронное устройство, которое говорит «нет» вместо них. Вы лично согласились бы заплатить некоторую цену за устройство, которое оградит вас от отрицательных эмоций в процессе произнесения слова «нет»?)