Одминский блог

Социальные сети- брешь в информационной безопасности

В связи с ростом популярности социальных сетей, все больше возникает необходимость, для частных лиц и предприятий, во внедрении и усилении  мер обеспечения защиты информации, в ключе предотвращения её утечки и защиты репутации.

Усиление интереса к сервису социальных сетей, находит отражение в деятельности компаний, и имеет двойственную реакцию. С одной стороне, чаще всего в крупных компаниях, полное неприятие, результатом чего является блокировка выхода на сайты данной категории; с другой стороны возможность компании более подробно узнавать, и систематизировать информацию о сотрудниках, партнерах и клиентах. Также данные сети используются наиболее подкованными сотрудниками, для поиска необходимых контактов, и выхода на нужных людей, минуя бюрократическую машину.

Но при этом большинство компаний, не сильно озабочены потенциальной возможностью утечки информации средствами социальных сетей, а значительно более обращают внимание на потерю рабочего времени сотрудниками и снижение производительности.

Специалисты выделяют 5 или 6 потенциальных угроз, не критичной важности, но, все таки, грозящих компании возможными потерями. Предотвращение данных угроз, является частью общих стратегий безопасности, например, таких, как защита от утечки данных,  и наиболее простой и дешевый путь – это включение данных угроз в общую стратегию защиты.

Продемонстрируем угрозу утечки данных: предположим, что сотрудник компании пользуясь Твиттером может выставить статус что он в запарке, т.к. его компания снижает цены, причем эту информацию он публикует еще до того, как она была заявлена на рынке. Такие ситуации возможны в связи с тем, что ощущение анонимности пользования интернетом, делает людей более открытыми, нежели при общении с глазу на глаз.
Высокий уровень сокращений может привести к увеличению злонамеренной активности, направленной на умышленный урон репутации компании, посредством клеветы.  Даже в случае возможности связи с владельцем сайта и выполнением им требований о том, чтобы данная информация была удалено, имеется возможность того, что эти данные могли быть скопированы путем дампа окна, или же копирования информации на третьи ресурсы.
Другой угрозой защиты информации, является совокупность данных. То есть злоумышленник собирает информацию с нескольких социальных сетей, с целью построения полного портрета индивидуума. Опасностью для индивидуума является то, что он становится персонализированной целью злонамеренных действий, в то время как для работодателя возрастает риск целевых атак. Например, злоумышленник получает возможность подбора паролей сотрудников компании, основываясь на данных полученных из социальных сетей, или использовать полученную информацию для социальной инженерии.

Высокой угрозой использования социальных сетей, естественно является возможность заражения вирусами. Большинство сайтов предоставляет богатый набор приложений, как игровых, так и для загрузки информации- фотографий, музыки видео, тем самым подвергая угрозе пользователей, т.к. последние могут, под видом плагина или приложения, скачать вирус или троянскую программу.
Мерой предотвращения таких угроз является запрет для корпоративных машин на подобные скачивания. Другим способом предотвращения является использование, для доступа к социальным сетям, отдельно стоящих машин, не имеющих доступа в корпоративную сеть. И конечно наиболее важным являются меры поддержания актуальных патчей ОС и обновлений антивирусных баз.
Основными мерами предотвращения утечки данных, являются анализ рисков и выявление наиболее ценной, для компании информации, с последующим моделированием убытков, вызванных утечкой информации, и выявлением оптимальных мер по защите. В данном вопросе наиболее важным является работа с человеческим фактором в направлении усиления трудовой дисциплины, а также осознание сотрудниками, что политики безопасности служат не для вторжения в их частную жизнь, а мерой предотвращения потерь предприятия.
Также такие меры, как тренинги и обучение персонала, явно демонстрируют заинтересованность компании в повышении мер защиты информации. Заключительной мерой предотвращения утечек следует отметить мониторинг делового общения персонала. Наиболее простым решением может быть блокировка доступа ко всем социальным сетям, а также бесплатным почтовым сервисам и чатам.

Существуют компании, которым постоянно приходится волноваться о проблемы утечки информации: обычно это компании, работающие на рынке предоставления услуг, особенно финансовых и юридических. Для таких компаний потеря репутации является ключевой проблемой, т.к. доверие клиентов для подобных компаний равносильны деньгам. В этой связи многие компании исповедуют идеологию того, что сотрудники компании не могут пользоваться не легитимным ПО или контрафактными фильмами- музыкой, т.к. это может отбросить тень на имидж компании.
Как пример, компания Allen & Overy, проведя аудит системы безопасности, на базе решения от TrendMicro заблокировала доступ ко всем социальным сетям, а также бизнес сайту LinkedIn. Помимо этого IT отдел выявил брешь в системе защиты  Facebook, позволявшую персонализировать пользователя посредством бэкдора, и закрыли её также.  Это снизило риск утечки, т.к. пользователи лишились возможности выгружать документы, а также исчезла возможность следить за сотрудниками, в то время как они находятся в корпоративной сети. Также в компании внедрили курс обучения информационной безопасности, как для новых, так и для старых сотрудников. Также основным изменением был перевод пользователей на использование исключительно корпоративной почты, для бизнес целей, вместо использования ресурсов социальных сетей, Также были заблокированы возможности просмотра видео и служб мгновенных сообщений, для предотвращения скачивания подозрительных файлов и доступа к несоответствующим материалам.
Также все вышеозначенные процедуры были заявлены в контрактах сотрудников, и туда же были занесены особенности политики безопасности.

Не важно каким образом компания решает сосуществовать с таким явлением, как социальная сеть. Главное чтобы у компании были четко выработанное видение политики безопасности, которая, в случае не совпадения с ними факта наличия доступа к социальным сетям, позволила бы перекрыть доступ к сайтам этой категории. И данную проблему нельзя скидывать со счетов, откладывая на месяцы и годы, иначе данная проблема может стоить компании немалых сумм, на устранение последствий утечки. Необходимо вырабатывать стратегию решения, консультироваться со специалистами и решать данную проблему в кратчайшие сроки.

Теги: IT безопасность, социальные сети