• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Человеческий фактор инфобезопасности

Защита информации – вопрос не только и даже не столько технологий, сколько ответственности сотрудников компаний за сохранность и конфиденциальность корпоративных данных.

На человеческом факторе в инфобезопасности сфокусировался специальный гость конференции CROC Cyber Conference «ИБ во власти будущего: новые вызовы и новая миссия» Кевин Митник, всемирно известный бывший хакер, ныне – знаковая фигура в мире информационной безопасности и основатель компании Mitnick Secu-rity Consulting LLC. Он отметил, что сегодня хакерам даже не обязательно получать доступ к компьютерам объекта атаки – достаточно применить методы социальной инженерии, чтобы жертва сама раскрыла нужную информацию. Кроме того, злоумышленники способны сложить вместе самые незначительные сведения и получить ценные данные. «Большинство вторжений в системы основаны на возможности повлиять на человеческое поведение, – уверен Кевин Митник. – Поэтому обучение и тренинги для пользователей очень важны. Помимо этого компаниям стоит минимум дважды в год организовывать для сотрудников имитации атак с использованием методов социальной инженерии».

По мнению Дмитрия Устюжанина («ВымпелКом»), атаки на компании часто идут через социальные сети, с проникновением через людей, через персонал. Люди сами «открывают двери» мошенникам, не осознавая опасности. В этой ситуации необходимы программы повышения осведомленности об угрозах информационной безопасности, которые реализуются во взаимодействии с кадровой службой. «Просто запереться в техническом мирке ИТ не получается, потому что есть технологическая составляющая взлома, а есть составляющая культурного характера», – отметил Д. Устюжанин.

Технологическую составляющую взлома продемонстрировали участники хакерского турнира, организованного одновременно с конференцией. В течение четырех с половиной часов игроки испытывали свои навыки разведки и кражи данных в созданной Symantec имитации реальной ситуации. 32 участника хак-квеста – студенты, системные администраторы, специалисты по информационной безопасности – должны были взломать зашифрованные пароли, запустить SQL-атаки и использовать известные уязвимости, набирая очки и соревнуясь между собой. По мнению Игоря Никулина (КРОК), участники турнира продемонстрировали высший пилотаж, взламывая симулятор корпоративной сети. Подобные обучающие проекты дают возможность получить необходимые навыки противодействия мошенникам, уверен И. Никулин. Победителем турнира с большим отрывом от соперников стал Влад Росков. В октябре этого года он отправится в Ниццу на чемпионат среди финалистов из стран Европы, Ближнего Востока и Африки. Вручая награду победителю, Андрей Вышлов (Symantec) отметил: «В России такой турнир мы проводили впервые, это была интересная игра, и я уверен, что с таким результатом у нас есть хороший шанс привезти главный приз из Ниццы».

Молодежный «хакерский дух» не мог не сказаться на респектабельной аудитории конференции – и одной из дискутируемых тем стал вопрос привлечения на работу молодых талантливых «взломщиков». Участник хакерского турнира Олег Купреев признал, что ему повезло получить работу исследователя в компании Digital Security. Однако далеко не всем 25-летним программистам удается устроиться. «Наше поколение мотивировано не на деньги, но настоящим хакерам, а, согласно Википедии, это просто очень талантливые программисты, нужна работа, – заметил О. Купреев. – Во всем мире компании понимают, что с хакерами лучше сотрудничать. У нас – если повезет. Хочу предупредить: нынешние десятилетки уже сейчас легко взламывают сложные пароли. Они превосходят нас, и они мотивированы на зарабатывание денег».

По мнению Павла Головлева («СМП Банк»), в неформальной среде молодежной субкультуры с пирсингами, дредами, татуировками и особым сленгом процент талантливых людей выше, чем в среде традиционной, – и компаниям лучше учитывать этот факт, чем не принимать его во внимание. А наступающее младое незнакомое племя – это настоящие аборигены информационных технологий. Как заметил Михаил Суконник (Radware), специалистам, получившим образование в 80-х или 90-х годах, чтобы освоить новый гаджет, надо подумать, а трехлетние дети сразу начинают им пользоваться. Ломают, конечно. Но к десяти профессионально взламывают.