БОЛЬШЕ НЕ НУЖНО ПЛАТИТЬ УБОРЩИЦАМ ЗА СОДЕРЖИМОЕ КОРЗИН ДЛЯ БУМАГ, ПОДСЛУШИВАТЬ БЕСЕДЫ МЕНЕДЖЕРОВ В БАРАХ И ЗАВОДИТЬ РОМАНЫ С СЕКРЕТАРШАМИ БОССОВ КОМПАНИЙ-КОНКУРЕНТОВ. КОРПОРАТИВНЫЕ СЕКРЕТЫ КУДА ПРОЩЕ ДОБЫТЬ В СОЦИАЛЬНЫХ СЕТЯХ: ПРИХОДИ И ЗАБИРАЙ.
Социальные сети общения — вроде гигантского интернет-сервиса Facebook или его российского аналога «ВКонтакте» — на сегодняшний день считаются одной из самых горячих тенденций в мире информационных технологий. Пользователи, зарегистрированные на наиболее популярных площадках подобного рода, исчисляются десятками и даже сотнями миллионов, а такое скопление потенциальных клиентов по определению не может оставить равнодушными деловых людей — вне зависимости от того, связан их бизнес с ИТ или нет.
Польза или вред?
В первые годы существования этих чрезвычайно востребованных ныне массовой публикой сервисов многие корпорации не разглядели в них ничего ценного. Скорее даже наоборот.
Поначалу социальные сети общения воспринимались как нечто совершенно бесполезное, а может быть, даже и вредное — коль скоро в рабочее время легко отвлекали сотрудников от выполнения их непосредственных обязанностей. Не случайно первой реакцией на подобные сервисы в корпоративных сетях зачастую оказывались попытки попросту заблокировать доступ ко всем подобным сайтам. Чтобы народ не отвлекался от работы.
Но сегодня многое меняется. Рано или поздно, но от столь недальновидного подхода в компаниях обычно решают отказаться. Сейчас уже не вызывает никаких сомнений, что технологии социальных сетей несут в себе огромный потенциал для улучшения связей любой корпорации с ее акционерами, партнерами, клиентами и с собственными сотрудниками. Не говоря уже о замечательных возможностях и перспективах с точки зрения подбора кадров, маркетинговых акций, организации продаж товаров и услуг. Однако и риски от интеграции социальных сетей в бизнес оказываются не только велики, но и весьма нетривиальны — от появления новых каналов распространения спама и утечек информации до изощренных операций корпоративного шпионажа.
Facebook, MySpace, Twitter и ряд других сетей быстро эволюционировали. Сайты, ориентированные на сугубо личное сетевое общение, без промедления превратились в удобные площадки, обеспечивающие массовые коммуникации. По оценкам Gartner, к 2014 году около 20% бизнес-пользователей будут опираться на сервисы социальных сетей в качестве основного — вместо электронной почты — инструмента для поддержания персональных деловых контактов!
Но возникает и масса вопросов. Например: как на уровне предприятия поддерживать разумное сочетание приватных и корпоративных интересов сотрудников? Да, ныне в компаниях все реже блокируют доступ к социальным сетям. Но при этом еще далеко не всегда ясно, насколько строго и как именно за этим сетевым общением нужно следить.
Тема эта оказывается особо актуальной, если принять во внимание те крупные перемены в корпоративной инфраструктуре, что происходят в последние годы. В условиях, когда стремление к «расширенному предприятию» (extended enterprise) становится одним из условий достижения успеха в бизнесе, развиваются и новые формы обращения с информацией.
СПАСИБО СОЦИАЛЬНЫМ СЕТЯМ: В БЕСПРЕЦЕДЕНТНЫХ ДЛЯ НЕДАВНЕГО ПРОШЛОГО МАСШТАБАХ КОРПОРАТИВНЫЕ ДАННЫЕ СТАНОВЯТСЯ ДОСТУПНЫМИ ОБЩЕСТВЕННОСТИ
В беспрецедентных для недавнего прошлого масштабах корпоративные данные становятся доступными для клиентов, сотрудников, партнеров и поставщиков. Однако при этом корпоративная инфраструктура в значительной степени продолжает оставаться замкнутой и контролируемой средой. То есть средой, где по-прежнему действуют строгие политики безопасности, призванные защитить информацию о клиентах, финансах и бизнесе в целом.
Что дальше? Заглядывая в будущее, многие эксперты отмечают: мощный потенциал социальных сетей увлекает концепцию расширенного предприятия в новый мир, к так называемому «предприятию без границ». Именно так принято сегодня именовать среду, в которой существенно размываются традиционные разграничения между конфиденциальной и общедоступной информацией, между профессиональной и личной жизнью. Иначе говоря, социально-бытовая сфера и бизнес-среда сольются в единое целое.
Но это, впрочем, дело недалекого будущего, знать подробности которого наверняка не дано никому. Если же оперировать сегодняшними реалиями, легко сделать вывод: в наличии уже имеются многочисленные платформы социальных сетей, зарекомендовавшие себя в качестве «великого нового пути», ведущего компании к новому уровню коммуникации со всеми «нужными людьми» — от собственных сотрудников до клиентов. Коммуникации, которая будет носить куда более личный характер, обеспечивать при этом более высокий уровень взаимодействия и… требовать ответа на принципиально новые угрозы. На этих угрозах и рисках имеет смысл сосредоточиться поподробнее.
Находка для шпиона
В процессе разработки социальных сетей перспективы использования их в качестве бизнес-приложений практически не рассматривались. Лишь впоследствии возникла перспективная идея — воспользоваться их впечатляющим успехом для реализации корпоративных интересов, что немедленно повлекло за собой массу сложностей.
Все там будем
Социальные сети эффективно формируют в Интернете сообщества людей со схожими личными или профессиональными интересами. Регулярная связь между участниками таких сообществ осуществляется посредством внутренней почты или мгновенного обмена сообщениями. Практически всем социальным сетям присущ один и тот же, в сущности, сценарий поведения участников, по давней традиции именуемых пользователями.
В ключевых деталях этот сценарий выглядит так. Для доступа к услугам сети от участника требуется регистрация, то есть создание личной страницы, где указываются персональные данные, вроде даты рождения, места жительства, ФИО, рода занятий и тому подобных вещей. Для облегчения поиска единомышленников пользователи добавляют себя в социальные группы — по местам учебы, отдыха, работы или службы, в сообщества по интересам. С помощью поисковых возможностей по группам или вне групп отыскиваются уже знакомые люди, которые добавляются «в друзья» наряду с новыми знакомствами. На страницах друзей и групп пользователи просматривают, комментируют и оценивают события, заметки, медиаконтент (фотографии, видео- и аудиозаписи), рабочие вакансии или новые товары — и вообще все, что может вызывать интерес. Все изменения информации о друзьях, а также действия друзей и групп можно динамически отслеживать — с помощью автоматически генерируемой ленты событий.
По всеобщему признанию, социальные сети в настоящее время объективно являются самыми популярными сервисами Интернета.
Главный корень возникающих проблем кроется в том, что социальные сети по природе своей весьма небезопасны. Эти сервисы основаны на доверии общающихся людей друг к другу, а подтверждения личности новых пользователей при регистрации, как правило, не требуется. Проще говоря, вводимые новоприбывшими (да и давними пользователями) данные могут быть совершенно произвольными.
Все это известно каждому пользователю. Процедуры регистрации максимально доброжелательны и работают по принципу «Присоединился к нам — вот и славно, поздравляем».
Благодаря подобной открытости сайты социальных сетей привлекли гигантское количество участников. Все эти пользователи по умолчанию склонны к доверию в отношении своих собеседников, а также к эмоциональным или информативным реакциям на публикуемый другими участниками контент. Практически все они охотно принимают приглашения, «ходят друг к другу в гости», делятся приватной информацией, скачивают файлы или просто кликают по опубликованным кем-то «интересным» ссылкам… Иначе говоря, не только «много болтают», но и постоянно подвергают свой домашний компьютер, офисную рабочую станцию или мобильный телефон дополнительной угрозе заражения вредоносной компьютерной инфекцией.
Более того, когда люди раскованно общаются во всех этих твитах, блогах, на форумах групп по интересам и тому подобных сетевых площадках, в большинстве своем информация, публикуемая пользователями, становится доступной практически для всех. И даже если пользователи считают, что не к месту или по небрежности разглашенные ими сведения были «быстро удалены», в действительности практически вся введенная информация сохраняется владельцами сайтов в течение многих месяцев, а то и лет. «Что написано пером, того не вырубить топором». Пусть даже перо это — электронное. Вот почему, обсуждая постоянно происходящие в социальных сетях утечки корпоративной информации, нужно учитывать: то, что хотя бы раз опубликовано в Сети, можно считать навечно оставшимся на виртуальных скрижалях.
Всякого рода злоумышленники давно оценили эти специфические стороны социальных сетей общения и интенсивно пользуются свойственной таким площадкам культурой доверия. Чаще всего достоянием общественности становятся случаи, когда преступники эксплуатируют чрезмерную доверчивость пользователей — для автоматизированных и широкомасштабных хищений персональных данных, электронных денег и банковских реквизитов. Используются и вычислительные ресурсы зараженных компьютеров — для массовых рассылок троянцев-шпионов, спама и т. п.
О многочисленных утечках информации через социальные сети говорится меньше, однако с точки зрения безопасности компаний серьезность этой проблемы вполне очевидна. Хотя бы потому, что типичные пользователи социальных сетей (в данном случае — сотрудники фирм) активно желают поделиться с друзьями имеющейся у них информацией. А ведь сведения эти порой вовсе не предназначены для разглашения не только на публичных ресурсах, но и внутри корпораций.
Психологические особенности участников социальных сетей (и прежде всего повышенное желание общаться), а также культивируемая на таких площадках атмосфера доверия накладываются на еще один немаловажный фактор. Социальные сети постоянно накапливают гигантское количество персональной информации: имена, адреса, даты и места рождения, политические и религиозные взгляды, телефонные номера, родственные связи, школы и прочие учебные заведения, нынешнее и прошлые места работы, личные интересы…
Иначе говоря, при наличии мотивации на очень и очень многих участников социальных сетей можно составлять весьма подробные досье. А значит, при грамотном к ним подходе многократно упрощается и добыча информации.
Огромное количество участников, открытость и умышленно заниженные ради открытости требования к безопасности сделали такие ресурсы настоящим раем для шпионов. В глубинах инфраструктуры социальных сетей уже сформировалась крупная, весьма сложная и запутанная «экосистема кибершпионажа», в которой замысловато переплелись шпионские сети-ботнеты криминальных хакеров, промышленный шпионаж корпораций и разведывательные операции государственных спецслужб.
Для специалистов по компьютерной безопасности анализ угроз и противодействие атакам в подобных условиях существенно затрудняются тем, что все перечисленные игроки — от киберпреступников до корпоративных и государственных «следящих» структур — используют практически одни и те же методы и инструменты, берущие начало в криминальном хакерском подполье.
Внешне все выглядит совершенно одинаково: компрометация сайтов встраиванием вредоносных кодов, массовое заражение компьютеров троянцами-шпионами, объединение зараженных компьютеров-зомби в ботнеты, перехват и хищение чувствительной конфиденциальной информации (вроде паролей личного банковского счета или ключей к внутренним корпоративным сетям).
Но что с того, если даже анализ похищаемых данных далеко не всегда позволяет вычислить вероятного похитителя! Ведь на «черном рынке» Интернета заказывают информацию одни, а воруют ее совсем другие люди. Личности же тех и других вполне могут оставаться неизвестными даже для участников сделки.
Специальные инструменты
Характерная особенность социальных сетей, усугубляющая угрозы корпоративного шпионажа, — специфика работы программных приложений. В отличие от пользователей-людей, которые по умолчанию имеют в сетях доступ либо к общедоступной информации, либо лишь к сведениям ограниченного доступа, определенным публикаторам, на программные приложения эти ограничения обычно не распространяются.
В ГЛУБИНАХ СОЦИАЛЬНЫХ СЕТЕЙ СФОРМИРОВАЛАСЬ «ЭКОСИСТЕМА КИБЕРШПИОНАЖА», ПРЕДСТАВЛЕННАЯ ХАКЕРАМИ, АСАМИ ПРОМЫШЛЕННОЙ РАЗВЕДКИ И СПЕЦСЛУЖБАМИ
Подобного рода приложения имеют самую разнообразную функциональность. Выглядит все это вполне невинно. Викторины и опросники, небольшие игры и гороскопы, разного рода информеры вроде сводок погоды или ТВ-программ весьма востребованы среди пользователей соцсетей, заполняющих ими свои личные или групповые страницы. Так, в сети Facebook (свыше 400 миллионов зарегистрированных пользователей) сегодня доступны многие десятки тысяч приложений. Мало кто задумывается о том, что разработчиком подобных приложений может быть кто угодно. А ведь по умолчанию разработчики и их программы имеют доступ к персональным данным пользователей, включая и информацию обо всех их друзьях.
Теоретически у завсегдатаев социальных сетей есть возможность использовать настройки приватности для ограничения программного доступа к информации. Но многие приложения в таком случае просто не будут функционировать. Реальность работы подобных сетей такова, что посторонние разработчики с совершенно неведомой репутацией без каких бы то ни было проблем добираются до персональной информации пользователей. Не говоря уже о том, что значительные объемы весьма ценных данных можно собирать в социальных сетях при помощи одного лишь умелого сканирования разделов (например, «Группы» или «События»), которые по умолчанию являются общедоступными.
Для демонстрации серьезности этих угроз ТВ-программа Click британской компании BBC создала недавно свое собственное приложение для Facebook, причем на написание соответствующей программы ушло всего три часа. Она позволила авторам Click автоматически собирать персональную информацию обо всех пользователях (которые скачивали ее для своих страничек), а попутно — и обо всех их друзьях.
Впрочем, программы — оружие обоюдоострое. На рынке уже появляются специализированные шпионские инструменты для корпораций, которые примерно по той же схеме осуществляют сканирование социальных сетей для поиска и извлечения нужных разведывательных сведений «активно-оборонительного характера». Так, калифорнийская фирма Teneros весной этого года выпустила на рынок новую программу Social Sentry, или SaaS, пока что позволяющую проводить целенаправленный поиск в наиболее популярных сетях Facebook и Twitter. Однако в ближайшем будущем разработчики обещают ощутимо расширить как список исследуемых площадок, так и функционал продукта.
Официально эта программная система позиционируется ее создателями как «средство для защиты бренда». Представители компании могут ввести в качестве запроса определенные слова и фразы (наименования торговых марок, слоганы и т. п.): программа «прочешет» социальные сети и соберет соответствующие публикации. В итоге компании получают возможность следить за тем, что о них говорят и пишут посетители этих ресурсов. Поскольку поисковые запросы можно варьировать в самом широком диапазоне, программа дает возможность выяснить не только то, что говорится, но и — кто именно это говорит.
Но сформулируем иначе: появляется возможность автоматически отыскать в сетях всех зарегистрированных сотрудников своей компании, а затем — регулярно контролировать, о чем они там говорят. По аналогичной траектории можно заняться и розыском-разработкой сотрудников компаний-конкурентов. Дальше — все как в классических шпионских сюжетах.
На примере инструментов, подобных SaaS, легко убедиться: грань между шпионской активностью корпораций и контрразведывательными усилиями фирм ради собственной защиты оказывается весьма размытой и условной. Какие именно средства выбирать для снижения очевидных угроз со стороны социальных сетей — пассивно-оборонительные или же активно-упреждающие — каждая компания решает сама. Тем более что сколько-нибудь внятных законов, регулирующих поведение людей, организаций и государств в киберпространстве, пока не создано.
В любом случае, как показывает жизнь, нынешний бум в развитии социальных сетей явно не демонстрирует никаких признаков замедления. А значит, игнорировать это явление уже невозможно. Запретить использование социальных сетей сотрудниками компаний невозможно (если перекрыть доступ из офиса — люди будут общаться в свободное время при помощи личных компьютеров). Однако и с постоянным расширением мощного канала, стимулирующего утечки информации, ресурсов, а также враждебные проникновения, нужно что-то делать.
Что делать? Наиболее разумный подход — строить бизнес и его защиту с учетом изменившихся условий. Если появились новые, более совершенные средства нападения, значит, пришло время крепить оборону.
Начать дискуссию