Социальная инженерия во фронт- и бэкофисах финансовой сферы

Тема социальной инженерии при борьбе с мошенничеством и иными угрозами ИБ в финансовой сфере была и остаётся обязательной для анализа специалистами и привлекательной для журналистских расследований и материалов. Так что включение дискуссии «Практика борьбы с социальной инженерией в системах дистанционного банковского обслуживания» в повестку дня Осенней сессии Уральского форума в Москве нельзя назвать оригинальным ходом организаторов действа.

Однако было бы неправильным считать, что влияние социальной инженерии на уровень ИБ стало дискуссионной темой лишь в финальном шоу мероприятия и связано оно лишь с внешним клиентским окружением финансовых организаций и нерадивостью низового персонала организаций. ИМХО, конечно.

И пока злоумышленники ставят социальные эксперименты на обывателях, вполне себе добропорядочные руководители сами того не сознавая могут способствовать появлению социальной напряжённости в службе ИБ собственной конторы. Что также скажется на уровне защиты информации и безопасности сервисов для клиентов.

 

Социальная инженерия и народ

Масс-медиа при освещении Осенней сессии в реальном времени сочли возможным практически не упоминать о мероприятии в целом, но с удовольствием цитировали свежую аналитику Артёма Сычёва, первого заместителя директора Департамента информационной безопасности Банка России. И в первую очередь факты со скандальным душком о наивных жертвах из числа военных и иных силовых структур в званиях высшего офицерского состава, замученных домашним хозяйством или неустроенностью личной женщин и прочие аналогичные «сенсации».

Но позволю высказать мнение о том, что всё упомянутое – это лишь шелуха, скрывающая сердцевину истоков проблем, обусловленных злонамеренной социальной инженерией.

Да, население следует просвещать и обучать «гигиене» в киберпространстве.

Но будет ли эффективным такое обучение на фоне вала коммерциализируемых технологий, вовлекающих население в пустое времяпрепровождение во Всемирной Сети, сопряжённое с рефлекторным сливом туда ценных для преступников данных, пропагандирующих получение услуг сомнительного качества, но зато «в один клик». Формально ВВП растёт, но улучшается ли ситуация в сфере ИБ?

А чего стоит, например, «просветительская» деятельность клерков не самого низкого уровня в государственных организациях, которые предлагают гражданам находить ответы на свои вопросы в Интернете, не затрудняя себя ответственными рекомендациями, где именно безопасно следует искать соответствующую информацию. В результате у людей формируется устойчивый стереотип поведения в киберпространстве, не совместимый с базовыми требованиями ИБ. Люди смело проверяют нахождение той или иной информации о себе в тех или иных базах данных, используя для этого сайты, созданные на самом деле злоумышленниками для сбора этих данных.

Как следует из комментариев Артёма Сычёва на Осенней сессии, социальная обучающая реклама Центробанка зачастую сможет найти себе место на центральных каналах телевидения в самое неудобное время, тогда как уже упомянутые услуги «в один клик» продвигаются в прайм-тайм.

 

Проблемы внутрикорпоративной «социализации» ИБ

Но фетишизация эффективности в бухгалтерском понимании негативно сказывается не только на попытках просвещать население. Асоциальное поведение в сфере ИБ, вызванное этим фактором, характерно не только для простых граждан и СМИ, но и для руководства организаций, в том числе и из финансовой сферы, страхового бизнеса и аналогичных. Здесь уместно вспомнить слова известного эксперта в сфере ИБ Рустема Хайретдинова о том, что недопустимо часто угроза ИБ с вероятностью менее 100% рассматривается ЛПРом как угроза с вероятностью «орёл/решка» и не рассматривается как источник риска, а проекты по информационной безопасности зачастую конкурируют за бюджет не между собой, с бизнес-проектами.

Дело обстоит настолько плохо, что как показали беседы в кулуарах Осенней сессии, даже в ведущих банках руководство отказывается проактивно выделять средства на инструментарий для борьбы с киберугрозами, которые ещё не реализовались в этом конкретном банке. Печальная судьба «соседа» по рынку, уже погибшего от этой напасти, не является уроком. И руководство ИБ пытается найти выход в обращении к мегарегулятору с просьбой внести обязательное требование по борьбе с конкретной угрозой в нормативный акт. Мегарегулятор вполне обоснованно безмолвствует, ибо, перефразируя Аркадия Исааковича Райкина, есть такие шаги, которое здравомыслящее руководство финансовой организации должно предпринимать само, «даже при наличии здорового коллектива».

На Конгрессе Сбербанка по кибербезопасности президент Совета по кибербезопасности Германии Ханс-Вильгельм Дюнн упомянул о таком негативном явлении, как тенденция к уходу специалистов из сферы ИБ в связи с ростом ответственности и чрезмерными стрессами. И стрессы эти – в том числе и следствие недальновидной внутрикорпоративной социальной инженерии, связанной с экономией на количественном составе ИБ-персонала, оплате его труда, с экономией на обоснованном техническом перевооружении. И это при том, что обоснованно заботящееся о сохранении конкурентоспособности руководство зачастую вынуждено фактически создавать инновационные «дыры» в периметре безопасности. Примеры таких рукотворных дыр легко найти в системе ДБО, ЕБС, … .

Увидеть проявление упомянутых стрессовых состояний в профессиональной среде можно было в ходе финальной дискуссии Осенней сессии Уральского форума.

Олег Седов, модератор дискуссии по социальной инженерии, провёл мероприятие в артистической манере, профессионально балансируя на грани балагана и мхатовского спектакля. И это на удивление легко позволило пробудить поистине вулканические страсти во многом обывательского пошиба в зале, заполненном высокими профессионалами в сфере ИБ. Что может указывать на сильную внутреннюю «наэлектризованность» внешне спокойной деловой атмосферы в профессиональном ИБ-сообществе. Тем более, что каждый из этих людей – ещё и семьянин, сын и друг.

В связи с увиденным можно предположить, что образование является необходимым, но недостаточным условием для создания иммунитета к негативной социальной инженерии киберпреступников. Общественная и внутрикорпоративная атмосфера «с человеческим лицом», когда загнанных лошадей не нужно пристреливать, за отсутствием таковых, столь же важна, как и образование, при оценке доверия звонку о несанкционированном выводе денег с банковской карты.

Павел Никифоров

09.09.2019

Смотрите также:

Анатомия деструкции

«Цифровая гигиена» в социальных сетях – забота общая
07.06.2019

Hi-hume − hi-tech: вызов принят

Как и почему гуманитарные аспекты информационных технологий стали актуальными
03.06.2019