Самым слабым звеном корпоративной информационной системы является человек. Поэтому хакерские атаки все чаще концентрируются на сотрудниках.
Специалисты утверждают: прогресс в области информационного обмена и информационных технологий идет такими темпами, что человеческий мозг не успевает адаптироваться. Смартфоны с 4-8-ядерными процессорами сегодня - обычное дело. А ведь еще недавно такие вычислительные мощности и в компьютерах трудно было представить. Уже очевидно, что без искусственного интеллекта (AI - Artificial intelligence) человечеству не обойтись. Цифровая трансформация в самой тонкой и ответственной сфере - умственной деятельности - уже развивается вовсю с опорой на технологии Больших данных (Big Data) и Умных данных (Smart Data). Добавим сюда достижения в области социальной инженерии, которые еще недавно использовались лишь в медицине, госуправлении и деятельности спецслужб. Нет ничего удивительного, что после того как интернет «выплеснул» новые технологии на поверхность, ими заинтересовался не только бизнес, но и злоумышленники.
Запутались в соцсетях
Как известно, самый ликвидный товар - это деньги. Именно на торговле деньгами проще всего обогатиться. А самый лакомый взлом - это взлом человеческого мозга. Этим сейчас с увлечением занимаются профессиональные хакеры, используя как новые технологии накопления и обработки информации, так и ранее секретные технологии социальной инженерии.
Искусственный интеллект и Большие данные - уже реальность. Мы сами создаем огромные массивы достоверной информации о себе в социальных сетях. Люди, движимые тщеславием и желанием привлечь внимание, с восторгом постят в Сети самое сокровенное, не задумываясь о последствиях. И… привлекают. Хотя первые сигналы опасности прозвучали давно - еще в период роста популярности «Одноклассников». Мало кто обращал внимание, что достаточно было запостить свое фото в социальной сети - и оно тут же появлялось в подписи к письму, оправленному с бесплатного почтового сервиса. Сегодня взаимный обмен между Твиттером, Фейсбуком, Инстаграмом, Вконтакте и другими соцсетями вообще воспринимается как норма. Есть даже опция - зайти в одну соцсеть через другую. При этом, конечно, пользователю поступает короткое уведомление, что, мол, теперь эта сеть получит доступ к вашим конфиденциальным данным, но практически никто на это не обращает внимания. Так что не стоит удивляться, что первыми стали использовать инфу из соцсетей… домушники - если хозяин квартиры постит в Инстаграме фотки с дорогого курорта, то, как говорится, грех не посетить его жилище. Но это - цветочки. А есть и ягодки.
Грозное программирование
Заставить человека делать то, что он делать не хотел бы, можно простым словом, внушением или советом. Эти технологии использовались еще в Средние века, в том числе, миссионерами и проповедниками. Но свое абсолютное развитие они получили в XX в. в формате технологии нейролингвистического программирования (НЛП), которая разрабатывалась вроде бы в лечебных целях, но очень быстро была взята на вооружение спецслужбами. Специально подобранный набор слов направляет волю человека в определенное, нужное русло.
Прекрасную иллюстрацию применения НЛП можно увидеть в комедийном блокбастере «Рыцарь дня» с Томом Крузом и Кэмерон Диаз. Там героиня оказалась нежелательным свидетелем и попала под прицел спецслужб. Наставляя ее, спецагент-диссидент предупреждает: «Если будут хвалить и говорить, что все под контролем и можно ничего не опасаться - значит, они тебя убьют». В сущности, если коротко - так НЛП и работает, хотя и не столь примитивно. Сегодня НЛП применяется даже в сфере воспитания детей - правда, это стоит считать скорее курьезом. Но кто точно взял ее на вооружение, так это сетевые мошенники. Они просто сложили два и два - Большие данные, Искусственный интеллект и НЛП - и получили неотразимое оружие для «взлома» любого человека. Дальше - дело техники и усердия.
Человек - слабое звено
Чтобы разорвать цепь, даже самую прочную, нужно найти и сломать самое слабое звено. В цепи любой корпоративной информационной системы таким слабым звеном может оказаться каждый человек - на это и делается ставка при хакерской атаке. «Компания может тратить сотни тысяч долларов на брандмауэры, шифрование и другие технологии обеспечения безопасности, но, если мошенник может позвонить одному из сотрудников и через него получить доступ к конфиденциальной информации, все средства, потраченные во имя безопасности, были потрачены зря», - подчеркивает знаменитый Кевин Митник, консультант по компьютерной безопасности и бывший хакер.
Чтобы взломать это слабое звено, достаточно лишь правильно сформулировать обращение. А здесь главное - точный профиль целевой аудитории. Кстати, не только злодеи пользуются такими приемами. Герман Греф, глава Сбербанка России и фактический евангелист цифровой трансформации, заявлял неоднократно: «Чтобы получить полный профиль человека, достаточно изучить его последние 300 лайков в соцсетях». Банкиры проводят такое изучение с целью кредитного скоринга и разработки новых банковских продуктов.
О том, кто в группе риска благодаря НЛП и социальной инженерии и возможно ли избежать фишинговых атак, читайте в продолжении статьи, опубликованной в печатной версии журнала «Директор» № 10.
Игорь КЛОКОВ