Компьютерные риски. Фишинги.
В современном мире компьютерные и информационные технологии являются ключевым элементом в организационных структурах компаний практически любых отраслей. Интернет становится большой частью каждого бизнеса, компании разрабатывают свои веб-сайты не только в целях визитной карточки, но и как канал продаж. Это бесспорно повышает эффективность и конкурентоспособность организаций, но вместе с этим стремительно растут риски, связанные с использованием ИТ и компьютерного оборудования, о которых руководство может даже не подозревать. Утечка конфиденциальной информации и неисправность оборудования могут подорвать работоспособность всей организации. Именно поэтому необходимо принять меры по снижению этих рисков.
Риск — вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки.
Угрозы могут исходить как от легальных пользователей сети, так и от внешних злоумышленников. Внутренние атаки обычно наносят меньший ущерб, чем внешние.
Угрозы со стороны легальных пользователей делятся на:
умышленные;
неумышленные.
К умышленным угрозам относятся, например, мониторинг системы с целью получения персональных данных других сотрудников (идентификаторов, паролей) или конфигурационных параметров оборудования. Это может быть также злонамеренное получение доступа к конфиденциальным данным, хранящимся на серверах и рабочих станциях сети «родного» предприятия с целью их похищения, искажения или уничтожения; прямое «вредительство» — вывод из строя сетевого программного обеспечения и оборудования. Кроме того, к умышленным угрозам относится нарушение персоналом правил, регламентирующих работу пользователей в сети предприятия: посещение запрещенных веб-сайтов, вынос за пределы предприятия съемных носителей, небрежное хранение паролей и другие подобные нарушения режима.
Однако не меньший материальный ущерб предприятию может быть нанесен в результате Неумышленных нарушений персонала — ошибок, приводящих к повреждению сетевых устройств, данных, программного обеспечения.
Угрозы внешних злоумышленников, называемых также хакерами, по определению являются умышленными и обычно квалифицируются как преступления. Среди внешних нарушителей безопасности встречаются люди, занимающиеся этой деятельностью профессионально или просто из хулиганских побуждений. Целью, которой руководствуются внешние злоумышленники, всегда является нанесение вреда предприятию. Это может быть, например, получение конфиденциальных данных, которые могут быть использованы для снятия денег с банковских счетов, или установление контроля над программно-аппаратными средствами сети для последующего их использования в атаках на сети других предприятий.
Как правило, атака предваряется сбором информации о системе (mapping), которая помогает спланировать атаку и скрыть все следы проникновения в систему. К полезной для хакера информации относятся типы операционных систем и приложений, развернутых в сети, IP-адреса, номера портов клиентских частей приложений, имена и пароли пользователей. Часть информации такого рода может быть получена путем простого общения с персоналом (это называют социальным инжинирингом), а часть — с помощью тех или иных программ. Одним из основных приемов, используемых злоумышленниками для «заметания следов», является подмена содержимого пакетов (spoofing).
Практика использования отдельных решений по обеспечению информационной безопасности показывает, что не всегда учитывается фундаментальная проблема достаточности и эффективности систем защиты с точки зрения пользователя. При внедрении различных средств защиты необходимо определить баланс между возможным ущербом от несанкционированной утечки информации и размером вложений, которые потрачены для обеспечения защищенности информационных ресурсов.
Одним из наиболее важных соображений при выборе методики оценки риска является то, что полученные результаты должны быть эффективны при реализации обеспечения системы защиты информации. Цель оценки риска состоит в том, чтобы определить риск утечки информации из корпоративной сети предприятия. Процесс оценки риска проводится в два этапа. На первом этапе определяют границы сети для анализа и детальную конфигурацию корпоративной сети, т. е. определяется модель компьютерной сети предприятия. На втором этапе проводится анализ риска.
Методы предотвращения и уменьшения риска, основанные на уменьшении вероятности убытка путем изучения источников риска и предотвращения его появления:
улучшение информационного обеспечения (получения, обработки, накопления информации и качества коммуникаций);
более точное определение планируемого значения основных критериев, напр. прибыли (учет различных эластичностей, взаимозаменяемости средств производства, сырья и персонала, постоянная корректировка планов с учетом информационных изменений, альтернативное планирование);
уменьшение ошибочного поведения (повышение осознания риска сотрудниками, их соответствующее стимулирование для увеличения их заинтересованности в уменьшении риска, персональный отбор сотрудников, передача знаний при помощи обучения, назначение персонально ответственных);
формирование специальных технических инструментов
системы охраны (труда, от несчастных случаев, пожарной безопасности, безопасности от утечки информации, растрат, экологических катастроф, качества продукции);
увеличение надежности системы в целом путем запараллеливания ее элементов, работающих на пределе надежности;
установление «указателей ошибок» (системы тревоги перед появлением неисправностей);
установление систем быстрого отключения (для автоматического отключения при критическом состоянии);
содержание в исправности (регулярные проверки).
Во время чтения электронной почты или просмотра страниц в Интернете следует помнить про мошенников, которые стремятся похитить ваши личные данные или деньги, а, как правило, и то, и другое. Такие мошеннические действия или схемы называются «фишингом» (от английского слова «fish», что означает «рыба» или «рыбачить»), так как их цель – «выудить» у вас ваши персональные данные.
Фишинговые сообщения могут содержать:
сведения, вызывающие тревогу, или угрозы, например, закрытия ваших банковских счетов;
обещания большой денежной выгоды с минимальными усилиями или вовсе без них;
сведения о сделках, которые слишком хороши, для того, чтобы быть правдой;
запросы о пожертвованиях от лица благотворительных организаций после сообщений в новостях о стихийных бедствиях;
грамматические и орфографические ошибки.
Вот несколько популярных фишинговых уловок:
1. Мошенничество с использованием бренда известных компаний. В таких мошеннических схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие название корпорации. В них вам могут сообщать о победе в каком-либо конкурсе, проводимом компанией, о том, что компании требуются ваши учетные данные и пароль, о том, что к вам обращается представитель компании, чтобы помочь в решении проблем с компьютером, и т.п. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.
2. Ложные антивирусы и программы для обеспечения безопасности. Подобное мошенническое ПО, также известное под названием «scareware», – это программы, которые выглядят так, как будто они обеспечивают безопасность вашего ПК, хотя, на самом деле, все обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Вы можете столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения.
Если вы подозреваете, что ответили на фишинговое сообщение, указав свои личные или финансовые данные, выполните следующие действия для минимизации возможного ущерба:
Смените пароли или PIN-коды во всех своих онлайн-аккаунтах, которые могли быть скомпрометированы.
Добавьте предупреждение о мошенничество в свои отчеты по кредитам. Если вы не знаете, как это сделать, обратитесь в банк или к финансовому консультанту.
Обратитесь в банк или в интернет-магазин напрямую. Не переходите по ссылкам в фишинговом сообщении.
Если вам стало известно о мошенническом доступе к счетам или открытии счетов, закройте их.
Ежемесячно просматривайте банковские выписки и отчеты по операциям с кредитной картой, обращая внимание на необъяснимые траты или запросы, которые вы не инициировали.