Дипломная работа (бакалавр/специалист) на тему Социальная инженерия на предприятиях в информационных войнах.

Содержание:

Введение 3
Глава 1. Теоретические и методологические основы социального инжиниринга 6
1.1 Понятие и цели социального инжиниринга 6
1.2 Техники и виды атак 12
1.2.1. Сетевые угрозы. 12
1.2.2. Телефонные атаки. 18
1.2.3. Персональные (личностные) подходы. 27
1.3 Анализ применения социальной инженерии 32
Вывод по первой главе 36
Глава 2. Анализ состояния изучаемой проблемы в организациях 38
2.1 Краткие характеристики организаций (банки) 38
2.2 Выявление уязвимостей и оценка рисков 42
2.3 Предпринимаемые меры по защите персональных данных 48
2.3.1 Внутренние меры по защите персональных данных 48
2.3.2 Внешние меры по защите персональных данных 54
2.3.3 Безопасность информационного пространства 58
2.3.4 Организация комфортного рабочего места 60
Вывод по второй главе 65
Глава 3. Разработка методов противодействия социальному инжинирингу 67
3.1 Теоретические аспекты создания методики противодействия 67
3.1.1 Создание тренировочной и образовательной программы 67
3.1.2 Цели, структура и содержание методики обучения персонала 70
3.2 Методика противодействия социальному инжинирингу 73
Вывод по третей главе 76
Заключение 78
Список литературы 81

Введение:

Актуальность.
Пользу от любой компьютерной системы можно получить только лишь при участии людей. И как раз это взаимодействие между компьютером и человеком несет в себе наибольшую опасность, и человек зачастую оказывается наиболее слабым звеном в цепи мер безопасности.
Время технических и физических преступлений связанных с хищением физических ключей доступа в сфере интернет технологий неумолимо проходит, на первый план выходят преступления более тонкого и изощренного вида на основе социальной инженерии.
Преступники быстро ориентируются и активно используют провалы в законодательстве (неоднозначное понятие банковской тайны и ее признаки, длительное время на бюрократические проволочки).
Так же правоохранители упираются в дотошное прочтение и буквальное использование понятий «разглашение информации третьим лицам» участниками кредитно-банковской системой, что способствует мгновенному вывод средств на сторонние банки и потери следственной цепочки.
Отсутствие оперативного взаимодействия (электронного документооборота) между платежными системами, банками и правоохранителями позволяет преступникам использовать это время на сокрытие следов преступлений.
Все вышесказанное подчеркивает актуальность изменения и уточнения законодательных актов, создания центров по оперативному обмену данных, но как бы ни была совершенна техническая и организационная система безопасности она всегда будет спотыкаться о человеческий фактор, который используют злоумышленники обучаемые социальными инженерами.
Существуют методы, позволяющие манипулировать людьми так, как только захочется злоумышленнику. Комплекс этих методов и называется социальной инженерией. Социальная инженерия – это методы управления действиями человека без использования технических средств. Основана она на использовании слабостей человеческого фактора.
Социальная инженерия используется не только в банковской сфере, но и в любой другой деятельности. На сегодняшний день информационные технологии прочно и повсеместно вошли в нашу жизнь, а человеческий фактор, который осуществляет деятельность технологий, как и во все времена является просто человеческим фактором. А это значит, имеет свои слабости, свои плюсы и минусы, которыми и пользуются злоумышленники.
Самым легким способом получить информацию являются социальные сети. Происходит анализ жертвы и сбор первичных данных для атаки, таких, как адреса, даты рождения, электронная почта. В 90% случаев эта информация общедоступна в социальных сетях.
Любой человек может легко зайти в тот же «ВКонтакте» и посмотреть дату рождения, странички родственников, иногда даже место работы жертвы, а в «Instagram» можно вообще узнавать, где человек находится прямо сейчас, благодаря так называемым «историям».
Таким образом, изучение вопроса социальной инженерии является своевременным и важны. Это относится не только к безопасности компаний, но и к безопасности личной жизни каждого человека.
Объект – социальная инженерия на предприятиях.
Предмет –
Цель – рассмотреть состояние социальная инженерия на предприятиях в информационных войнах.
Задачи:
— рассмотреть теоретические и методологические основы социального инжиниринга;
— проанализировать состояния изучаемой проблемы в организациях;
— ознакомиться с разработкой методов противодействия социальному инжинирингу.
Теоретической и методологической основой исследования являются труды отечественных и зарубежных авторов в области информационных технологий, социальной инженерии, таких как Митник К.Д., Кузнецов М.В., Симдянов И.В., в области управления персоналом: Скопылатов И.А., Ефремов О.Ю., и в области психологии: Литвак М.Е., Варламов В.А., Варламов Г.В., Власова Н.М., Оглобин С.И., Молчанов А.Ю. и ряда других. В числе информационных источников работы использовались публикации в периодической печати и в сети интернет.
Работа состоит из введения, трех глав, заключения и списка литературы.

Заключение:

Одним из самых слабых звеньев любой системы защиты является человеческий фактор. Методы социальной инженерии позволяют злоумышленнику незаконно получить пользовательскую информацию, в дальнейшем используемую для финансового мошенничества и кражи личных данных, с минимальными временными затратами.
В настоящее время одним из наиболее распространенных методов социальной инженерии стал фишинг. Стремительное развитие Интернет-технологий дало толчок не только развитию электронной коммерции и различным онлайн-сервисам, но и электронному мошенничеству, кибератакам.
Первоначально под фишингом понимались сообщения электронной почты, схожие с сообщениями от легальных организаций, Интернет-ресурсов и порталов, например, страховых компаний, онлайн-магазинов, социальных сетей. В подобных сообщениях пользователю предлагается совершить какое-либо действие (например, подтвердить учетную запись), при этом пользователя мотивируют чувствами срочности или выгоды (например, блокировка учетной записи, получение подарка от компании).
Дальнейшим развитием стало создание фишинговых сайтов, рассылка сообщений в популярных мессенджерах.
На фишинг, связанный с финансовым сектором, в последние годы приходится значительная доля, так в 2017 году его показатели превысили уровень в 50 % . По данным Центрального банка Российской Федерации , на 01.01.2019 в более чем 93 % открытых клиентами (физическими и юридическими лицами) в России счетов в кредитно-финансовых организациях подключена возможность получения доступа через сеть Интернет, что ставит вопрос финансового фишинга более объемным и проблемным как для клиентов, так и для организаций.
Стоит отметить, что в чистом виде почтовый фишинг на текущий момент почти не используется. Данный фактор можно связать и как с повышением осведомленности пользователей в вопросах информационной безопасности, так и с появлением более эффективных вида фишинга — комбинированного.
Поскольку отдельные конфиденциальные данные физических лиц, как и инфраструктура организаций становится все более уязвимыми из-за атак, воздействующих на человеческие эмоции, возможно, приходит время для целенаправленного инвестирования в повышение осведомленности граждан, а также работников и клиентов организаций в вопросах финансовой грамотности и информационной безопасности.
Безусловно данный вопрос должен поднимать и на государственном уровне, что уже начинает происходить сейчас. Нет сомнений, что знание работника организации о том, каким образом он может стать частью сложной целевой атаки на организацию, или знание гражданина о том, каким атакам он может подвергнуться атаке во время различных операций и действий в сети Интернет, положительно влияет на снижение уровня успешных фишинговых атак и увеличивает самосознание гражданами возможных последствий их действий.
В работе мы обозначили наиболее распространенные методы социальной инженерии и встает вопрос: а как обычному человеку вообще можно от этого всего себя защитить? Точной инструкции никто на этот вопрос не даст, потому что все равно везде можно будет найти лазейку, но некоторые особо важные, пускай и банальные для нас советы все же можно дать:
1) Не создавайте простых паролей, например, 123456 или же qwerty. На многих сайтах такие пароли уже нельзя поставить, вас попросят придумать другой, но в некоторых местах все еще можно.
2) Никогда не записывайте свои личные данные на бумажке.
3) Не вводите личные данные, когда у вас кто-нибудь стоит за спиной или просто рядом.
4) Никогда не подбирайте информационные носители и уж тем более не вставляйте их в свой компьютер.
5) Всегда проверяйте подлинность ссылок, по которым вы переходите.
6) Если вам друг прислал странное сообщение, с просьбой что-то где-то заполнить или перейти по ссылке, или еще хуже переслать куда-то денег, удостоверьтесь в том, что это прислал вам вовсе не ваш друг.
7) Не выбрасывайте документы просто в мусорное ведро. Воспользуйтесь перед этим шредером.
8) И самое банальное: всегда и все подвергайте сомнению.
Данное исследование хотелось бы закончить такой мыслью. Как бы мир не совершенствовался, как бы технологии не развивались, все это делает человек. И только поэтому никогда нельзя будет достичь во всем идеала. А в данном случае – в безопасности.

Фрагмент текста работы:

Глава 1. Теоретические и методологические основы социального инжиниринга

1.1 Понятие и цели социального инжиниринга

Человечество часто задается вопросом, почему людям до сих пор не удалось найти во Вселенной разумную жизнь или хотя бы следы ее существования. Размышляя на эту тему, некоторые приходят к выводу, что люди привыкли понимать разумность только в человеческом ее варианте, а в качестве следов разумной жизни рассматривать искусственно созданные технические сооружения.
Да, действительно, для человечества прогресс – это прежде всего именно технический прогресс. Однако можно предположить, что техника – не единственно возможный способ проявления разумности. Возможны другие «пути эволюции» и другие свидетельства существования сознания, которые человек просто не замечает в силу того, что привык все «судить по себе».
Некоторые считают, что таким альтернативным путем прогресса существ, обладающих сознанием, является целенаправленное регулирование природных процессов, которое осуществляют неизвестные разумные обитатели далекой планеты. Им удалось создать крайне комфортную естественную среду обитания: сделать животных покладистыми (например, вместо самолетов эти существа летают на дрессированных птицах), растительность обильной, уничтожить паразитов и т. д.
Конечно, такая планета – фантастический идеал, который на Земле не достижим хотя бы в силу того, что к ХХI веку человечество уже успело безвозвратно расстроить естественный баланс экосистемы. Но можно предположить, что альтернативным путем прогресса для нас может стать гармонизация общества, целенаправленное управление социальными процессами.
Действительно, чем ближе к современности, тем больше происходит сближение технической, социальной и гуманитарной сфер. Так, сегодня все чаще говорят о «социальных технологиях», «социальном проектировании», «социальной инженерии».
Изначально ремесло и инженерия рассматривались только как деятельность в технической сфере, и были ориентированы на создание искусственных материальных объектов. Но позже становится очевидным, что инженерный подход к конструированию и управлению может и даже должен быть использован в отношении не только технических, но и социальных систем.
Впервые эта идея появляется, пожалуй, в эпоху Нового времени , когда по Европе прокатилась череда буржуазных революций, результатом которых стало установление нового социально-экономического строя – капитализма. Отличительной чертой последнего, кроме всего прочего, являлось то, что он требовал от человека совершенно нового отношения к самому себе, собственному труду и к обществу, в котором он живет.
Так, рабовладельческий строй и феодализм складывались «сами по себе», не требовали от индивида каких-либо усилий. Действительно, раб и крепостной – точно так же как и рабовладелец и феодал – врожденные социальные статусы. В отличие от этого, капитализм и рыночные отношения требуют от человека личной активности, инициативы, предприимчивости, умения рисковать и принимать самостоятельные решения.
Параллельно с этим изменяется и отношение человека обществу, в котором он живет. Социальный порядок перестает рассматриваться как данный от века или установленный Божьей милостью.
Теперь общество – это прежде всего поле деятельности человека, пространство его самореализации. Это порождает идею, что общество, точно так же, как и техника , может и должно быть предметом сознательной деятельности: его можно целенаправленно перестраивать, совершенствовать, управлять его развитием и т.д., пусть и путем революционных переворотов.
Восстания и бунты сопровождали историю человечества всегда, однако до 17-18 вв. их целью было не переустройство всего общества, а лишь улучшить положение угнетенного класса или даже поменять его «местами» с господствующим . Например, восстание Спартака было направлено не на уничтожение рабства как такового, а лишь на освобождение самих рабов. В отличие от этого, Великая французская революция, например, претендовала на переустройство общества в целом, основание нового социального порядка на принципах свободы, равенства и братства.
Идея создание нового, совершенного общества была, видимо, очень привлекательной и казалось относительно легко реализуемой. Поэтому вплоть до середины ХХ в., как пишет исследователь В. А. Луков [1, с. 28] , концепции всевозможных утопий и «прожектов» (социальных проектов) просто витали в воздухе, а фигура «прожектора» (автора социальных проектов и утопий) была очень часто встречающейся в среде интеллигенции. Однако после сталинского ГУЛАГа и гитлеровских концлагерей ни у кого не осталось сомнений, что попытки создать идеальное общество на практике всегда оплачиваются миллионами человеческих жизней.
Возможно поэтому сегодня цивилизованные страны отказались от идеи крупномасштабных социальных проектов, ставящих перед собой задачи изменить общество, «вывести» или воспитать совершенного человека и т. п.
На смену им приходят более индивидуализированные действия – на уровне отдельных социальных групп или даже индивидов. Это можно понять по аналогии с тем, как физика, во времена Ньютона оперировавшая предметами макромира, в конце 19 — нач. 20 в. обратилась к изучению микрочастиц.
Подобно этому, на смену социальному проектированию, о котором говорит В. А. Луков, приходит социальная инженерия.