Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Брешь в конфиденциальности (Практика использования сети Интернет в конкурентной разведке)

Стремление людей к общению заложено в самой природе человека. С появлением Internet люди не поменяли своих привычек, продолжая решать личные проблемы через корпоративные средства связи. Однако, к сожалению, далеко не всегда это обходится без последствий для предприятия.

Аудит общения

С появлением Internet, электронной почты, форумов и чатов люди наконец-то получили возможность при минимальных затратах общаться в реальном масштабе времени, не задумываясь о местонахождении собеседников. Однако, как это часто происходит, с решением старых проблем появляются новые — люди не поменяли своих привычек. И если раньше с рабочих телефонов обсуждались домашние и частные проблемы, то сегодня к этому добавилось использование корпоративного почтового ящика в личных целях.

Поскольку это явление не создает видимых финансовых затруднений, в компаниях обычно вообще не считают его проблемой и просто игнорируют. Однако безобидность подобного явления на поверку оказывается иллюзорной. Ряд примеров, взятых из практики консалтинга в сфере конкурентной разведки, показывает проблемы, созданные исключительно тягой людей к общению на фоне бездействия служб информационной безопасности предприятий. Имеются факты, когда неграмотное пользование корпоративной электронной почтой позволило специалистам в области конкурентной разведки относительно быстро идентифицировать носителей конфиденциальной информации предприятия и сделало возможным получение от них необходимых данных.
Во всех этих случаях люди, попавшие в поле зрения подразделения конкурентной разведки, использовали в личных целях корпоративную электронную почту, содержащую в адресе псевдоним (ник, nickname) пользователя и доменное имя компании.

Приведенные в статье названия компаний, а также личные имена и ники сотрудников — вымышленные. Область работы компаний на рынке также изменена, однако для того чтобы картина исследования была как можно ближе к реальной и стали более понятны выводы, лежащие в основе принятия решений, принципы написания вымышленных личных имен и ников полностью соответствуют реальным.

Специалисты по конкурентной разведке провели два отдельных исследования по открытым источникам с использованием поисковых систем Yandex, Rambler, Google. В первом случае стояла задача осуществить аудит предприятия с целью обнаружения несанкционированной руководством информации о компании в Internet. Во втором случае проводилось исследование предприятия-конкурента.

Изучалось предприятие ООО «Домайн», продающее замороженные продукты. Запрос «Домайн замороженные» был размещен в каждой из поисковых систем. В числе первых среди найденных страниц оказался сайт этой компании — www.domain.ru. C помощью услуги проверки доменного имени на Web-сервере компании ArtisMedia было установлено, что имя действительно зарегистрировано на данное предприятие. После этого исследователи провели поиск, включавший в себя фразу:

в Yandex: +«domain.ru» &&+(форум|чат|объявление|куплю|продам| познакомлюсь|знакомство|forum|chat);
в Google: “domain.ru” форум|чат|объявление|куплю|продам|
познакомлюсь|знакомство|forum|chat.

В результате были получены ссылки на несколько форумов, чатов, объявлений о купле-продаже квартир и автомобилей, где сотрудники этой компании публиковали свои сообщения. Большинство из них информационной ценности для целей исследования не представляло, однако внимание привлекли два человека, часто присутствовавшие в Сети.

Общительный системный администратор

Первый фигурировал под ником Ildar_P, был постоянным посетителем форума, посвященного компьютерам, и в своих регистрационных данных указал адрес электронной почты domain@domain.ru. Анализ его сообщений позволил предположить, что это квалифицированный специалист в области компьютерного оборудования, сетевых технологий и операционных систем. Принимая во внимание имя пользователя (ник domain) в электронной почте, исследователи сделали вывод, что имеют дело с системным администратором компании, которого зовут Ильдар. Как показывает практика, пользователи довольно часто связывают ник со своим настоящим именем, фамилией или должностью. В частности, командная должность нередко находит свое отражение в нике. Подобное явление хорошо известно психологам на примере армии: даже в случаях, когда подчеркивается необходимость соблюдения секретности при общении в эфире, большинство командиров берут себе позывной «Первый».

Информация о том, что имя системного администратора корпоративной сети стало быстро известно посторонним людям (в данном случае специалистам по конкурентной разведке), оказалась для руководителя предприятия неожиданностью. Мало того, Ильдар на форуме достаточно подробно рассказывал, например, о принципах настроек защиты сервера своей компании, что само по себе несет угрозу ее информационной безопасности. Системный администратор, знающий о компании практически все, — это не тот человек, которого надо выставлять на всеобщее обозрение в Сети.

Руководитель предприятия счел инцидент заслуживающим самого пристального внимания ввиду его потенциальной опасности. Однако в силу своих личностных качеств он не был склонен драматизировать ситуацию до такой степени, чтобы последовали организационные выводы. Вместе с тем было очевидно, что ситуацию надо исправлять. Речь шла именно об исправлении, а не о профилактике рецидивов, так как системный администратор, лучше многих других понимая опасность произошедшего, первым заявил, что не допустит повторения подобных промахов впредь.

В то же время и для руководителя, и для системного администратора было очевидно, что убрать из Сети уже попавшую в нее информацию не представляется возможным. Более того, не было никакой гарантии, что информация уже не оказалась в руках заинтересованных лиц.

Принцип Али-Бабы

Специалисты по конкурентной разведке предложили применить стандартную схему, направленную на предотвращение утечек информации из первичных источников. Такая схема оправдана в случае выявления утечки информации, например, по каналам связи или с помощью «жучков». Надо отметить, что в описываемом примере сложилась более благоприятная ситуация, чем при обнаружении «жучков»
(в этом случае неизвестно, что именно люди успели «наговорить в микрофон»): объем утечки был более очевиден, хотя, разумеется, следовало помнить о вероятности, что потенциальный недоброжелатель мог найти нечто такое, что аудиторы упустили из виду.

Предложенный вариант защиты можно назвать принципом Али-Бабы: если невозможно стереть крестик на своей двери, то надо нарисовать крестики на остальных. Как и в случае с «жучками», было бы совершенно неправильно прерывать «трансляцию». Более верное решение — продолжать выдавать информацию, но не истинную, а искаженную, постепенно отклоняя вектор фактов и выводов от реальных. Делать это следует до тех пор, пока в результате этих логичных внешне отклонений информация не перестанет соответствовать истинному положению вещей. При этом нужно создать иллюзию постепенного сворачивания активности на форуме, мотивировав это правдоподобной причиной. В случае с системным администратором осуществить это было достаточно легко.

После того как аудиторы оценили общее количество публикаций за последние три месяца (их оказалось 27) и число тех из них, где рассказывалось о настройках системы защиты (две), было принято решение в течение следующих трех месяцев дать еще 20 публикаций, с постепенным уменьшением «выходов в эфир». При этом в трех сообщениях первой десятки говорилось об изменениях в настройках защиты, а в 11-м — о том, что системный администратор сменил место работы, и поэтому времени на участие в форуме у него будет теперь меньше. Одновременно со «сменой места работы» изменился и адрес электронной почты на ikp@mail.ru. Поскольку системный администратор не считал важным для себя оставаться на форуме под прежним именем, он заранее зарегистрировался под другим ником и после 20-го сообщения сохранил свое присутствие только под новым именем. Надо отметить, что на некоторых форумах их участники получают «звания» и «регалии», что для многих оказывается важным, поэтому безболезненно убрать с форума любителя поговорить в онлайне не всегда удается.

Очевидно, данный инцидент произвел на системного администратора неприятное впечатление. Он стал реже публиковать свои сообщения, прекратив писать фразы наподобие «У нас на работе...».

Руководитель предприятия решил пойти на такие, возможно, чрезмерные по отношению к масштабам происшествия меры по двум причинам.
Во-первых, личность системного администратора предприятия должна быть если не засекречена, то, по крайней мере, не афишироваться. В противном случае при осуществлении недружественных действий в отношении компании у нападающей стороны появляется возможность быстрой нейтрализации тем или иным способом человека, который в состоянии находить, уничтожать или изменять информацию в системе, что резко снижает способность компании к сопротивлению. Кроме того, системный администратор — носитель информации о доступе практически ко всем конфиденциальным данным, поэтому при определенных обстоятельствах он может быть подвергнут давлению криминального характера. Наконец, знание должности, имени и электронного адреса человека открывает широкий простор для деятельности «социальных инженеров», манипулирующих собеседниками и моделирующих мнимую ситуацию для того, чтобы заставить его выдать нужную информацию. Подобные знания могут, например, позволить злоумышленнику задавать вопросы пользователям компьютерной сети предприятия о паролях доступа в систему от имени администратора сети. Причем сделать это можно как по телефону, так и по электронной почте. Редкий пользователь, увидев, что электронное письмо пришло с адреса системного администратора, станет проверять его истинный источник и обратный адрес, особенно в конце рабочего дня и при наличии внешне достоверной формулировки вопроса.

Во-вторых, руководитель предприятия, услышав от специалистов по конкурентной разведке о существовании типовых решений для подобных ситуаций, захотел провести своего рода «учения» по поставленной проблеме. 

Любитель автомобилей и флирта

Второй сотрудник «Домайна», попавший в поле зрения при аудите компании, регулярно продавал свои подержанные автомобили и покупал взамен них другие и, кроме того, активно общался с девушками. Благодаря его «стараниям» адрес электронной почты serjikoph@domain.ru и характерный ник SerjikOPH по количеству упоминаний в Сети приближались к общему количеству упоминаний о фирме. Более того, на одном из Internet-ресурсов, посвященных знакомствам, рядом с рассказом, иллюстрирующим его достоинства и предпочтения, был опубликован портрет этого общительного человека. Для подтверждения имени данного персонажа специалистам по конкурентной разведке даже не пришлось никого спрашивать — Сергей сам написал его рядом со своим фото. Руководитель предприятия, увидев этот портрет, узнал в нем специалиста отдела маркетинга, допущенного ко всей информации о маркетинговых проектах предприятия и его иногородних филиалов. Чем это могло быть потенциально опасно для компании? Чтобы точнее ответить на этот вопрос, необходимо немного теории и аналогий.

Согласно ставшим уже классическими взглядам, одна из важнейших задач конкурентной разведки — предоставление руководству компании информации о том, где относительно конкурентов находится компания сейчас и где она окажется завтра. Разумеется, знание планов конкурента позволяет компании принять наиболее правильное решение о положении на рынке. Это настолько важно, что, например, крупные американские компании, торгующие зерном, тратят значительные суммы на покупку снимков из космоса, на которых запечатлены поля в странах-производителях сельскохозяйственной продукции. В результате такого контроля имеется возможность раньше и точнее конкурентов прогнозировать ситуацию на рынке. В данной ситуации ставки, безусловно, намного меньше, но различия ограничиваются лишь масштабами. Для руководства компании-конкурента иметь источник информации о решениях, принятых внутри «Домайна», — настоящая удача. Если к этому добавить, что для регулярного получения подобной стратегической информации достаточно лишь немного пива (о том, что данный маркетолог является большим почитателем этого напитка, он сам любезно сообщил на форуме, рассказывая о своих увлечениях), то конкуренты в лице специалиста отдела маркетинга могли обрести ценный источник информации.

Для получения информации на регулярной основе достаточно было выйти из виртуального в реальный мир, воспользовавшись, например, склонностью маркетолога вступать на форумах в спор по любому поводу, и заключить с ним пари на ящик пива о чем угодно, главное — с заведомо проигрышным для специалиста по конкурентной разведке результатом. После личного знакомства, вероятнее всего, контакт будет налажен и можно рассчитывать на то, что встречи за кружкой пива станут постоянными — ну как же в такой ситуации не заговорить о работе!

Подобное получение информации — отнюдь не плод воображения. Артур Вайс, английский консультант и тренер по конкурентной разведке, ведущий открытых и корпоративных семинаров, приводит такой пример. На одном из западных предприятий имелась технологическая проблема, над которой в течение полутора лет бились его инженеры. В результате руководство подключило к решению проблемы подразделение конкурентной разведки, специалист которой посоветовал руководителю отдела маркетинга предприятия на собрании, где присутствуют сотрудники разных служб, публично пожаловаться на то, что разработчики компании не могут справиться с проблемой. При этом требовалось подчеркнуть, что у одного из конкурентов эта проблема каким-то образом решена. В результате через две недели секрет конкурентов стал известен — один из сотрудников компании играл в футбол вместе с инженером конкурирующего предприятия и как бы невзначай расспросил его об интересующей компанию проблеме. Даже на Западе друзья разговаривают о работе...
Любовь маркетолога к пиву и общению с прекрасным полом, по мнению директора компании, давно мешала его эффективной работе, но ни дисциплинарные взыскания, ни лишение премии не помогали. Обнаруженный факт поведения сотрудника в Сети стал последней каплей — маркетолог был уволен.

Исследование предприятия-конкурента

Данное исследование проводилось в отношении главного конкурента предприятия «Домайн» — компании ДМНН, что, с одной стороны, лишало исследователей возможности перепроверки полученной информации, но с другой — позволяло убедиться в ценности деятельности специалистов по конкурентной разведке, так как работа велась по целям, указанным заказчиком исследования, а не в режиме «свободной охоты», как в предыдущем примере.

После исследования сайта предприятия был проведен поиск по доменному имени как фрагменту адреса электронной почты — «dmnn.ru». Одна из найденных таким образом страниц представляла собой книгу отзывов на первой странице сайта организации, занимающейся обучением. В книге было зафиксировано сообщение, связанное с адресом lesya_myl@dmnn.ru и содержавшее указание на то, что автор отзыва — заместитель финансового директора компании, в отношении которой производилось исследование. После этого был проведен поиск по нику «lesya_myl», и на одном из форумов, посвященном банковской деятельности, обнаружилась участница с таким же ником, но с другим адресом электронной почты lesya_myl@mail.ru, дававшая подробные объяснения из практики своего предприятия по поводу различных схем работы с банками и лизинговыми организациями. О том, что это женщина, свидетельствовали тексты ее сообщений, содержащие фразы «я подумала...», «я пришла...» и т. п.

На момент проведения исследования в форуме имелось шесть ее сообщений, отвечавших на вопросы посетителей форума и рассказывающих о плюсах и минусах конкретной финансовой схемы. Каждый участник форума мог задать практически любой вопрос и получить конкретный ответ. С высокой степенью вероятности можно было предположить, что при ответах данная специалистка прежде всего использовала свой опыт работы в компании ДМНН. Во всяком случае, в предыдущих ответах она прямо ссылалась на опыт своего предприятия, употребляя в предложениях фразы: «наша фирма делает это так...» или «по моему опыту...». Люди, как правило, склонны скрывать информацию, выясняемую прямо, если не уверены, как она будет использована, но в то же время легко ее выдают, если не чувствуют подвоха.

Все это оказалось весьма кстати для компании «Домайн», директор которой полтора года пытался узнать о том, как конкретно его конкурент осуществляет обсуждаемые на форуме алгоритмы работы. Методика, о которой любезно рассказала на форуме госпожа с ником lesya_myl, с одной стороны, открывала доступ к некоторым финансовым ресурсам, а с другой — требовала задержки мероприятий, проведение которых ставило бы под угрозу финансовую стабильность предприятия.

Информация, обнаруженная специалистами по конкурентной разведке, сама по себе еще не давала возможности начать работу с новыми партнерами по новой схеме, но, во-первых, она восполняла пробелы в опыте директора компании «Домайн» по проведению финансовых операций, а во-вторых, давала шанс впоследствии анонимно уточнить дополнительные вопросы. «Разведчики» смогли выяснить имя финансового директора компании-конкурента — Олеся Миляева. Гипотезу о том, что речь идет именно об этой персоне, выдвинул директор «Домайна», ставивший задачу по проведению исследования: давно работая на рынке, руководитель знал имена ключевых менеджеров компаний-конкурентов. Для проверки гипотезы специалисты по конкурентной разведке позвонили в компанию ДМНН по номеру телефона, взятому из справочника оптовых цен и поставщиков. Звонок попал в отдел сбыта и был переадресован секретарю генерального директора. Специалисты по конкурентной разведке объяснили, что хотят обратиться к финансовому директору с письмом-заявкой и уточняют его имя и название должности. Информация о том, что финансовый директор компании ДМНН и Олеся Миляева — одно и то же лицо, получила окончательное подтверждение.

Что делать?

Изменения в средствах коммуникации не только облегчили общение людей между собой, вопреки расстояниям и отсутствию личного знакомства между людьми, но и создали новые возможности для получения конфиденциальной информации через достаточно очевидные бреши в системе защиты предприятий. Конечно, это не призыв ограничить общение, однако следует принять ряд мер к тому, чтобы, сохранив плюсы такого общения, избавиться от минусов:

  • запретить сотрудникам в личных целях использовать адрес электронной почты на корпоративном домене;
  • рекомендовать применять в корпоративных именах нейтральные ники, что усложнит идентификацию пользователя, решившего публиковаться на других ресурсах;
  • проводить с сотрудниками разъяснительную работу о важности соблюдения правил безопасности;
  • регулярно проводить мониторинг Сети для своевременного выявления нарушений установленных правил.

Однажды составленный запрос, дающий высокорелевантный результат, можно использовать многократно для автоматического мониторинга информации, имеющейся в Internet по заданной проблеме. Например, наиболее ценной для предприятия «Домайн» была информация о должностных и физических перемещениях ключевых сотрудников и руководителей компании-конкурента, а также событиях, с ними связанных: интервью, участие в информационных обзорах, рекламе и т. п. Такой мониторинг может проводиться с помощью программ Check & Get или WebSite Watcher, позволяющих автоматически повторять поиск через указанные промежутки времени, и не только сигнализирующих о том, на каких сайтах произошли изменения, но и отмечающих строки изменений.

Best of Security

Комментарии

Страницы комментариев: 1 :: 2 :: 3 :: следующая

Атос, Пт 30 янв 2015 12:10:24:
Ребята, что вы налет ели, как волки!? Не нравится, не читайте. Думаете, что умнее других, пишите вы. И мы оценим ваши познания.
lesya_myl, Пт 04 дек 2009 17:02:54:
Чмоки-чмоки 8)
SerjikOPH, Пт 04 дек 2009 17:01:59:
Всем приветулины =))
SerjikOPH, Пт 04 дек 2009 17:01:38:
Привет, Ildar_P, Ты тоже здесь ?? А что тут происходит?
Ildar_P, Пт 04 дек 2009 17:00:55:
Блин, какого... ??
BaшпapeнЬ, Ср 03 дек 2008 05:12:23:
Хм… А мне вот кажется, минусы в этом случае прилично превосходят плюсы.
Мекс, Ср 22 окт 2008 03:33:24:
Народ в подобных случаях говорит - Ахи да охи не дадут подмоги. :)
Илья, Сб 04 окт 2008 08:10:01:
А если это не большой секрет;), автор блога откуда родом?
Юрий Стог, Вт 16 сен 2008 23:34:47:
Пока полностью непонятно, что там такое происходит, но на 100% могу сказать, что это не в лучшую сторону!
Виктор, Вс 03 авг 2008 23:15:33:
Читал про это уже на каком то другом сайте, но у вас гораздо интересней написано ;)

Страницы комментариев: 1 :: 2 :: 3 :: следующая

Ваш комментарий

Имя:

Текст комментария (HTML-теги не допускаются):

Новости мира IT:

Архив новостей

Последние комментарии:

Loading

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 985 1945361
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2015 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...