Размещено на http://www.allbest.ru/

АНОТАЦИЯ

Информация является одним из наиболее ценных ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных бизнес-задач.

С каждым годом и месяцем технические системы защиты все больше и больше совершенствуются за счет постоянного развития современных технологий, учета множества потребностей и различных рисков. К грамотно отстроенным техническим системам защиты можно длительное время не подходить и последние будут исправно выполнять свои основные функции и задачи. Что нельзя сказать о человеке. Люди, так и будут оставаться людьми, со своими слабостями, предрассудками, стереотипами, являясь самым слабым звеном в цепочке безопасности.

В данной работе пойдет речь об эксплуатации «человеческого фактора» при намеренном воздействии (атаке) на который, самые совершенные и дорогостоящие системы защиты, становятся ненужными, неэффективными, попросту игрушками. В современном мире такое воздействие принято называть социальной инженерией.

В работе рассматривается, что такое социальная инженерия в контексте защиты информации. Её происхождение как науки и основных составляющих компонентов. Попытаемся выяснить, кто такие социальные инженеры, какой рейтинг новой угрозы (социальной инженерии) приводит международная статистика, какими знаниями социальные инженеры могут обладать, рассмотрим психологическую составляющую, которую социоинженеры повсеместно используют в своей деятельности и в завершении будет приведен набор методов и средств защиты информации от социальной инженерии.

Данная работа не является исчерпывающей и не может заменить собой ни одну из имеющихся на сегодняшний день научных работ, книг, статей, иных документов по данной тематике. Она не является инструкцией или методическим руководством. Работа является информационно-аналитической введением в предметную область и заставляет читателя прийти к основной мысли сформулированной международным экспертом по безопасности Брюсом Шнайером, что «безопасность - это непрерывный процесс, а не результат» и избавляет читателя от иллюзии абсолютной защищенности, как отдельно взятого человека, так и компании в целом.

Работа будет интересна специалистам профилирующих кафедр по защите информации, информационным технологиям, менеджменту организаций. Также представляет интерес для руководства высшего звена компаний, IT-подразделений и подразделениям по информационной безопасности, сотрудникам службы безопасности, менеджерам по обслуживанию и техническим менеджерам, сотрудникам службы поддержки, менеджерам по коммерческой деятельности, а также всем читателей, проявляющих интерес к данной теме.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ИССЛЕДОВАТЕЛЬСКАЯ ЧАСТЬ

1.1 КОНЦЕПЦИЯ ГАСТЕВА А.К. О СОЗДАНИИ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ КАК НАУКИ

1.2 ОПРЕДЕЛЕНИЕ ПОНЯТИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ И ЕЁ НАПОЛНЕНИЯ

1.2.1 Несколько важных отличительных деталей

1.2.2 От Франкфуртская школы к кибернетике и социальной инженерии

1.2.3 Обобщение состава вхождения наук и методов в социальную инженерию

1.3 СОВРЕМЕННОЕ ПРИМЕНЕНИЕ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

2. КОНСТРУКТОРСКАЯ ЧАСТЬ

2.1 СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ В ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ

2.2 ДВА ПРОТИВОПОЛОЖНЫХ ПОДХОДА В СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

2.2.1 Прямая социальная инженерия

2.2.1.1 Несколько слов об аттракции.

2.2.2 Обратная социальная инженерия

2.3 ВЗГЛЯД НА ПРОБЛЕМУ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ МЕЖДУНАРОДНОЙ СТАТИСТИКИ

2.3.1 Исследование проблемы утечки информации в России

2.3.1.1 Портрет респондентов

2.3.1.2 Угрозы информационной безопасности в России

2.4 НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ ОБЛАСТИ ПРИМЕНЕНИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

2.4.1 Финансовые махинации в организации

2.4.2 Бесплатное приобретение программных продуктов

2.4.3 Бесплатный наем рабочей силы

2.4.4 Информация о маркетинговых планах организации

2.4.4.1 Выставки

2.4.4.2 Интервирование ключевых лиц компании

2.4.5 Кража клиентских баз

2.4.6 Рейдерские атаки

2.5 ОБЩАЯ КЛАССИФИКАЦИЯ АТАК И СВЯЗАННЫЕ С НИМИ УГРОЗЫ, ОСНОВАННЫХ НА МЕТОДАХ СОЦИОТЕХНИКИ

2.5.1 Сетевые угрозы

2.5.1.1 Угрозы связанные с электронной почтой

2.5.1.2 Вредоносные программы

2.5.1.3 Потенциально опасные программы

2.5.1.4 Программы-шпионы

2.5.1.5 Рекламные коды или adware

2.5.1.6 Всплывающие приложения и диалоговые окна

2.5.1.7 Спам

2.5.1.8 Интернет-пейджеры или служба мгновенного обмена сообщениями

2.5.1.9 Приложения класса peer-to-peer

2.5.1.10 Угроза судебного преследования

2.5.1.11 On-line игры

2.5.2 Телефонные атаки

2.5.2.1 Корпоративная АТС/УАТ

2.5.2.2 Техническая служба поддержки

2.5.2.3 На конечного пользователя

2.5.2.4 С использованием технологии VoIP

2.5.2.5 На мобильного пользователя

2.5.3 Поиск информации в мусоре

2.5.4 Персональные (личностные) подходы

2.5.5 Обратная социальная инженерия

2.5.6 Инсайд

2.5.6.1 Угроза утечки конфиденциальной информации

2.5.6.2 Обход средств защиты от утечки конфиденциальной информации

2.5.6.3 Кража конфиденциальных данных по неосторожности

2.5.6.4 Нарушение авторских прав на информацию

2.5.6.5 Мошенничество

2.5.6.6 Нецелевое использование информационных ресурсов компании

2.5.6.7 Саботаж ИТ-инфраструктуры

2.6. НЕКОТОРЫЕ ПРИМЕРЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

2.6.1 Интернет мошенничество

2.6.2 Примеры из практики специалистов по аудиту безопасности

2.7 ОСНОВЫ СОЦИАЛЬНОГО ПРОГРАММИСТА ИЛИ ВВЕДЕНИ В ПСИХОЛОГИЮ ЛИЧНОСТИ И ГРУППЫ

Базовые концепции социального программирования

2.7.1 Трансактный анализ

2.7.2.1 Основные критерии определения параметров характера

2.7.3 Базовые понятия нейролингвистического программирования

2.7.3.1 Игра на человеческих слабостях

2.7.4 Немного о социальной психологии

2.7.4.1 Простая классификация групп

2.7.4.2 Групповые процесс

2.7.4.2.1 Несколько замечаний об антилидерстве

2.7.4.2.2 Краткая классификация видов конфликтного поведения в группе

2.7.4.3 Некоторые особенности толпы

2.7.5 Примеры социального программирования

2.7.5.1 Пожар в кинотеатре

2.7.5.2 Венки на трассе или черный пиар

2.7.5.3 Реклама и антиреклама посредством Интернет

2.7.5.4 Цыганка с картами, дорога дальняя

2.7.6 Управление слухами

2.7.7 Психологические основы поведенческой модели людей

2.7.7.1 Программа «Взаимопомощь»

2.7.7.2 Программа социального подражательства

2.7.7.3 Программа действия авторитета

2.7.8 Потенциальные инсайдеры на предприятии, или не удобные сотрудники

3. ТЕХНОЛОГИЧЕСКАЯ ЧАСТЬ

3.1 ВВЕДЕНИЕ

3.2 ОРГАНИЗАЦИОННЫЕ МЕРЫ

3.2.1 Права локальных пользователей

3.2.2 Стандартизация ПО и унификация платформы

3.2.3 Специализированные(нестандартные) решения

3.2.4 Работа с кадрами

3.2.4.1 Набор правил, который поможет подойти к решении кадрового вопроса грамотно

3.2.4.2 Подход к персонифицированной оценке рисков на основе определения лояльности

3.2.5 Внутрикорпоративная нормативная база

3.2.6 Хранение физических носителей и архивация данных

3.2.7 Система мониторинга работы с конфиденциальной информацией

3.2.8 Меры по защите корпоративного сайта

3.2.8.1 Защита сайта компании от снятия backup у хостинг-компании

3.2.8.2 Рекомендации по правилу ведения форума на сайте компании

3.2.9 Вопросы, которые должны быть рассмотрены в политике ИБ

3.2.9.1 Защита от ряда угроз

3.2.9.1.1 Фишинг

3.2.9.1.2 Вредоносные программ

3.2.9.1.3 Всплывающие диалоговые окна и приложения

3.2.9.1.4 СПАМ

3.2.9.1.5 Угроза судебного преследования

3.2.9.1.6 On-line игры

3.2.9.2 Защита с учетом используемых каналов передачи данных

3.2.9.2.1 Интернет-пейджеры

3.2.9.2.2 Приложения класса peer-to-peer

3.2.9.2.3 Телефония

3.2.9.2.4 Хранение и утилизация мусора

3.2.9.2.5 Социальный или личностный канал

3.3 ТЕХНИЧЕСКИЕ МЕРЫ

3.3.1 Два подхода к защите информации

3.3.1.1 Подход канальной защиты

3.3.1.2 Подход периметральной защиты

3.3.2 Какой из подходов выбрать

3.3.3 Защита от угроз

3.3.3.1 Фишинг

3.3.3.2 Фарминг

3.3.3.3 Вредоносные программы

3.3.3.4 Потенциально опасные программы

3.3.3.4.1 Рекламные коды или adware

3.3.3.5 Спам

3.3.3.6 On-line игры

3.3.3.7 Приложения класса peer-to-peer

3.3.3.8 Фильтрация мгновенных сообщений

3.3.3.9 Фильтрация VoIP

3.3.4 Unified Threat Management

3.3.5 Перехват данных

3.3.6 Ограничения хищения баз данных

3.3.7 Сводная таблица угроз и защиты от них

4. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ

4.1 ОСНОВНЫЕ ЭТАПЫ ПРОЕКТА

4.2 РАСЧЕТ ТРУДОЕМКОСТИ ПРОЕКТА

4.3 ОПРЕДЕЛЕНИЕ ЧИСЛЕННОСТИ ИСПОЛНИТЕЛЕЙ

4.4 СЕТЕВАЯ МОДЕЛЬ ПРОЕКТА

4.5 КАЛЕНДАРНЫЙ ГРАФИК ВЫПОЛНЕНИЯ ПРОЕКТА

4.6 АНАЛИЗ СТРУКТУРЫ ЗАТРАТ ПРОЕКТА

Таблица 4.6 Таблица 4.7. Расчёт затрат на оборудование и расходные материалы.

Таблица 4.8. Суммарные затраты на проекта.

4.7 ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА

4.7.1 Аналитический обзор центра Info Watch за 2007 г.

4.7.2 Расчет потерь компании при взломе одного автоматизированного рабочего места.

4.8 ВЫВОДЫ.

5. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

5.1 ВВЕДЕНИЕ

5.2 ПОДХОДЫ К ПРАВОВОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ ВНУТРЕННИХ УТЕЧЕК

5.3 РЯД НЮАНСОВ СВЯЗАННЫХ С КОММЕРЧЕСКОЙ ТАЙНОЙ

5.4 ВЫВОДЫ

ЗАКЛЮЧЕНИЕ

РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА ДЛЯ САМОСТОЯТЕЛЬНОГО ИЗУЧЕНИЯ

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

ВВЕДЕНИЕ

В современном мире, в котором ключевую роль играет информация, как признак человеческого развития, его жизнедеятельности, интеллектуального развития, как средство достижения тех или иных целей, как инструмент влияния, значимости, управления и власти, значительную роль играют методы, средства, механизмы получения информации и как следствие - механизмы зашиты этой информации.

Современный уровень технологий, интенсивное развитие научно-технической базы, регулярное выделение ряда направлений в новые науки, появление совершенно новых теорий и подходов, современное социальное, экономическое и политическое развитие общества, все более увеличивающаяся и усиливающаяся коммерционализация, ведут к появлению перепроизводства, жесткой рыночной конкуренции (в государственном и частном секторе), постоянному поиску новых рынков сбыта с целью получения максимальной прибыли и выгоды для себя. Это может быть, как желание многократно вернуть затраты на новые технологии, разработки и сами исследования, предшествующие этим разработкам, так и создание монополий на те или иные виды товаров и услуг. В любом случае, сегодня немногие компании занимаются собственным производством, ведут «честные правила» рыночной игры и используют в своей деятельности «белые» схемы ведения финансового учета, т.е. недобросовестная конкуренция, получила новый виток своего развития. Появилось немало компаний, а также независимых специалистов, которые в своей работе используют методы и средства коммерческой разведки, занимаются сами или заказывают «на стороне» информацию, получаемую посредством коммерческого или промышленного шпионажа. Все эти и многие другие факторы, способствуют совершенствованию методов получения, накопления, обработки, передачи и хранения информации, как и её утилизацию. Сегодня, даже самая разрозненная информация о предприятии и её сотрудниках, отдельной взятой личности, или проектах, умело собранная в одном месте «по требованию», может оказаться очень значимой по своему содержанию. Как следствие, увеличивается стоимость и значимость информации. Информационные технологии перестали жить обособленно своей жизнью, вместе с IT-подразделениями и отдельно взятыми специалистами, и стали в большей степени участвовать в бизнес-процессах каждой компании, повышая эффективность работы компании и используемых средств производства, увеличивая её активы. В свою очередь, это не могло не отразиться на регулярно изменяющихся требованиях, критериях и подходах к защите информации. Нынешние требования перестали быть бессвязными и хаотичными, как это было в начале и середине 90-х. Теперь они диктуемы международными организациями, сообществами, государством, стандартами и сертификатами, отдельно взятыми специалистами по защите информации, IT-специалистами, руководством предприятий и самой насущной необходимостью.

В наши дни, понятие risk management не вводит в шок, не является ругательством, перестало быть пугающим, и специалисты, владеющие такими навыками, приобретают высокую рыночную стоимость, а также востребованность на государственном уровне и в частном секторе. Большее число компаний начинает учитывать информационные риски, и осуществляют попытки просчитывать их своими силами или приглашая специализированные компании. Но в отличие от наших западных соседей, наша страна находится в стадии зарождения восприятия и понимания данной проблематики, а также влияние её на увеличение капитализации каждой из компаний. Впрочем, это ожидаемый результат, как следствие отсутствия необходимой и должной подготовки руководства компаний по вопросам информационной безопасности, а также обширному набору информационных рисков, которому подвергается фактически каждая компания в нашей стране. В силу слабой законодательной и нормативной базы, только-только зарождающихся государственных механизмов в России сегодня, любой компании, независимо от формы собственности и организации, приходится учитывать большее число информационных рисков, нежели на западе. Схемы не столь прозрачны и просты, как могут показаться на первый взгляд. В нормативной базе этот вопрос описан достаточно образно и регулирует в большей степени только ту информацию, которую следует отнести к государственной тайне. Большинство западных стандартов и рекомендаций не могут использоваться в чистом виде по отношению к нашим условиям и требуют серьезной доработки и переработки для любой отечественной компании. Исключением могут быть транснациональные компании, в которых могут распространяться ряд стандартов, рекомендаций и учитываться best practice.

Тема информационных рисков очень сложная и интересная. Как правило, её могут наиболее хорошо и полно раскрыть специалисты, получившие многоцелевую подготовку и неплохо ориентирующиеся в различных областях. Обязательно, имеющие стаж трудовой деятельности в качестве аналитиков, специалистов соответствующих подразделений и руководителей, начиная от среднего звена, ответственных за разработку стратегий и бизнес-процессов компании. Указанные требования позволят максимально полно учесть риски компании. Но, бывают исключения, т.к. следует учитывать размер и деятельность компании, её партнерские отношения и клиентуру, законодательную базу страны и экономический уровень развития страны, желание самих студентов и специалистов развиваться и совершенствовать свои навыки. А это в свою очередь зависит еще и от принадлежности конкретного человека к психологическому портрету и типологии человека и факторам, обуславливающие его социальный быт и жизнедеятельность.

Описание большинства информационных рисков и разновидностей аудита информационной безопасности, не является темой данной работы. Я решил остановиться на одном из самых ключевых и важных информационных рисков на сегодняшний день. Речь идет о социальной инженерии в контексте защиты информации. По мнению специалистов Gartner Group и их руководителя исследовательской группы Рича Могулла, в результате проведенных ими исследований на начало 2007 года «именно все более совершенствующиеся методы социальной инженерии, применяемые для взлома средств защиты, будут нести в себе самую большую угрозу информационной безопасности в ближайшие десятилетия». Он считает социальную инженерию угрозой №1 при решении проблемы защиты внутренней корпоративной информации. Из собственного опыта, и изучаемых материалов на протяжении длительного времени могу с досадой и сожалением добавить, как на государственных предприятиях, так и в частном секторе, этому риску придавали и продолжают придавать посредственное значение.

Социальная инженерия сложна в восприятии и понимании, в силу сложности корректности установления связей, «что может следовать из чего». Это восприятие и понимание ко всему прочему в нас притупляется, как искусственно, так и в силу социальной среды в которой каждый из нас живет. Сами того не желая, с методами социальной инженерии мы сталкивается каждый день, начиная с дома (это реклама по ТВ и масса передач социополитического характера, наши дети), продолжая в магазине и транспорте, и завершая на работе. Требуется целостность подходов к самой организации управления компанией от рядового сотрудника до совета директоров. Обязательно, воспитание мышление каждого из сотрудников компании, прививание им корпоративной культуры. Таким образом, без сбалансированности организации и механизмов управления в компании, замотивированости каждого из сотрудников компании, как на собственный интерес работать в компании, так и на получения общего результата и достижения целей компании, начиная от отдельно взятого подразделения и фактическим результатом компании в целом, вероятность уменьшения риска социальной инженерии мала. Это обусловлено тем, что недостаточно учитывать только технологические угрозы информационной безопасности и прикладные навыки, которые могут использовать в своей повседневной работе стратегические подразделения - IT-служба, подразделение или группа защиты информации, служба безопасности. При этом, мы стараемся привить мнение, что сотрудники данных подразделений имеют хорошую подготовку.

Совершенный уровень телекоммуникаций, высокий уровень развития Интернет технологий и сама его доступность в связи с комерционализацией данного сервиса, как для отдельно взятого человека из дома, так и любой компании, существование которой сегодня не представляется без этого сервиса, позволяет злоумышленнику с меньшими для себя затратами получить интересующую его информацию. Обилие интернет порталов наводненные различной технической информацией по методам проникновения и взлому систем, масса технического материала и готовых инструментов/ средств (в виде сетевых сканеров, троянских программ, руткитов, программных закладок, и другого зловредного исполняемого кода и приложений) позволяют желающему человеку получить необходимые и достаточные теоретические и практические знания по информационным технологиям. В частности, позволяет: освоить технологию программирования; освоить несколько языков программирования; изучить сетевые технологии; научиться администрированию различных операционных системы и серверные приложения (как платформеннозависимых, так и платформеннонезависимых от неё); разобраться в ряде современных информационных технологий; научиться выявлять уязвимость систем и программного кода; получить четкое представление о способе организации как проектных групп, так и управления предприятием в целом.

Современные «самоучки», и непосредственно состоявшиеся специалисты объединяются в сообщества программистов, хакеров, крекеров, кардеров и другие группы, управляемые, как правило, высококвалифицированным специалистом в данной области. По различным аналитическим данным возраст участников в таких сообществах и группах составляет от 13-14 лет до 35-38 лет включительно. Создаются специализированные открытые и закрытые интернет порталы, которые позволяют этим сообществам обмениваться материалами, опытом, наработками, брать на вооружения разные идеи и реализовывать их в жизнь, а также осуществлять координацию совместных проектов и набирать в свою команду новых рекрутов. Дополнительно, через эти порталы, осуществляется взаимодействие с подобными им сообществами, территориально разбросанными по всему миру. Также, предусматривается возможность индивидуальных встреч в специализированных клубах. Такое взаимодействие позволяет быстро получать требуемую информацию, добиваться желаемых целей и быстро обучаться и переучиваться. При этом, в подобных группах существует четкая иерархия управления. Людьми движет энтузиазм, общий род занятий в интересной им сфере, возможность учиться и пробовать неизведанное, становясь «гуру» в своем деле и быть персонами underground-культуры. Это позволяет эффективно управлять и манипулировать потенциалом участников группы. Обращает на себя внимание и тот факт, что 2-3 года назад, такие сообщества и их члены, начали специально изучать психологию, методы гипноза и различного манипулирования. В дальнейшем свои наработки и достижения обсуждаются между членами сообщества и предлагаются различные работающие схемы. Достаточно взглянуть на ежемесячные отчеты, публикуемые антивирусными лабораториями, ежегодные отчеты об убытках компаний и связанных с ними рисков, официально публикуемых IDC, Gartner Group, Computer Security Institute чтобы понять насколько эффективно происходит это обучение. Последний год, стали регулярными атаки с использованием методов социальной инженерии в сочетании со спам рассылками. Пользователь сам позволяет похитить свои конфиденциальные и личные данные, осуществить нарушителю «боковой вход» в корпоративную сеть. Попытки нарушения периметра безопасности корпоративных и пользовательских систем перестают быть хаотичными и больше принимают характер целенаправленных, осмысленных действий извне. Обращает на себя внимание злонамеренные действия инсайдеров. Число таких атак за последние три года увеличилось в разы, если не на порядок, по отношению к 2001 - 2004 годам.

Все это, и ряд других факторов, позволяют иначе взглянуть на проблему защиты информации. Следует изменить и саму подготовку обучения/переобучения специалистов по информационной безопасности, IT-специалистов и руководство компаний. Граница, при которой лояльный сотрудник компании становится инсайдером очень тонкая.

За полтора-два года, количество ссылок в Интернете по социальной инженерии увеличилось на порядок, но пройдя чуть больше 1500 ссылок используя такие поисковые системы как Yandex, Google, затратив немало времени на ознакомление с содержанием статей, я не обнаружил желаемой информативности и содержательности статей, обзоров и других материалов. Преимущественно, это дублирование порядка 20-30-ти статей, дополненных авторами разместивших их на своих сайтах или разделах форума. Впрочем, это понятно. Социальная инженерия - наиболее эффективный механизм для использующих его людей, компаний, кадровых агенств и самого государства. Он приносит колоссальные доходы и результаты, не требую при этом больших затрат. И раскрывать наиболее эффективные методы и средства производства в сегодняшние дни многим не выгодно. На лицо ощутим серьезный недостаток материалов и информации. Нельзя сказать, что её вообще нет, как и нет научных изданий, руководств и пособий. Их достаточно, но это недопустимые временные затраты для людей, желающих познакомиться в образовательных целях с методами социальной инженерии и работающих совершенно в других сферах науки и производства. Методы социальной инженерии, это пересечение большого числа наук, теорий и практик, что свойственно междисциплинарной науке. И изложение этого понятия в отечественной литературе ведется преимущественно в научном разрезе. Чтобы для себя подойти к сути вопроса, иметь структурированное представление и видеть прикладную часть, специалисту по информационным технологиям нужно приготовиться к рутинной работе по изучении новых для себя специальностей. Следует учесть, что восприятие и подготовка у каждого читателя всегда разная. В результате, наборы методов на выходе, о которых сложится представление у каждого конкретного человека, будут отличаться друг от друга, следуя от одного читателя к другому. В настоящий момент нет литературы, которая систематизировала бы такие знания. Западные учебники и издания по этой тематике представляют общеобразовательный интерес, хотя и не является бесполезным занятием. Их существенное отличие от наших изданий в том, что они прикладного характера и зачастую, более понятны. Но, они не могут служить руководством к действию, т.к. социальные общества иностранных государств и нашего, сильно отличны друг от друга, по восприятию, культуре, пониманию, традициям и формам «шаблонного поведения», а также технологическому уровню развития стран.

Чтобы закрепить написанное выше, имеет смысл немного углубиться в историю возникновения термина социальной инженерии, когда он получил свое официальное название и стал осмысленным. После чего мы сможем понять, насколько это понятие является практическим или образным, и какие науки являются для него образующими. Сможем подойти к пониманию, кто такой социальный инженер, какими знаниями он может и должен обладать. Опишем некоторый набор механизмов, средств, методов и инструментов, которые наиболее часто используются социальными инженерами. После чего, мы сможем перейти к непосредственному рассмотрению методов и средствам, способных обеспечить защиту информации от социальной инженерии. И в завершении, у нас сложится четкое понимание, для каких корпоративных структур и специалистов будут полезны в практико- теоретических целях знания социотехник.

1. Исследовательская часть

1.1 Концепция Гастева А.К. о создании социальной инженерии как науки

В международной практике, существует распространенное мнение, что социальная инженерия, как осмысленный устоявшийся термин появился в 60-е годы в американской социологии, и соответственно США явились родоначальниками его. Так ли это на самом деле?

В 20-30е годы XX века в нашей стране разворачивается мощное движение за научную организацию труда и управления производством, в котором важную роль сыграли прикладные разработки социальной инженерии.

Впервые в научный оборот понятие социальной инженерии ввел Алексей Капитонович Гастев - руководитель Центрального института труда (ЦИТ) в Москве [1]. Ученый поставил вопрос о комплексной совершенно новой науке о труде и управлении - прикладной "социальной инженерии". Эта наука была призвана дополнить прежнюю теоретическую социологию и решить проблему синтеза важнейших аспектов организации трудовой и управленческой деятельности: технического, психофизиологического, экономического. Гастев А.К. рассматривал социальную инженерию, как относительно самостоятельную отрасль исследований. Ее отличительная особенность заключалась в преимущественной направленности не столько на социальное познание (открытие научных фактов или эмпирических закономерностей), сколько на изменение социальной действительности (т.е. методический статус социотехники определялся ориентированностью на внедрение инновационных мероприятий и эффективных практических рекомендаций). Эта наука, по замыслу автора, находится на стыке социальных и естественных наук. Последняя, позволяет позаимствовать точные экспериментальные методы и приверженность к достоверным фактам. Сам Гастев А.К. так характеризует новую науку: «В социальной области должна наступить эпоха. . . точных измерений, формул, чертежей, контрольных калибров, социальных нормалей. Как бы ни смущали нас сентиментальные философы о неуловимости эмоций и человеческой души, мы должны поставить проблему полной математизации психофизиологии и экономики, чтобы можно было оперировать определенными коэффициентами возбуждения, настроения, усталости, с одной стороны, прямыми и кривыми экономических стимулов -- с другой» [1, стр. 30].

Предметом изучения А.К. Гастева являлись не вообще существующие управленческие процессы, а процессы, протекающие в различных сферах общественного производства. Структурно исследование производства включало в себя два раздела: научная организация производственного процесса, теоретической основой которого служили физиология и психология, и научная организация управления, теоретико-методологической базой которой выступала социальная психология. Предметом первой является рациональное соединение человека с орудием, а второго - взаимодействие людей друг с другом в трудовом процессе, что и составляет содержание социальной инженерии как науки о совместной трудовой деятельности людей.

Гастев А.К. четко различает два самостоятельных объекта исследования: управление вещами и управление людьми. Полагая наличие у них общих черт, ученый, не ставит перед собой задачи выявления различий. Проблематика руководства людьми у Гастева А.К. растворяется в сфере технической организации. При всем внимании к процессам, протекающим в системе "человек - машина", он тем не менее подчеркивает значимость человеческих взаимоотношений в организации и указывает, что «в общей системе ...движения вещей передвижение человека и его воздействие на других...оказалось небольшим, но часто определяющим оазисом» [1, стр 26-27].

Гастев А.К. указывает, что в движении к органической реконструкции всей производственной структуры страны следует начать с главного его элемента - трудящегося. Он подходит к вопросам управления с точки зрения рабочего места (отдельно взятого работника), распространяя полученные выводы на управление цехом, предприятием, государством: рабочий у станка есть директор производства, известного под названием машины - орудия [2, стр. 103]. Умелое обслуживание этой элементарной системы воспитывает в каждом работнике его настоящие управленческие качества, точные, деловые. Именно с упорядочения деятельности отдельного человека, кем бы он ни был - руководителем или исполнителем, должна начинаться работа по научной организации труда и управления. То есть, в центре внимания оказывается первичная клеточка предприятия - работник на своем рабочем месте, а схема научного поиска разворачивается в направлении от микроанализа движений (приемов, операций) к макроанализу предприятия в целом.

В деле организационного строительства встает вопрос о подготовке способных руководителей, наделенных «организационной сноровкой», стратегическим талантом, особыми «социальными» качествами. В понимании Гастева А.К., «организационная сноровка», это внутренняя сила руководителя, которую должны ощущать подчиненные, помогающая влиять, регулировать и координировать усилия участников совместного труда. Гастев говорит: «…организатор обязан владеть навыками управления коллективной работы, иметь непреклонную волю и энтузиазмом, способный вдохновить и сплотить коллектив на основе общей цели». Под управлением он понимает рассчитанное, предусмотрительное руководство, а в понятие "распорядитель", по его мнению, вносится элемент внезапности, требующего гибкости, маневренности. Искусство управлять невозможно без особого коммуникативного мастерства, без задатков лидера с тем, чтобы вести за собой. Быть психологом - другое неотъемлемое качество руководителя: знать психологию толпы и отдельного человека. Организатору следует учиться регулировать коллективы (как это делает регулировщик уличного движения), направлять, координировать действия, слагающиеся в общий гармоничный поток. Это человек наблюдательности, сигнала и быстрого волевого действия (каковыми являются пожарные), владеющий методом инструктажа (как саперы и военные монтеры), способный рассчитать время по минутам [1, стр. 96-105].

Гастев А.К. полагает, что управленческие функции регулирующего характера как бы автоматизируются (отрабатываются отдельные приемы, методы работы), что их резко отличает от сферы генерального управления, основанного на предвидении и на учете факторов длительного действия. Тем самым, он подчеркивает присутствие своеобразной интуиции, творческого элемента, искусства в работе руководителей высшего и среднего звена. В их задачу входит осуществление планирования - постановка целей, разработка стратегии - и собственно организация - установление особенностей действий и учет ресурсов, необходимых для выполнения плана и принятия решений по распределению полномочий, обязанностей и ответственности. Другая категория руководителей, по замыслу Гастева А.К., контролирует, регулирует деятельность работников, осуществляет инструктаж и текущее консультирование [1, стр. 103]. Таким образом, автор устанавливает иерархию управляющих, определяет их компетенцию.

Отдельным вопросом в организационном строительстве Гастев А.К. выделяет подбор персонала и разработка системы стимулирования труда. Он указывает, что социальная динамика неизбежна и перспективе карьерного роста следует уделять большое внимание, что является соответствием требованию социальной динамики, или «квалификационного движения». Это решает также проблему дисциплины: самоорганизации посредством личной заинтересованности в успехе в условиях господствующей на предприятии атмосферы сотрудничества.

Таким образом, социальная инженерия как наука с принципами ее практической реализации возникла в нашей стране, в рамках так называемой «человеческой инженерии» (human engineering), направленной в основном на повышение безопасности труда и повышение эффективности работы машин, снижение утомляемости работника и обеспечение комфортности в системах «человек - машина».

Об эффективности таких методов и подходов, мы можем судить по значительному и существенному росту экономических и производственных показателей нашего государства в 20-30-е годы. Одним из хороших примером, может служить появление в предвоенные годы такой науки как криптография и достижений в этой области непревзойденных на тот момент и последующие, нескольких десятилетий показателей за какие-то 4-5 года с момента своего зарождения. Так первые, отечественные криптомашины на середину-окончание 41-го года имели такие алгоритмы и стойкость шифров, что признанные лидеры в этой области - немцы, англичане, американцы, поляки, смогли только в 80-е годы расшифровать шифрограммы Штаба Армии, которые передавались в период Великой Отечественной Войны. На 41-год, эта наука у наших политических противников, уже имела несколько десятилетий своего активного развития с самого начала XX века.

Мы подошли к основному пониманию того, что социальная инженерия, это наука, состоящая из ряда других, достаточно сложных наук, объектом которой является изучение человеческого фактора и его природы, и как следствие, последующим конструированием социальной среды в рамках взятой области. В 20-е и позже в 50-е - 60-е годы такой областью являлось отдельно взятое предприятие. Впоследствии, эта область значительно расширилась и стала влиять на всю сферу производства, и распространилась до уровня общества в целом.

Наш соотечественник со своими коллегами заложил базис этой науки и задал ей уверенное и серьезное направление, т.е. увидел и обосновал необходимость в этой науке, определил в общих чертах её структуру и предмет исследования, и сферу приложения. Все раннее определенные им критерии, понятия, характеристики, требования и методы вошли полностью в современную науку социальную инженерию. С учетом развития социокультуры и потребностей общества, этот базис был значительно дополнен и на базе его появились новые науки, направления и научные школы. Так, например, в 20-30-е года появилась наука организации труда (НОТ), в это же время благодаря работе Гастева А.К. и его коллег сотрудников ЦИТа, были заложены основы и механизмы нового направления и в последствии наук - промышленной социологии и психологии труда. Появились целые институты психотехник для подготовки кадров и различных направлений в педагогике.

Американцы не оказались первыми, но их существенная заслуга состоит в другом. В начале 60-х и последующие годы, они хорошо доработали прикладную часть этой науки и составляющих её наук. В это время социальная инженерия стала широко применяться в авиационной и оборонной промышленности США, а также в индустриальной социологии, военной социологии, пропаганде и коммуникациях. Появились целые институты и лаборатории с государственным бюджетированием и неограниченными возможностями. Координация работ всех этих институтов и лабораторий, кооперация и сотрудничество, обработка полученных результатов и выработка совместного направления движения была поставлена на высокий государственный уровень. Вырабатывались общие подходы, и разрозненность в них пресекалась. Достижения лабораторий становились достоянием различных сфер науки, техники и производства.

К сожалению, в нашей стране, такой координации работы и прикладного применения достигнутых результатов, причем повсеместно в сфере производства, не было. Упор был сделан на получение практических рекомендаций и выработку научных методик. Причем, это требовалось делать немедленно. На всестороннюю оценку и анализ, лабораторные опробывания не хватало времени. Это стало недопустимой и непоправимой ошибкой для нашей страны. Множество методов было заимствовано у нас, а ряд направлений, стали на порядки опережать отечественные разработки. Например, западные маркетологи, специалисты по консалтингу, рекламе и PR имеют более высокую котировку, нежели подготовка данных специалистов в отечественных институтах.

1.2 Определение понятия социальной инженерии и её наполнения

Возвращаясь к концепции Гастева А.К., становится ясным предназначение социальной инженерии. Возникает представление о её наполнение, кто такой социальный инженер и какими навыками он должен обладать. Теперь обратимся к современным справочникам, чтобы увидеть, насколько раскрыт данный термин нашими современниками и что они вкладывают в это понятие.

Имеет смысл изначально обратиться к социологическим словарям, учитывая корни происхождения термина.

1. Социальная инженерия - (англ. engineering, social; нем. Ingenieurwesen, soziales.) совокупность подходов в прикладных социальных науках, ориентированных:

- на изменение поведения и установок людей;

- на разрешение социальных проблем;

- на адаптацию социальных институтов к изменяющимся условиям;

- на сохранение социальной активности [3].

2. Социальная инженерия - специально организованная деятельность, направленная на трансформацию социальной реальности (реконструкцию старой или конструирование новой) с помощью социальных технологий [4].

3. Социальная инженерия - теоретическая и практическая деятельность, направленные на создание и использование набора средств воздействия на поведение людей с целью разрешения социальных проблем, адаптации организационных структур общества к изменяющимся условиям и профилактики социальных конфликтов [5].

4. Социальная инженерия - специфическая отрасль прикладной социологии, представляющая совокупность прикладных социальных методов и практической деятельности, связанной с использованием знаний, полученных в общей социологической теории, прикладных исследованиях, а также в практике производственной и иной деятельности, для решения повседневных и перспективных задач совершенствования управления социальными объектами [6].

Ориентируясь на область защиты информации, приведу несколько определений, которые используют специалисты по вопросам защиты информации в своих работах.

5. Социальная инженерия (англ. social engineering) - совокупность подходов прикладных социальных наук, или прикладной социологии, ориентированной на целенаправленное изменение организационных структур, определяющих человеческое поведение и обеспечивающих контроль за ним [7, стр.16].

6. Социальная инженерия - это один из разделов социальной психологии, направленный на то, чтобы внедрять в их сознание некоторую модель поведения и тем самым манипулировать их поступками [10, стр. 32].

7. Социальная инженерия - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным [8].

8. Социальная инженерия - это набор прикладных психологических и аналитических приемов, которые злоумышленники применяют для скрытой мотивации пользователей публичной или корпоративной сети к нарушениям устоявшихся правил и политик в области информационной безопасности [9 ,стр. 20].

Изначально в понятии «социальная инженерия» отсутствовал четкий оттенок злонамеренности. Оно применялось для обозначения комплекса специфических знаний, которые позволяют управлять процессом создания, модернизации и воспроизведения некой искусственно созданной реальности, используемой в изобретательской деятельности.

1.2.1 Несколько важных отличительных деталей

В определениях социальной инженерии, есть некоторые, которые полностью сводят эту науку к методам прикладной социологии или социальной психологии. На самом деле, все обстоит несколько сложнее. При формировании концепции социальной инженерии Гастев А.К. и Витке Н.А. [11] дают следующее существенное замечание: «Социальная инженерия и прикладная социология, несмотря на их сходство, не тождественны. Первая -- это техническая деятельность по совершенствованию организации производства, учитывающая роль социальных факторов и направленная на улучшение условий труда. Основные ее этапы: разработка социально-технического проекта (карта организации рабочего места, хронокарта рабочего и внерабочего времени, оперограммы и т. п.); внедрение практических рекомендаций -- процесс социотехнического нововведения; эксплуатация внедренной системы в условиях нормальной работы предприятия. Прикладная социология в то же время понимается как научная процедура обеспечения производства исходной экономической, технической и социальной информацией. В ее основе -- данные статистики, профессионального тестирования, социологических опросов».

Идею четкого разделения прикладной социологии и социальной инженерии и осознанного понимания этого факта, всесторонне поддерживает руководитель Исследовательской группы «ЦИРКОН» Задорин Игорь, выступая на очередном форуме социологов в 2003 г.: «Используя теоретические знания и владея методологией, прикладной социолог производит информацию в реальном режиме времени, непосредственно участвуя в различных системах социального управления. Хотя при этом надо очень четко выдерживать, на мой взгляд, данную позицию как позицию диагноста и поставщика информации, но никак не переходя за грань, в уже следующую профессиональную позицию - социального технолога. Здесь тоже часто возникает путаница: социальный технолог - это та профессиональная позиция, когда социальная информация превращается уже непосредственно в решения, в рекомендации, в проектирование и далее в конструирование и изменение социальной действительности. Смешение двух позиций во многом подрывает репутацию социологии, когда социологов обвиняют в том, что относится к предмету деятельности социальных технологов - измерение социальной действительности должно быть принципиально отделено от изменения социальной действительности, и это две разные профессиональные позиции. Если социолог четко позиционируется как измеритель, к нему во многом не будут предъявлены те претензии, которые сейчас предъявляются, претензии относительно манипулирования, изменения социальной действительности, изменения того же общественного мнения - это профессиональная позиция социальных технологов, социальных инженеров»[12].

Таким образом, прикладная социология занимается измерением, а социальная инженерия на базе этих измерений, осуществляет или привносит изменения в социальную действительность.

Остается интересным другой вопрос. Почему специалисты по защите информации, наиболее часто используют определения, в которых превалирует понятие прикладной психологии, социальной психологии и в первую очередь говоря о социальной инженерии, подразумевают методы социального программирования?

Ответ на этот вопрос непрост. Отечественные разработки в области информационных технологий не смогли достигнуть той популярности и выйти на должный международный уровень разработок и развития, задавая направление в этой области, как это произошло с прототипом математически-структурной моделью «Машины фон Неймана», ставшей прородительницей современных супер-ЭВМ, персональных компьютеров и вычислительных сетей. В нашей стране, это было связано с разрозненностью отечественных НИИ, ОКБ и рядом лабораторий ведущих разработки в области информационных технологий и создававших прототипы современных ЭВМ и информационных систем. Множество интересных разработок засекречивались и далее использовались в оборонной промышленности. Появилось большое число платформенных решений никак не связанных между собой, как и множество операционных систем под эти платформенные решения, также не способных объединять наработки, либо совмещать платформы. В США, Великобритании, Австралии в 40-70-х годах в рамках научных проектов и государственных программ в университетах продолжались работы по созданию ЭВМ на основе «Машины фон Неймана» и получаемые достижения разных университетов и лабораторий объединялись. Как следствие, развитие телекоммуникаций и информационных технологий на западе оказалось стремительным и перспективным. Но все эти технические и технологические достижения стали сопутствующим результатом научно-исследовательских работ передовых стран, далеко не безобидных, и имеющих одну из основных целей - осуществление тотального контроля над человеческим разумом, как на уровне индивидуума, так и на уровне социальных групп. Именно в результате этих исследований и наработок социальная инженерия приобрела четкие очертания, и направленность на создание абсолютно управляемого общества, основанное на слиянии «человек-машина». Если кратко остановиться на рассмотрении основателей этих направлений и ряде вопросах, решаемых ими в тот период, можно прийти к соответствующим выводам.

1.2.2 От Франкфуртская школы к кибернетике и социальной инженерии

Один из первых проектов, ключевых проектов на эту тему, был начат в январе 1943 г. группой из трех социальных психологов в университете Беркли, штат Калифорния. Это были Элсе Френкель-Брунсвик (основатель Франкфуртского института социальных исследований, известного как «Франкфуртская школа»), Дэниэл Дж. Левинсон и Р. Невитт Санфорд. Целью проекта было изучение корней антисемитизма. Вскоре он превратился в крупнейший на тот момент проект исследования социальных параметров населения США.

В мае 1944 года Американский еврейский комитет (АЕК) создал департамент научных исследований, который возглавил директор Фракфуртской школы Макс Хоркхаймер. Хоркхаймер подготовил проект, названный «Исследование предрассудков», получивший щедрое финансирование от АЕК и других агентств, включая фонды Рокфеллера. Над проектом исследований работали ведущие ученые Франкфуртской школы - Гедда Массинг, Мэри Ягода, Морис Яновиц и Теодор В. Адорно. Под руководством Хоркхаймера они формально воссоздали Международный институт социальных исследований -- перенесенный клон Франкфуртской школы, существовавшей в Веймарской Германии.

По заказу АЕК в период с 1945-1950 гг., проводилось пять исследований. Одна из ключевых работ, это работа начатая в январе 1943 г. «Авторитарная личность» (Authoritarian personality. New York: Harper, 1950). Авторы Адорно, Френкель-Брунсвик, Левинсон и Сандфорд собрали большой исследовательский коллектив из группы исследований общественного мнения университета Беркли и Международного института социальных исследований для проведения тысяч опросов американцев, для выявления глубоко спрятанных склонностей к авторитаризму, предрассудкам и антисемитизму. Научным руководителем проекта был доктор Вильям Морроу, которого лоббировал доктор психологии Курт Левин, являющегося связующим звеном между Франкфуртской школой и Тавистокским институтом. Результаты исследований выявили значительную склонность населения ко всем исследуемым качествам, включая высшую форму проявления фашизма. Что послужило основой последующих серьезных работ для изучения и в последующем создания программ способных координально изменить мышление общества. В частности в своей книге авторы «Авторитарной личности» упоминают такие фразы: «Очевидно, что изменение потенциальной фашистской структуры невозможно исключительно психологическими средствами. Задача сравнима со всемирным искоренением невроза, хулиганства, или же национализма. Они порождаются самой организацией общества, и могут быть изменены только с изменением самого общества. Не психологу определять способы осуществления необходимых изменений. Размах этой проблемы требует усилий всех ученых-обществоведов. Мы лишь настаиваем на том, что на советах и круглых столах, где рассматривается эта проблема и планируются действия, психологам должно предоставляться слово. Мы считаем, что научное понимание общества должно включать понимание того, что общество делает с людьми, и что возможны социальные реформы, даже широкие и радикальные, которые при всей их желательности не обязательно изменят структуру личности, подверженной предрассудкам. Чтобы изменить фашистский потенциал, даже его обуздать, люди должны лучше видеть самих себя и быть самими собой. Манипулированием людьми этого не добиться, независимо от привлечения современной психологии в разработке инструментов манипуляции… Возможно, что это тот самый случай, когда психология должна сыграть ключевую роль. Методики преодоления сопротивления, разрабатывавшиеся для целей индивидуальной психотерапии, можно совершенствовать и адаптировать для применения по отношению к группам, и даже массам» [17].

Последующие исследования и работы были направлены на создание контркуркультуры за счет музыки, легализации эротики и легализации наркотиков, как психологическое воздействие на сознание человека в обществе и способ борьбы с теранией навязанной государственной структурой. В частности, об этом прямолинейно писал в своих работах социальный психолог, философ и психоаналитик «Франкфуртской школы» Эрих Фромм. Например, в работе 1972 года «Анатомия человеческой деструктивности».

В США и Великобритании в 30-х и особенно в 40-х и 50-х годах был большой интерес, как военных, так и других государственных служб, к психологии человека и способах воздействия на него. Интересно, что именно в этот период появляется «Группа кибернетики» исследования и работы которой, стали основой для новой современной межотраслевой науки - кибернетики. Группа была неофициально создана на конференции имеющей формальное название «Встреча по церебральному заторможению» (Cerebral Inhibition Meeting) проходившей в Нью-Йорке в май 1942 года. Конференцию финансировал директор фонда Джошуа Мэйси, Франк Фримонт-Смит. Членный этой группы называли её «Проект человек-машина». Среди участников конференции были Уоррен Маккаллок, Артуро Розенблют, Грегори Бэйтсон, Маргарет Мид и Лорернс К. Франк. Розенблют был протеже Норберта Винера и Джона фон Неймана. Он выступил от их имени с предложением объединить в одну группу инженеров, биологов, нейрологов, антропологов и психологов для проведения экспериментов по социальному управлению, говоря что «человеческий мозг есть не более чем сложная машина со вводом и выводом, и человеческое поведение можно, по сути, программировать на личном и общественном уровне». Следующая конференция, проводимая этим фондом, как и все последующие конференции, произошла 8-9 марта 1946 г. в Нью-Йорке под формальным названием «Механизмы обратной связи и круговые каузальные системы в биологии и социальных науках». Включительно по 1953 г. конференции стали регулярными и вопросы, выносимые на обсуждение, изучение и последующее решение - очень серьезными. В 1947 г. на очередной конференции, под опекой фонда Джошуа Мейси был запущен проект, который Норберт Винер предложил назвать термином «кибернетика». Группой кибернетики из двадцати человек было инициировано создание целой сети постоянных учреждений, продолжающих работать и в наши дни, работа которых была определена этой группой и в тот период, направлена на управление обществом, через слияние человек-машина.