Всем известно, что среди интернет-инструментов сегодня наибольший интерес вызывают социальные сети. Компании и частные лица используют ресурсы Twitter, Facebook, MySpace, Digg и Delicious (это далеко не полный перечень) для установления и поддержания отношений. Вопрос в том, с кем? С друзьями, коллегами, клиентами? Или с преступниками?
Ответ на этот вопрос зависит от двух факторов: идентификации пользователя и предоставляемого пользователем контента. Вы знаете, что в Facebook все являются друзьями Джессики Биль? Во всяком случае, того, кто выдает себя за Джессику Биль. Сегодня во Всемирной паутине под эту знаменитость маскируются чаще всего. Сколько пользователей из вашей компании были бы счастливы стать другом Джессики лишь для того, чтобы узнать, что ссылки на ее странице ведут на сайты, загружающие на компьютеры посетителей вредоносный код?
По какой-то неведомой причине пользователи считают, будто в Интернете им не грозят никакие опасности. Сколько раз вам приходилось слышать, как кто-то говорит: “Это действительно так. Я читал об этом в Интернете.”? Давайте взглянем правде в глаза: простаки рождаются ежеминутно. И 350 млн. из них пользуются Facebook.
Социальные сети содержат массу информации, но при этом представляют собой отличное поле деятельности для хакеров. Слишком уж просто написать для Facebook такое приложение, которое загрузит вредоносное ПО на компьютер пользователя. Я ежедневно получаю сообщения о распространении такого ПО через сеть Twitter.
Имеются также юридические риски и угрозы для репутации компаний и их сотрудников. Испытав разочарование на работе, можно очень легко излить свои чувства в сети Twitter. Взволнованный продавец, который успешно провел встречу с потенциальным покупателем, оставляет сообщение об этом в Twitter. Его читает конкурент и предлагает свой товар по более низкой цене. Или сотрудник побывал на совещании, где узнал много нового, и не в силах дождаться, когда сможет поделиться инсайдерской информацией в сети Facebook.
Что вы будете делать, если двое ваших сотрудников станут использовать в полемике, которую ведут через Twitter, не предназначенные для широкой публики аргументы? И что вы будете делать, если некто опубликует в Facebook фотографии вашего генерального директора, пьющего пиво или любезничающего с женщинами на недавней корпоративной вечеринке?
Подобные сценарии могут до смерти перепугать менеджеров, отвечающих за корпоративную информацию. И на то имеются веские причины. Когда основатель Facebook Марк Зукерберг заявил, что “эпоха частной жизни закончилась”, это прозвучало не слишком убедительно. Существует ли надежный способ гарантировать, что ваши сотрудники не будут использовать Facebook таким образом, что это создаст для компании проблемы юридического характера или осложнит ее отношения с общественностью?
Учитывая названные угрозы, некоторые ИТ-подразделения решили полностью заблокировать выход в социальные сети. По моему мнению, это непродуманная рефлекторная реакция. Более подходящий вариант — обучить пользователей надлежащему обращению с социальными сетями, а затем следить за соблюдением утвержденных политик.
Запретить выход в социальные сети это все равно, что сказать: раз футболист Крис Генри из команды Cincinnati Bengals погиб, когда его пикап попал в аварию, надо запретить пикапы. Глупо ведь, правда?
По данным компании Forrester Research, между 2008 и 2009 гг. использование социальных сетей в целях бизнеса расширилось с 11 до 22%. Эти сети дают бизнесу множество преимуществ.
Дэвис Яновски описал в статье, опубликованной в Investment News за 26 апреля 2009 г., для чего финансовые советники используют социальные сети: для привлечения клиентов, для развития отношений с партнерами по бизнесу, а также для демонстрации своих знаний.
Многие компании применяют Twitter для оказания технической поддержки клиентам. В моей практике был даже такой показательный случай, когда Институт передовых технологий (Institute of Advanced Manufacturing Sciences, IAMS) немедленно ответил через Twitter на мой вопрос о корме для кошки. Между прочим, у меня есть и негативный опыт, связанный с тем, что туристическая компания Travelocity равнодушно отнеслась к моим претензиям по поводу слишком большого числа пересадок в пути.
Возможность взаимодействия через социальные сети — не единственное их достоинство. Наверное, еще большим преимуществом для бизнеса является возможность изучать взаимодействие между людьми с помощью социальных сетей. Какая же компания не захочет знать, как воспринимается ее бренд?
Хотя плюсы социальных сетей велики, велики и риски. В докладе компании Forrester “12 рекомендаций относительно вашей стратегии безопасности на 2010 г.”, опубликованном в январе 2010 г., аналитик Халид Карк рекомендует компаниям “обратить внимание на риски, связанные со средствами социального общения”, особенно на “ослабление контроля за корпоративными данными”.
Одна из причин, по которым ИТ-подразделения испытывают трудности в борьбе с рисками в области безопасности, создаваемыми социальными сетями, заключается в том, что здесь не может быть чисто технического решения. Это означает, что традиционный подход к обеспечению безопасности, при котором деньги тратятся на множество точечных решений, не срабатывает. Необходимо сочетать технические и административные решения, а также решить задачу, вызывающую ужас у ИТ-подразделений, — обучить конечных пользователей.
Озабоченность ИТ-подразделений вызывает главным образом тот факт, что через социальные сети могут стать общедоступными интеллектуальная собственность, внутрифирменные секреты и процедуры. И что еще хуже, они могут стать известными конкурентам. Для защиты от такого рода рисков ИТ-подразделениям следует применять триединый подход: политика, обучение и технология.
Политика
При формулировании политики примите в расчет как особенности бизнеса, так и виды информации, к которой предоставляется коллективный доступ. На использование социальных сетей для привлечения клиентов могут накладываться ограничения профессионального и этического характера, и сотрудникам следует это понимать. Например, врачи должны в любом случае соблюдать требования закона о защите информации о состоянии здоровья пациентов (Health Insurance Portability and Accountability Act, HIPAA). Так что установление дружеских отношений с пациентом через Facebook и описание деталей сделанной ему операции исключается.
В мире финансов Службой регулирования отрасли финансовых услуг (Financial Industry Regulatory Authority, FINRA) установлены очень строгие правила привлечения клиентов через социальные сети. И убедитесь, что сотрудники знают, как не допустить сексуальных домогательств в онлайне.
Персонал, использующий социальные сети, должен соблюдать более общие политики, регулирующие работу в Интернете. Как всегда, не допускается использование Интернета в личных целях, если это отражается на производительности труда в офисе. Необходимо ввести ограничения по времени суток (запрет на размещение фотографий в Facebook в часы пиковой сетевой нагрузки) и/или продолжительности пребывания в сети (максимум 1 ч в день).
Обратите особое внимание на политики, касающиеся загрузки, несанкционированной установки приложений и ответственности сотрудников за разглашение внутрифирменной информации. Слишком часто персонал относится к вопросам безопасности с недопустимым легкомыслием.
Бдительность сотрудников — главный компонент программы обеспечения безопасной работы в социальных сетях. Сотрудники должны принять на себя ответственность за собственные действия. Эта ответственность и правила работы должны получить должное отражение в политике, обучении и техническом контроле.
Хотя политика приемлемого использования социальных сетей сама по себе не решает всех проблем, она представляет собой необходимый компонент любой программы безопасного доступа в Интернет. Важно составить документ, в котором разъясняется, почему персонал должен придерживаться политики, приводятся конкретные примеры, что необходимо делать для соблюдения политики, и подробно описывается, какие наказания грозят за отступление от правил. От всех сотрудников независимо от занимаемой должности и характера работы следует потребовать письменного подтверждения, что они были ознакомлены с принятой в компании политикой.
Обучение
Большинство специалистов по ИТ, наверное, предпочтут, чтобы их посадили на хлеб и воду, загоняли им под ногти бамбуковые щепки и при этом заставляли слушать песни из фильма “Yentl” в исполнении Барбары Стрейзанд, чем объяснять что-то пользователю, но хорошо оборудованный класс для обучения мерам безопасности в социальных сетях представляет собой действенное превентивное средство, которое принесет свои плоды. Обучение может производиться в классе или в онлайновом режиме. В любом случае проверьте, кто посещал занятия, а кто нет.
Сотрудникам необходимо понять, каким рискам подвергаются их персональные сведения, а также принадлежащие компании данные и ее репутация. Обучение следует начать с обзора имеющихся угроз, затем перейти к описанию преимуществ социальных сетей и привести подробные примеры, когда можно считать себя в безопасности, а когда нет. Сотрудники должны иметь возможность задавать вопросы, поскольку речь идет о малоизученной области, где на многие вопросы еще предстоит найти ответы.
Технология
Существует несколько способов технической защиты пользователей в социальных сетях. Конечно, следует придерживаться многоуровневой, детально проработанной стратегии обеспечения безопасности. Это означает, что необходимо защищать конечные точки, серверы, сети и периметры сетей. Сегодня многие атаки ведутся сразу по нескольким направлениям, так что защита должна быть всеобъемлющей.
Например, некто может подружиться с вашим пользователем через сеть Facebook, а затем прислать ему по электронной почте ссылку на сайт, распространяющий вредоносный код. В этом случае для защиты следовало было бы использовать такие методы как фильтрация электронной почты, фильтрация веб-адресов и борьба с вредоносным кодом на ПК. Определенную роль могли бы сыграть предотвращение утраты данных (DLP) и мониторинг сети.
Кроме того, на рынке появляется все больше технических решений, представляющих собой попытки решения проблем безопасности в социальных сетях, начиная с инструментов фоновой проверки учетных записей в Facebook и до сложных сетевых устройств, осуществляющих глубокую инспекцию пакетов и проверяющих входящий и исходящий трафик на наличие угроз. Как и следовало ожидать, наибольший эффект дает сочетание различных подходов.
Одним из примеров продуктов такого рода является обновленное недавно устройство FaceTime USG 350 высотой 1U. Оно ведет мониторинг мгновенных сообщений и веб-контента, посылая сигнал тревоги и блокируя трафик, если обнаруживает опасность. Во время тестирования я связал FaceTime USG 350 с Blue Coat Systems ProxySG 200 по протоколу ICAP (Internet Content Adaptation Protocol), чтобы обеспечить полный анализ пакетов, как незашифрованных, так и зашифрованных посредством SSL (Secure Sockets Layer), а также с клиентским прокси-сервером.
Используя регулярные выражения, я легко задал самые разнообразные иерархические политики, чтобы предотвратить доступ к персональным идентификационным сведениям. Например, “ХХХ-ХХ-ХХХХ” блокирует передачу номеров карт социального страхования через систему обмена мгновенными сообщениями и послания, размещаемые в социальных сетях.
Помимо этого с помощью ProxySG 200 я мог использовать фильтрацию веб-контента и сканирование трафика на предмет выявления вредоносного кода. Я настроил свой брандмауэр таким образом, чтобы он пропускал входящий и исходящий трафик только через ProxySG 200. Подобное сочетание средств безопасности позволило мне чувствовать себя более защищенным.
Большинство компаний может получить преимущества от использования социальных сетей. Поэтому просто запретить посещение таких сайтов значит усложнить работу служб маркетинга и поддержания отношений с клиентами, а кроме того предоставить конкурентам преимущество. Поэтому не блокируйте доступ к таким сайтам. Вместо этого помогите снизить риски, связанные с использованием этого растущего феномена, построив три уровня защиты: политика, обучение пользователей и технология.