Что угрожает организации, если ее сотрудники используют соцсети

Согласно ежегодному отчету Digital 2023, 83% жителей Российской Федерации имеют хотя бы один аккаунт в социальных сетях. Если говорить о корпоративном сегменте, у множества компаний от 2 до 5 официальных страниц или блогов на таких площадках. При этом специалисты заходят в корпоративные и личные аккаунты на рабочем месте несколько раз в день. Несмотря на то, что политиками безопасности в некоторых организациях делать это запрещено, пользователи продолжают поверять лайки, просматривать информацию и переписываться в социальных сетях. Помимо непрофильного расходования рабочего времени, такие площадки содержат различные угрозы безопасности. В статье ниже мы вместе с Павлом Шрамко, консультантом по ИБ RTM Group, рассмотрим основные из них.

С ростом количества угроз информационной безопасности увеличивается и уровень государственного контроля за социальными сетями. Так, 29 января 2022 года вступил в силу Федеральный закон № 584, установивший запрет на использование кредитными организациями, оборонными предприятиями, государственными организациями и иными организациями иностранных мессенджеров, например WhatsApp, Viber, Telegram, для обмена платёжной информацией и персональными данными конфиденциальной информацией.

Продолжением данного направления регулирования стали поправки в КоАП, утвержденные 20 июня 2023г. Советом Федерации РФ, о внесении статьи за использование мессенджеров в описанных случаях, которые также предполагают штрафы за нарушение запрета.

На сегодняшний день тема также актуальна и по иным причинам, среди которых:

• Рост вовлеченности бизнеса и пользователей в сферу применения социальных сетей;
• развитие информационных технологий в целом;
  
• техническое развитие и модернизация техник и методик кибератак;
  
• актуальные геополитические события.
  

В разных организациях режим использования соцсетей отличается. Где-то ему не уделяют особого внимания, в других местах, напротив, строго ограничивают такую активность. Есть и нюансы: некоторые сотрудники (маркетологи, копирайтеры, HR-менеджеры, пиарщики) используют такие площадки в рамках своей основной деятельности. Для других же важно появляться в соцсетях для поддержания связей и поиска новых контактов – нередко это касается отдела продаж.

Как бы то ни было, в любом случае важно помнить о том, что подобные площадки являются источниками дополнительных угроз безопасности. В них, в том числе, происходит обработка конфиденциальной информации, также через них могут утекать чувствительные сведения. Ну и помимо этого, соцсети – один из популярных у злоумышленников путей для связи и общения с жертвами в рамках реализации сценариев социальной инженерии, сложных направленных атак.

Несмотря на то, что социальные сети – это еще один канал утечки информации, который должен контролироваться средствами защиты, существует определенные особенности и типы угроз, наиболее актуальные именно для социальных сетей. Среди них можно выделить:

• Невозможность контроля функций защиты соцсетей
• Наличие дополнительных источников фишинга и социальной инженерии
  
• Неконтролируемый перенос информации в сеть Интернет
  

Рассмотрим подробнее данные группы угроз и последствия их реализации.

Практически все социальные сети развиваются в области защиты и внедряют новые функции, например:

• Контроль перечня разрешенных устройств для авторизации
• Оповещение пользователя о недавних действиях
  
• Двухфакторная и двухэтапная аутентификация
  
• Регистрация действий пользователя и другие
  

Однако, все площадки такого рода имеют кардинально различающийся состав мер защиты, что делает их по-разному уязвимыми. Для обеспечения полноценной защиты требуется реализация большого количества мер, связанных с регистрацией входа в аккаунт, контролем передачи информации через мессенджер и прочих. К данной группе также можно отнести невозможность проведения самостоятельного исследования безопасности кода.

Из-за того, что защиту фактически невозможно контролировать, растет число возможностей реализации атак. Самый распространенный вариант – взлом аккаунта пользователя путем перебора пароля. В таком случае злоумышленник получает доступ ко всей конфиденциальной информации, проходящей через аккаунт пользователя. Такой тип атак актуален для всех социальных сетей и, что самое главное, защита от такого типа угроз техническими средствами может производиться исключительно владельцем социальной сети.

В общем случае компании не могут реализовать необходимый уровень защиты информации при использовании социальных сетей, а значит им необходимо делать выбор между полным отказом от использования социальных сетей и принятием всех рисков при их внедрении в рабочий процесс.

Немаловажно отметить, что аккаунты пользователей в соцсетях нередко взламывают на заказ (с личными целями или же в рамках мошеннических схем). Согласно исследованиям Bi.Zone, цена взлома аккаунта в социальной сети в даркнете варьируется от 700 рублей до 12 тыс. рублей.

Эта угроза актуальна для любых случаев использования социальных сетей работниками. Сюда можно включить все техники социальной инженерии и иные типы атак, связанные с почтовым обменом, перепиской и прочими подобными процессами. Также необходимо отметить особую актуальность атак из категории “фарминга”, когда злоумышленник пытается получить от наибольшего количества пользователей их учетные данные через поддельные страницы в сети Интернет, и “целевого” фишинга, когда атаке подвергается конкретная группа лиц или определенные сотрудники.

Количество атак этого типа растет, а применяемые методы социальной инженерии развиваются. Благодаря тому, что регуляторы и крупные организации предпринимают различные меры по повышению уровня компьютерной грамотности среди населения, злоумышленникам приходится постоянно совершенствоваться и придумывать все новые схемы мошенничества. По данным Positive Technologies, на протяжении 2023г 93% атак в социальных сетях основаны на использовании инструментов социальной инженерии или имеют их элементы.

Так, например, ранние схемы мошенников состояли из одного письма с какой-либо отвлекающей информацией или письма, содержащего ссылку на вредоносный код. Сейчас же можно встретить многоэтапные схемы атак, которые могут включать уже прямой контакт жертвы со злоумышленником, неоднократные сеансы связи, для повышения доверия и другие методики. Например, в мессенджере социальной сети незнакомец может обменяться фотографиями с потенциальной жертвой, а затем предложить новый инструмент для обработки фото, послав вместе с ним вредоносный файл со шпионским ПО. В дальнейшем, с его помощью можно будет добыть важные сведения из рабочих архивов атакуемого.

Также в арсенале злоумышленников есть и технологии, позволяющие подменять исходящий номер на любой нужный (например, банка или партнерской организации). Также возможно подделывать адреса исходящих имейлов, представляясь коллегами атакуемого, его руководителями или клиентами. Реализуя подобные схемы, злоумышленники похищают миллионы.

Конечно, данные угрозы актуальны и без социальных сетей, однако, при использовании мессенджеров увеличивается количество потенциально опасной информации, сообщений, которые пользователь получает из социальных и риск попасться на атаку злоумышленника, что для неуверенного пользователя может нести дополнительную угрозу, особенно при таргетированной рассылке.

Наиболее серьезная в плане последствий группа угроз – это неконтролируемое распространение данных самими пользователями. Передача конфиденциальной информации через Telegram, WhatsApp или ВКонтакте, в большинстве случаев, не предусмотрена внутренними бизнес-процессами и влечет за собой множество сопутствующих проблем. Нередко даже при наличии общих сетевых ресурсов для защищенной передачи информации сотрудники периодически направляют конфиденциальные документы напрямую через мессенджеры и соцсети.

К данной группе угроз относятся сценарии с утечкой информации при эксплуатации аккаунтов в социальных сетях для вывода информации внешним злоумышленником и сценарии с выводом информационных активов внутренним нарушителем.

На практике в основном можно наблюдать две крайности: социальные сети и мессенджеры либо открыто используются для передачи конфиденциальной информации бесконтрольно, либо их они заблокированы всеми возможными средствами. Защита информации при использовании мессенджеров требует дополнительных мер и усложняет систему в целом. Блокирование доступа, конечно, нейтрализует все описанные угрозы, однако, во многих случаях усложняет процесс взаимодействия работников с клиентами. Если для вашей организации это не критично, то можно смело ограничить доступ к соцсетям по максимуму.

В случае, если компания все же не может обойтись без социальных сетей, то ей необходимо внедрить и использовать систему защиты от утечек информации. Инструментарий DLP имеет достаточно обширные функциональные возможности для контроля переноса данных через социальные сети, например, контентный анализ информации, теневое копирование, возможность блокирования передачи файлов определенного размера или формата и многое другое.

Также возможно обеспечить полное блокирование доступа пользователей к социальным сетям посредством межсетевого экрана. Так доступ будет под контролем организации и угрозы этого направления можно свести к минимуму.

Но если от неформального общения можно избавиться, то от автоматизированных оповещений пользователей по операциям (например оповещения о заказе) или от автоматизированных ботов отказаться гораздо сложнее. В таких неоднозначных случаях требуется грамотный расчет всех рисков информационной безопасности и разработка планов по локализации возможных инцидентов. Однако и в таком случае, компании по большей части ограничены пользовательским функционалом по защите любой из социальных сетей.

Таким образом, резюмируя вышесказанное, стоит отметить, что социальные сети являются важным каналом коммуникаций, который очень редко можно перекрыть полностью. Если этого не происходит, организациям важно контролировать его, чтобы снизить количество угроз безопасности. Помимо технических средств, стоит применять и административные. Так, необходимо запретить сотрудникам использовать соцсети для передачи конфиденциальной информации. Для этого предназначены официальные каналы, такие как почта, внутренние сетевые ресурсы и другие. Кроме того, важно постоянно проводить внутри тренинги по безопасности, на которых рассказывается о мошеннических сообщениях, о приемах социальной инженерии, жертвами которых могут стать работники организации.