Skip to content

Руководство по безопасному использованию социальных сетей федеральными органами исполнительной власти

17 сентября Главный информационный совет США (Chief Information Officers Council) выпустил интересный документ — руководство для американских федеральных ведомств по безопасному использованию социальных сетей. Интересно, что никакого единого гайда — библии государственного пользователя соцмедиа — пока нет даже в проекте, поэтому разные структуры выпускают разные кусочки наставлений, сообразно своей области ответственности. Общая презумция документа состоит в том, что все государственные информационные ресурсы являются целью неустанной агрессии для внутренних и внешних врагов.

При всей изощренности, нападения можно свести к трем основным типам. Тактика направленного фишинга предполагает атаку на конкретную группу сотрудников с целью вынудить их сделать что-то, нарушающее безопасность системы, нажать на гиперссылку, загрузить троян или открыть зараженный документ. Для направленного фишинга используются знания о подробностях из рабочих обстоятельств и окружения жертвы, которые повышают вероятность успеха акции. Высокопоставленным чиновникам подсовывают специально разрабатанные похожие на настоящие электронные документы с уникальными «штамами» вирусов, которые не улавливаются антивирусным ПО. Нужную информацию часто бывает легко собрать из блога или твиттера жертвы. Ну и само устройство социальных сетей помогает, например, общепринятая практика делать из длинных ссылок короткие с помощью специального сервиса — по укороченной ссылке никогда нельзя понять, куда она ведет.

Еще опасней социальная инженерия. Люди выкладывают в свои анкеты и блоги тонны иннформации. Многие чиновники регистрируются в социальных сетях со своим рабочим адресом на доменах .gov и .mil — для ловкого злоумышленника даже такая мелочь, как структура стандартных электронных адресов (например, имя.фамилия@ведомство.гав или и.фамилия@ведомство.гав) в конкретном ведомстве может оказаться полезной. Ну и понятно, что враг может втереться в доверие к чиновнику, прикидываясь дружелюбным френдом, беседовать с ним о птичках и сыроедских рецептах, чтобы собрать побольше информации о внутренней сети. Отдельный кошмар безопасника — интерактивные веб-приложения, которые увеселяют пользователей социальных сетей. Пока скучающий государственный служащий растит виртуальную репу в виртуальном огороде, его доступы и документы могут отправляться к реальным приступникам.

Руководство предлагает целую систему мер, которая снизит риски использования социальных сетей госслужащими. Некоторые из них вполне разумны — например, разработать внутренние регламенты использования соцмедиа сотрудниками, запретив все лишнее на рабочем месте. Некоторые меры выглядят нереалистичными — скажем, установить такое партнерство с соцсетями, чтобы они отдельно приглядывали за аккаунтами чиновников и позволяли, если что, проводить отдельные расследования по итогам неприятных происшествий с их участием. Часть, посвященная работе по повышению бдительности сотрудников, больше всего напоминает советы по защите детей от сетевых педофилов: научите их не распространять личную информацию и не заводить подозрительных знакомств.

Продолжаем систематизировать материалы по продвижению интересов федеральных органов исполнительной власти в социальных сетях и публиковать избранные фрагменты. Такими темпами, к моменту сдачи заявки на профильный конкурс Минкомсвязи, у нас будет сделано три четверти работы. Окей, три четверти подготовительной работы, поскольку там еще нужно сделать прорву работающих документов и гайдов, которыми люди потом реально смогут пользоваться, оттестировать методики, провести пару согласующих мероприятий, успеть поработать со всеми ключевыми экспертами.

Похожие статьи

Shares