• Надо видоизменить правила вежливости — научиться правильно отвечать «Нет!»
Большинство из нас чувствует себя неловко, когда приходится отвечать «нет» другим людям. (Некоторые современные технологические продукты разработаны в расчете на людей, которые слишком вежливы для того, чтобы отказаться от назойливой телефонной рекламы. Когда рекламный агент звонит, пользователь нажимает на « * » и кладет трубку на рычаг; после этого приятный голос говорит звонящему: «Извините, пожалуйста, но я должен сообщить вам, что мы с большим сожалением отвергаем ваше предложение». Больше всего в этой фразе мне нравятся слова «с большим сожалением». Интересно и то, что множество людей приобретают себе электронное устройство, которое говорит «нет» вместо них. Вы лично согласились бы заплатить некоторую цену за устройство, которое оградит вас от отрицательных эмоций в процессе произнесения слова «нет»?)
Программа компании по противодействию атакам социальной инженерии одной из задач должна ставить изменение норм вежливости. Новое поведение должно состоять в умении вежливо отклонить запрос о важной информации, пока не будет установлена личность запрашивающего и его право на доступ к этой информации. Например, надо научить всех отвечать так: «Как сотрудники нашей компании, мы оба знаем, насколько важно следовать протоколам безопасности. Поэтому мы оба понимаем, что я должен проверить ваш допуск перед тем, как выполнить ваш запрос».
• Разработать процедуры для проверки личности человека и его авторизации.
Для каждого бизнеса должен быть разработан процесс проверки личности и авторизации людей, запрашивающих информацию или требующих каких-то действий от сотрудников компании. Процесс проверки в любой ситуации должен зависеть от важности информации или запрашиваемых действий. При этом нужно увязывать требования безопасности с бизнес-процессами.
Тренинг должен научить сотрудников идентифицировать людей не только самыми простыми методами, вроде взгляда на визитную карточку, — что использовал Урли в нашей истории, но и более серьезные. (Вспоминается один персонаж Джеймса Гарнера в детективной серии «Файлы Рокфорда» девяностых годов, у которого в машине был специальный принтер для визитных карточек, так что он мог снабдить себя любой, какая ему потребуется).
В нашей книге «Искусство обмана» была приведена процедура идентификации. • Получить поддержку руководства кампании
Это звучит почти банально: любая важная инициатива в компании начинается с того, что ее должно активно поддерживать руководство. Есть лишь несколько корпоративных сфер, в которых подобная поддержка так важна, как в области безопасности, и важность последней возрастает еще более оттого, что она непосредственно не влияет на прибыль компании и потому ей часто отводится одно из последних мест в стратегии компании.
В общем, для обеспечения безопасности нужны усилия всей компании, начиная, естественно, с ее руководства.
В специальном документе руководители компании должны высказать два четких положения по этому поводу. Сотрудники никогда не должны получать от руководства указаний обойти протокол безопасности. Ни один сотрудник не должен быть наказан за то, что будет следовать протоколу безопасности, даже если он получил от руководства указание нарушить его.
ПОЗНАКОМЬТЕСЬ С МАНИПУЛЯТОРАМИ В СВОЕЙ СЕМЬЕ — ЭТО ВАШИ ДЕТИ
Почему дети (или большинство из них) так прекрасно манипулируют нами? Ничуть не хуже, чем это делают социальные инженеры. С возрастом это умение теряется. Каждый родитель не раз и не два был мишенью атаки со стороны своих детей. Когда ребенку хочется чего-то, что не разрешено, он может быть настойчив до такой степени, что это не только утомляет, но даже начинает забавлять.
Когда мы с Биллом Саймоном уже заканчивали эту книгу, я был свидетелем полноценной атаки социальной инженерии со стороны ребенка. Моя подружка Дарси и ее девятилетняя дочь Брианна приехали ко мне в Даллас, где я был по делам бизнеса. Вечером в отеле перед тем, как отправиться на вечерний самолет, Брианна испытывала терпение своей мамы, требуя пойти ужинать в выбранный ею ресторан, и проявляя при этом типично детский темперамент. Дарси решила слегка обуздать ее, отобрав у нее Gameboy, и запретив играть в него в течение суток.
Брианна на время утихла, но затем потихоньку начала пробовать другие пути воздействия на свою мать, чтобы получить свою игру обратно, и это продолжалось и тогда, когда я вернулся и присоединился к ним. Постоянное детское нытье было совершенно изнуряющим: потом мы поняли, что она пытается добиться своего типичными методами социального инженера и стали делать заметки.
• «Мне скучно; верните мне мою игру». (Сказано тоном приказа, а не просьбы).
• «Я сведу вас с ума, если не смогу играть в мою игру». (Сопровождается завыванием).
• «Мне нечего будет делать в самолете без моей игры». (Говорится тоном: «Любой идиот это понимает»).
• «Будет ведь очень здорово, если я сыграю хоть разок, правда?» (Обещание, заключенное в вопросе)
• «Я буду очень хорошей, если вы вернете мне мою игру». (С невероятной искренностью).
• «Я хорошо вела себя вчера, почему же я не могу играть в игру сегодня?» (Отчаянная попытка, основанная на запутанной логике).
• «Я никогда не буду больше себя так вести. (Пауза). Можно я поиграю в игру сейчас?» («Никогда не буду это делать» — какими же легковерными она нас считает!)
• «Можно мне получить игру назад, пожалуйста?» (Если обещания не действуют, то можно попробовать выпрашивание…)
• «Завтра мне надо возвращаться в школу, и я хочу поиграть сейчас, потому что потом я долго-долго не буду играть». (Господи, сколько же может быть различных форм социальной инженерии? Может, надо было взять ее соавтором в эту книгу?).
• «Я была не права и очень сожалею об этом. Можно мне поиграть хоть немного?» (Признание очень важно для души, но может не сработать в качестве способа манипуляции).
• «Кевин, позволь мне сделать это». (Я подумал, что только хакер мог так повести себя!)
• «Без игры мне очень грустно». (Если больше ничего не работает, то надо разжалобить или вызвать симпатию).
• «Больше, чем полдня я сижу без моей игры…» (Другими словами: «Не достаточное ли это наказание за мой проступок?»)
• «Это ведь не стоит ни копейки — дать мне поиграть». (Отчаянная попытка отыскать доводы, которые заставляют маму длить наказание так долго. Неправильная догадка).
• «Это же выходные в честь моего дня рождения, и я могу играть в свои игры». (Еще одна попытка добиться симпатии).
А вот, как ее действия продолжались в аэропорту, к чему мы были готовы.
• «Мне будет скучно в аэропорту». (Ошибочно надеясь на то, что детская скука — это такая страшная вещь, которой взрослые будут стремиться избежать любой ценой. Если Брианне станет совсем уж скучно, она может порисовать или почитать книгу).
• «Это будет трехчасовой полет, и мне будет совсем нечего делать!» (Остается надежда, что и в этом случае она может открыть книгу, которая специально была взята с собой).
• «Слишком темно, чтобы читать, и слишком темно, чтобы рисовать. А играть можно, потому что экран светится». (Безнадежная попытка призвать на помощь логику).
• «Могу я по крайне мере воспользоваться Интернетом?» (Должна же быть в ваших сердцах хоть капля жалости?)
• «Ты самая лучшая мама в мире!» (Вот они, комплименты и лесть для достижения своей цели),
• «Это не честно!!!» (Последняя отчаянная попытка).
Если вы хотите усовершенствовать познания в том, как социальные инженеры манипулируют своими мишенями, и как они переводят людей из состояния размышления в чисто эмоциональное состояние …прислушайтесь к своим детям.
ПОСЛЕСЛОВИЕ
В нашей первой совместной книге Билл Саймон и я выделили уязвимость по отношению к социальной инженерии, как «самое слабое звено информационной безопасности».