"Социальные сети без риска"

Найджел Хоторн, вице-президент по маркетингу компании Blue Coat Systems по Европе, Ближнему Востоку и Африке

Опасности, связанные с компьютерными технологиями

            Работоспособность большинства компаний тесно связана с работой надлежащих компьютерных приложений и деятельности веб-сайта. Сегодня осталось совсем немного предприятий, которые не имеют соединение с интернетом и не задействуют глобальную сеть для успешного функционирования и расширения бизнеса.

            Но интернет предлагает не только неоспоримые преимущества, но и таит факторы риска, вот некоторые из них:

·         вредоносное программное обеспечение. Это наиболее актуальная и серьезная проблема, так как вирусы, трояны и черви все время развиваются и становятся все более изощренными и неуязвимыми. Поэтому свою защиту нужно методично усовершенствовать в соответствии с современными технологиями. Вредоносное ПО, как правило, преследует 2 цели: кражу трафика или информации. В результате успешной «операции» злоумышленник может, к примеру, получить логин и пароль от сайта и присвоить его себе;

·         утечка информации. Украсть данные компании могут не только с помощью компьютерных вирусов, но и через сотрудников, которые пользуются социальными сетями. Запретить пользоваться ими сегодня вряд ли возможно. В любом случае, руководителей, которые решаются ограничить доступ на некоторые ресурсы с рабочего компьютера, не много. Разумным способом предотвращения утечки является запрет размещения стратегической информации в соцсетях, важной документации и обсуждения внутренних дел в диалогах на фейсбуке или в контакте. А также важно осуществлять контроль. Руководитель в праве защищать интеллектуальную собственность компании, поэтому может и должен контролировать действия своих подчиненных в соцсетях;

·         увеличение трафика. Излишняя нагрузка на интернет-канал, которая возникает из-за интенсивного использования социальных сетей или по вине трояна, который крадет трафик, является неблагоприятной для работы. И одна из важнейших тому причин — затруднения в использовании приложений, работа которых необходима для надлежащего функционирования предприятия.

            Подписавшись на журнал «Директор по безопасности», вы сможете узнать, как устранить множество факторов риска и обеспечить высокую эффективность в работе.

Сегодня уже ни для кого не секрет, что использование социальных сетей сотрудниками компаний стало привычным делом. Нужно признать, что руководители больше не могут закрывать глаза на то, что подчиненные тратят определенную часть своего рабочего времени на Facebook и Twitter. В то же время полностью блокировать доступ к таким сетям также пока не представляется возможным. Социальные сети уже давно стали средой, в которой мы учимся, играем и работаем. Виртуальные «места встреч» стали привычными для многих людей, и они вряд ли захотят что-либо менять. Клиенты, партнеры и сотрудники компаний также предпочитают «пересекаться» в этой социальной среде. Для заинтересованного человека это хороший шанс оставаться в контакте, получая отклики, нанимая новых работников и сотрудничая с коллегами. Вывод напрашивается сам собой: компаниям необходимы социальные сети как среда общения, чтобы иметь выход на инновации, эффективно повышать производительность труда и в итоге ускорять рост бизнеса.

Но те черты, которые делают социальные сети столь привлекательной средой общения, а именно: персонификация, простота, с которой можно делиться информацией,  общение в режиме чата – таят в себе значительные риски для бизнеса. Давайте  рассмотрим четыре наиболее значительных фактора риска, с которыми  неизбежно приходится сталкиваться, если социальные сети используются для делового общения.

Вредоносное программное обеспечение

По данным за 2010 г., социальные сети стали основной средой общения для многих пользователей, которые проводили в одной лишь сети Facebook в общей сложности больше 700 млрд мин в месяц. Это обстоятельство делает сайты таких сетей идеальной «площадкой» для внедрения вредоносного программного обеспечения. По сведениям  компании Sophos, разработчика и производителя средств защиты информации, до 40 % владельцев компьютеров пользовались вредоносным ПО, которое они получали с сайтов поддержки социальных сетей. А кибератаки чаще всего исходили от тех, кто считался  «другом» в сети. В частности, одни люди пытались хитростью навязать другим информацию в целях вовлечения их в очередную финансовую пирамиду. Давайте подробнее остановимся на нескольких типах вредоносного ПО, наиболее распространенных на сайтах социальных сетей:

1. 1.                  Фишинг. С появлением все более совершенных технологий у киберпреступника возникает все больше возможностей успешно выдавать себя за другого, известного, например, вам человека, и склонить вас таким способом к сообщению «чувствительной» информации, такой как логин и пароль доступа. Мошенники рассчитывают на то, что большинство людей для всех своих учетных записей используют один тот же пароль. Таким образом, перехитрив пользователя однажды, они имеют шанс получить доступ и к более серьезным в плане возможного получения дохода учетным записям, например таким, как интернет-банкинг. Очевидно, что в отношении пароля к интернет-банкингу мы все предельно осторожны, но, когда дело касается  собственных логина и пароля, которые ежедневно вбиваем на сайте социальной сети, мы не столь щепетильны. Это и создает лазейку для кибермошенника, который может украсть у нас реальные деньги. Вот почему все больше и больше фишинговых атак предпринимается на малозначимые на первый взгляд учетные данные пользователей социальных сетей.  
2. 2.                  Кликджекинг. Мошенники в социальных сетях всеми способами вынуждают нас «кликнуть» по ссылке, которую для удобства помещают на нашей «стене». Например, тот, кто числится у вас в друзьях, скрытно отправляет сообщение: «Посмотри мои фотографии» или же «Здесь кое-что про тебя». Когда вы кликните  по этой ссылке, то установите себе на компьютер вредоносное ПО в виде скрипта или исполняемого кода. Это ПО может быть использовано «хозяином», чтобы в удобный момент украсть у вас информацию или даже обрести контроль над вашим компьютером. Технология кликджекинга построена на динамическом характере общения в социальных сетях и общепринятом доверии ко всем ссылкам от знакомых и тем более от друзей. Даже получая ссылку от тех, кого человек не знает, он, возможно, нажмет ее, поскольку в социальных сетях многие стремятся пополнить свой «френд-лист» новыми друзьями. Задавая невинные вопросы, новые  знакомые могут попытаться извлечь из вас информацию частного характера, также они собирают адреса для СПАМ-рассылок, но главная их цель – получить доступ к вашей учетной записи в социальной сети.  

Разглашение данных

Социальные сети позволяют людям общаться, обмениваться опытом и информацией, однако не все сведения, которые туда попадают, предназначены для общественной огласки, кто-то делится секретами, например, с приятелем: «Привет, недавно встретил НН, думаю, что скоро получу новую должность» или «Я, наверное, облысею с горя, если нам не удастся исправить ошибки в этой чертовой программе, потерял сон, не знаю, что делать». Все это относится к внутренней, «инсайдерской» информации, которую лучше держать при себе. Известны случаи, когда сотрудники  публиковали в сети на форумах фрагменты кода проприэтарного[1] программного обеспечения, которое  относится к числу интеллектуальной собственности и потому является той самой «чувствительной» информацией (не конфиденциальной, но, тем не менее, не желательной к опубликованию). Даже будучи неосознанными, эти действия потенциально могут быть признаны нарушением тех или иных правовых актов, что поставит вашу компанию на рынке в невыгодные условия либо просто подпортит ей  репутацию.

Увеличение трафика

Почти 40 % работников отмечают, что общение в социальных сетях создает значительную нагрузку на интернет-канал и замедляет работу необходимых для ведения  бизнеса сетевых приложений. В этом году американское правительство разрешило свободный доступ к социальным сетям в учреждениях, и ответом стало увеличение сетевого трафика на 25 %. Одно лишь видео может создать тяжелые заторы во многих локальных сетях, так что хорошо подумайте, прежде чем в Facebook или Twitter посылать друзьям ссылки на видео. На одно лишь видео в режиме онлайн в сетях требуется пропускная способность от 500 кб/с до 1,2 Мб/с, а когда дело доходит до видео высокого разрешения (HD), нагрузка на сеть может увеличиться на 4–7 Мб/с. В случае, если десятки и сотни пользователей смотрят видео, пропускная способность сети, необходимая для работы сетевых приложений, неизбежно падает.

Падение производительности труда

Сайты социальных сетей дают возможность отправлять и читать сообщения, пересылать файлы, загружать свое и смотреть чужое видео, а также играть в компьютерные игры. Все это невероятно удобно и потому «затягивает» пользователей, которые тратят на развлечения все больше времени. При этом руководителю чрезвычайно трудно наладить, не устанавливая запретов, нормальный контроль за тем, чем подчиненные занимаются в социальных сетях. Отсутствие же такого контроля может негативно сказаться на производительности труда в компании. Вдруг  сотрудники вместо того, чтобы заниматься делом, «отсутствуют» на работе, переселившись мыслями в виртуальный FarmVille [2].

Защитите свой бизнес

Несмотря на то что любой компании для процветания в условиях современной экономики необходимо придерживаться политики открытости в отношении социальных сетей, нет никакой нужды мириться с рисками, которые эти сети несут с собой. Надо просто предпринять соответствующие меры, которые позволят защитить ваш бизнес и снизить факторы риска, сопряженные с открытостью социальных сетей для ваших работников. С этой целью можно использовать следующие варианты:

• сетевой экран, работающий в режиме реального времени. Социальные сети – это среда, переменчивая как море, и, чтобы противостоять здесь хакерам,  надо стать столь же непредсказуемыми, как и они. Весьма полезно проводить анализ интернет-трафика компании, он осуществляется «на лету» и позволяет  распознавать угрозы еще на дальних подступах. Анализ в режиме реального времени дает возможность просматривать отдельные соединения и выявлять факторы риска, обеспечивая своевременную защиту деятельности сотрудников компании в социальных сетях и в Интернете в целом. И когда кто-то из них получит очередное «Эй, тебе нужно это видеть!», то сможет, сообразуясь с советами сетевой системы безопасности, принять или заблокировать предложение;
• выборочный контроль использования социальных сетей. Для защиты организации от утечек данных и для обретения ее руководителем уверенности в том, что   сотрудники не нарушают принятые в отрасли ограничения на распространение информации, ему необходимо оставить за собой право следить за действиями своих работников на сайтах социальных сетей. Например, можно запретить подчиненным производить  загрузку на сайты социальных сетей текстовых файлов, фотографий и видеозаписей. Эта простая мера позволит снизить риск утечек данных и сохранить репутацию компании. Для реализации подобной инициативы на практике потребуется  определенное техническое  обеспечение, с помощью которого можно будет  выборочно контролировать деятельность работников в социальных сетях. Например, получать информацию, откуда исходит трафик (из сети Facebook или YouTube), или сведения о том, что делают люди внутри приложений: отправляют ли они почту, оставляют или получают сообщения с присоединенными файлами;
• работу с использованием кэш-памяти (кэширование). Не следует допускать, чтобы трафик от использования социальных сетей негативно сказывался на работе сетевых приложений, важных для ведения бизнеса. Однако социальные сети уже настолько прочно срослись с бизнес-процессами, что их блокирование нарушит работу  всей корпоративной сети. Но вы можете снизить влияние социальных сетей на пропускную способность канала иным образом – с помощью кэширования на сервере страниц часто запрашиваемых сайтов. Таким образом, после начальной загрузки из сети принимаемые файлы данных и видеофайлы будут храниться на локальном сервере, и это позволит уменьшить трафик и улучшить время реакции на запрос пользователя. При этом  можно будет получать доступ на сайты социальных сетей (вернее, на локальный сервер, где они хранятся и обновляются), не снижая пропускную способность сети предприятия;
• гибкую сетевую политику. В любой компании крайне важно выработать правильную позицию во всех вопросах, касающихся социальных сетей, что поможет   отсечь все ненужное и обеспечит удобную работу с полезными сетевыми приложениями. Например, можно заблокировать доступ на фейсбуковский FarmVille в рабочее время либо дозволить его, но с самым низким приоритетом. Таким образом, работа важных для бизнеса приложений не пострадает. Когда сетевая политика гибкая, есть возможность свободно изменять приоритеты приложений и контролировать работу людей в сети, временно или постоянно разрешая либо запрещая им доступ на определенные сайты. Способность провести четкую линию между социальными сетями и важными для бизнеса приложениями – это критический момент, определяющий эффективность осуществляемой политики. Руководитель вправе принять решение о том, чтобы заблокировать не только сетевые игры, но и отдельно устанавливаемые пользователями игровые программы, многие из которых требуют выхода в сеть. При гибкой политике социальные сети  больше не будут источниками угрозы для вашего бизнеса. Для этого достаточно построить правильную систему безопасности. 

Найджел Хоторн является вице-президентом по маркетингу компании Blue Coat Systems по Европе, Ближнему Востоку и Африке. В течение 25 лет он работает в сфере компьютеризации предприятий и обеспечения сетевой безопасности. Его усилиями в более чем 50 странах мира были созданы форумы по сетевой безопасности и электронной коммерции. Также он является автором ряда книг, посвященных компьютерам, сетевым протоколам и вопросам сетевой безопасности.

[1] Проприетарное программное обеспечение (англ. proprietary software; от proprietary – частное, патентованное, в составе собственности и software –  программное обеспечение) – программное обеспечение, являющееся частной собственностью авторов или правообладателей и не удовлетворяющее критериям свободного ПО (наличия открытого программного кода недостаточно).

[2] FarmVille – популярная игра в социальной сети Facebook.