Социальная инженерия серьезная угроза безопасности при работе служб поддержки

Социальная инженерия серьезная угроза безопасности в работе служб поддержки

Компания RSA, подразделение безопасности корпорации EMC, обнародовала результаты нового опроса SANS Institute, посвященного угрозам нарушения конфиденциальности данных, к которым может привести работа служб  поддержки.

Опрос SANS «Безопасность и конфиденциальность при работе служб поддержки» за 2013 год, в котором приняло участие более 900 ИТ-специалистов со всего мира, выявляет наиболее распространенные уязвимости в работе служб поддержки и предлагает рекомендации, которые помогут организациям устранить эти критически важные проблемы. Результаты опроса касаются регламентации рабочих процессов служб поддержки в организациях, а также процедур и действий персонала служб поддержки, которые потенциально могут повлиять на безопасность предприятия.

Чаще всего обращения в службы поддержки касаются распространенных ИТ-проблем (например, сброса пароля и проблем с приложениями и подключением). Часто эффективность работы специалистов службы поддержки определяется тем, насколько быстро они могут ответить пользователям и устранить проблему. К сожалению, во многих случаях соблюдение безопасности не играет существенной роли в этом процессе, и поэтому  службы поддержки, сами того не желая, становятся точкой входа  для хакеров и злоумышленников-инсайдеров при попытке  получить доступ к конфиденциальным ресурсам предприятия.

Большинство респондентов (69%) назвали социальную инженерию самой серьезной угрозой безопасности при работе служб поддержки.  Однако в большинстве организаций для идентификации пользователей, обращающихся в службу поддержки, по-прежнему используются базовые личные данные (имя/подразделение и идентификационный номер сотрудника) — информация, которую злоумышленник может найти без особенных сложностей.  Кроме того, многие сотрудники служб поддержки обходят проверки безопасности в стремлении  оказать помощь пользователям быстро и эффективно.

Помимо человеческого фактора, важную роль в недостаточном обеспечении общей безопасности при работе служб поддержки играют недостаток  обучения, отсутствие инструментов и технологий. Более 51% респондентов заявили, что используют умеренный подход к обеспечению безопасности при организации работы служб поддержки в рамках общего корпоративного контроля безопасности, но не уделяют должного внимания обучению персонала или использованию всех необходимых технологий при выполнении повседневной работы.  В большинстве случаев бюджеты определяются количеством обслуживаемых пользователей, а не стоимостью в расчете на вызов или даже стоимостью потенциальных угроз безопасности, и поэтому расчет окупаемости для новых рабочих процессов, дополнительного обучения и инструментов для повседневных операций по оказанию поддержки может оказаться исключительно сложной задачей. 

Другие интересные  результаты исследования:

  • 44% респондентов считают, что верификация пользователей при обращении в службу поддержки представляет существенно большую угрозу, чем верификация пользователей, находящихся на самообслуживании (11% респондентов).
  • Только 10% респондентов оценили процедуры безопасности в своей организации как надежные.
  • Почти 43% респондентов не учитывают стоимость инцидентов, подвергающих угрозе безопасность данных, при утверждении бюджета, выделяемого на службы поддержки, который чаще определяется в зависимости от количества пользователей.

Обращение в службу поддержки для сотрудников остается предпочтительным способом разрешения базовых проблем, связанных с ИТГлавным в работе службы поддержки является наилучшее обслуживание пользователей, и поэтому специалисты службы поддержки могут обладать расширенными правами, что делает их привлекательной мишенью для социальных инженеров и технических хакеров, пытающихся получить доступ к корпоративным сетям.  Чтобы устранить уязвимости в организации работы служб поддержки, организациям необходимо пересмотреть свой подход к обеспечению удобства пользователей и большее внимание уделять защите от угроз. Рекомендуемые передовые практики:

  • Использование вариантов автоматизации и самообслуживания для устранения распространенных проблем пользователей (включая сброс паролей), чтобы уменьшить число ошибок и уязвимостей, приводящих к успешным взломам систем безопасности и хищению данных.
  • Качественное и непрерывное обучение специалистов служб поддержки, чтобы научить их распознавать потенциальные атаки с использованием социальной инженерии и реагировать на них.
  • Современные инструменты, которые используют динамические источники данных и новые способы аутентификации для повышения достоверности идентификации пользователей и их местоположения.

Мнение руководителя RSA

Сэм Карри (Sam Curry), главный технолог компании RSA, подразделения безопасности корпорации EMC

«Во многих случаях служба поддержки представляет собой первую линию обороны против взломов, и обеспечение ее безопасности должно иметь такой же приоритет, как и безопасность любой другой критически важной функции.  Новая служба поддержки должна найти оптимальный баланс между усиленной безопасностью и удобством для конечного пользователя. Для этого обеспечение безопасности можно интегрировать непосредственно в рабочий процесс, добавив технологии автоматизации и аутентификации корпоративного уровня, а также уделив достаточное внимание постоянному обучению».

Беззубый закон: Касперская раскритиковала регулирование ИИ в нынешнем виде

Президент группы компаний InfoWatch Наталья Касперская раскритиковала законопроект об искусственном интеллекте, который Госдума приняла в первом чтении. В интервью Бизнес ФМ она заявила, что в нынешнем виде документ выглядит беззубым и не решает ключевые риски, ради которых, по её словам, его изначально и обсуждали.

Касперская напомнила, что сначала речь шла о регулировании опасных сценариев применения ИИ: например, о ситуациях, где нейросети могут галлюцинировать, давать неверные ответы и влиять на чувствительные сферы.

Тогда логичный вопрос: кто несёт ответственность за последствия. Но теперь, по её мнению, законопроект скорее предписывает использование технологии, чем ограничивает вредные применения.

Отдельно она прошлась по теме авторских прав. По словам Касперской, если закон фактически позволит использовать чужие произведения для обучения ИИ без нормальной компенсации авторам, это станет серьёзной проблемой и может конфликтовать с Гражданским кодексом.

Она не согласилась с аргументом, что человек тоже читает книги и обучается на чужом творчестве. Разница, по её словам, в том, что человек покупает книгу и получает право пользоваться контентом, а ИИ может один раз взять произведение, затем бесконечно размножать похожий результат и лишить автора заработка. Касперская назвала это технологичным совершенствованием пиратства.

Ещё одна претензия — попытка закрепить в законе конкретные технологии. В документе, например, говорится о больших фундаментальных моделях, но ничего не сказано об ИИ-агентах. По мнению Касперской, это странный подход: технологии быстро меняются, и закон может устареть быстрее, чем его успеют дописать.

Разработчики законопроекта ранее говорили, что он носит рамочный характер, а спорные вопросы будут регулироваться подзаконными актами. Минцифры обещало представить первые документы уже к осени, в том числе по теме авторских прав. Но пока, судя по реакции Касперской, у индустрии вопросов к этому ИИ-регулированию больше, чем ответов.

RSS: Новости на портале Anti-Malware.ru