JAV kiekvienais metais yra rengiamas socialinių programišių turnyras. Programišių konferencija vyksta Las Vegase, per kurią programišiai ieško silpnų vietų IT saugumo sistemose. Jie įsilaužia į stambių JAV kompanijų kompiuterinius tinklus ir pavagia informaciją. Visą įsilaužimo procesą stebi svečiai – dažnai tai būna FTB, NSA, JAV gynybos ministerijos atstovai.

Turnyro pradžioje organizatoriai kiekvienam programišiui duoda žinomų ir stambių kompanijų sąrašą. Programišius išsirenka auką. Taip pat jis gauna duomenis, kuriuos turi įgyti iš kompanijos. Programišius dvi savaites nagrinėja pasirinktą kompaniją. Ieško silpnos vietos jos kompiuterinėje sistemoje. Per rungtynes programišius užima specialią vietą kabinoje, kuri įrengta ant scenos. Jis per dvidešimt minučių turi surinkti kuo daugiau taškų (gauti kuo daugiau informacijos). Jo darbą stebi svečiai.

Socialiniai proramišiai stengiasi nesireklamuoti ir neviešinti savo tapatybės. Programavimo aistruolių turnyro dalyviai yra išimtis. Tai yra specialistai, kurie kuria ir testuoja saugumo sistemas. Jie atlieka IT sistemų saugumo auditus, yra savo srities ekspertai. Todėl reklama jiems yra reikalinga ir naudinga.

Praėjusių metų turnyro nugalėtoju tapo Šeinas Magdugalis, kuris be didelių pastangų įsilaužė į „Wal-Mart“ parduotuvę. Šeinas paskambino parduotuvės vadovui, prisistatė logistikos vadybininku iš „Wal-Mart“ pagrindinio biuro. Jis pasakė, kad „Wal-Mart“ gavo didelį vyriausybės užsakymą, kad yra parengta speciali programa, kurią realizuojant dalyvaus dalis „Wal-Mart“ parduotuvių. Jos turi atitikti tam tikrus reikalavimus. Jis, kaip logistikos vadybininkas, atsakingas už parduotuvių parinkimą. Šeinas paaiškino parduotuvės vadovui, kad už kelių dienų atvyks įvertinti parduotuvės, tačiau dabar jam reikalinga informacija apie parduotuvės valdymo operacinę sistemą. Parduotuvės vadovas ne tik suteikė visą programišiui reikalingą informaciją (taškus), bet dar pridėjo papildomos.

Po sėkmingos operacijos Š. Magdugalis CNN žurnalistams pasakė, kad jo mėgstamiausi klientai yra pardavimų vadybininkai. Reikia jiems leisti „užuosti“ didelius pinigus, kai jie praranda sveiką protą. Jis atkreipė žurnalistų dėmesį į tai, kad kompanijos į IT saugumo sistemas investuoja milžiniškas sumas, o į darbuotojų mokymus ir instruktažą – centus.

Informacijos išgavimo telefonu metodą dažnai naudojo legendinis vieno laikraščio redaktorius Gari Romanovas. Beveik visas sensacijas jis gavo telefonu. Prisistatydavo policijos viršininku, gubernatoriumi ar priešgaisrinės apsaugos departamento vadovu. Istorijoje yra žinomas atvejis, kai Romanovas suklydo. Jis paskambino į namus, kuriuose buvo įvykdyta žmogžudystė. Namuose dirbo speciali policijos grupė. Romanovas prisistatė policijos detektyvu. „Kalba detektyvas Obainas. Kokia situacija nusikaltimo vietoje? Kiek nužudyta žmonių?“ – paklausė Gari. „ Po velnių kas tu būsi toks? Detektyvas Obainas esu aš“, – išgirdo jis.

Verslininkai turi suvokti, kad šiuolaikiniams programišiams yra daug lengviau dirbti nei anksčiau. Jiems telieka pasirinkti auką, surinkti apie ją informaciją, išsiaiškinti kompanijos struktūrą, santykius tarp darbuotojų ir vadovų, elgesio kultūrą, naudojamus specialius darbo žargonus ir viskas. Belieka skambinti darbuotojui, apsimesti jo kolega ir ištraukti iš jo reikiamą informaciją.

Reikia suprasti, kad silpniausia kompanijos vieta yra ne IT, bet savi darbuotojai. Todėl net ir klestint aukštosioms technologijoms konkurentai gali prieš jus panaudoti seną, patikrintą ir patikimą darbo metodą – žmogiškąjį faktorių.

Tipinė situacija. Žmogus skambina kompanijos buhalterei ir prisistato valstybės statistikos departamento darbuotoju. Jis paprašo buhalterės užpildyti anketą, kurią jis išsiuntė elektroniniu paštu. Anketa yra šabloninė ir atitinka visus reikalavimus. Ji nekelia įtarimų. Viena buhalterė sąžiningai užpildys anketą ir visus duomenis išsiųs tiesiai konkurentui. Kita buhalterė bus gudresnė. Ji paskambins statistikos departamentui ir paklaus jų dėl anketos.

Reikia suvokti, kad techninės apsaugos priemonės nėra visagalės. Konfidencialią kompanijos informaciją turi saugoti ne tik brangios IT technologijos, bet ir darbuotojai. Verslininkai turi skirti didelį dėmesį administracinei apsaugai, darbui su žmonėmis. Kiekvienoje bendrovėje privalo būti reglamentuotas darbas su komercine paslaptimi. Kiekvienas naujas darbuotojas turi susipažinti su vidaus tvarka, taisyklėmis ir raštiškai pasižadėti saugoti paslaptį. Nors vieną kartą per metus būtina instruktuoti, mokyti darbuotojus. Darbuotojai turi žinoti, kokia informacija yra konfidenciali, o kokia – ne.

Programišiai seniai domisi socialiniais tinklais, renka apie žmones informaciją. Žinoma atvejų, kai jie sukuria kompanijos generalinio direktoriaus arba jo žmonos vardu puslapį ir pradeda „draugauti“ su darbuotojais. Tokio tipo įsilaužimui yra parenkamos kompanijos, kurių pagrindinis biuras geografiškai yra nutolęs nuo filialų arba kurios darbuotojai turi mažai galimybių susisiekti su vadovu. Kompanijos, kuri užsiima visapusiška įslaptintų duomenų apsauga, darbuotojai ignoruoja netikrą generalinio direktoriaus puslapį, nes jie yra supažindinami su galimais pavojais ir tikru vadovo puslapiu.

Verslininkai turi rūpintis ne tik technine, elektronine, mechanine ir fizine bendrovės konfidencialios informacijos apsauga, bet ir administracine. Kam reikia kišti milijonus į aukštąsias apsaugos technologijas, kai su jomis dirbantis personalas viską ir visiems išpasakoja?

Komentarai (0)