Семинары, тренинги и мастер-классы

Главная | Полезное | Конкурентная разведка на практике

Конкурентная разведка на практике

Евгений Ющук
Стремление людей к общению заложено в самой природе человека. С появлением Internet люди не поменяли своих привычек, продолжая решать личные проблемы через корпоративные средства связи. Однако, к сожалению, далеко не всегда это обходится без последствий для предприятия.

С появлением Internet, электронной почты, форумов и чатов люди наконец-то получили возможность при минимальных затратах общаться в реальном масштабе времени, не задумываясь о местонахождении собеседников. Однако, как это часто происходит, с решением старых проблем появляются новые — люди не поменяли своих привычек. И если раньше с рабочих телефонов обсуждались домашние и частные проблемы, то сегодня к этому добавилось использование корпоративного почтового ящика в личных целях.

Поскольку это явление не создает видимых финансовых затруднений, в компаниях обычно вообще не считают его проблемой и просто игнорируют. Однако безобидность подобного явления на поверку оказывается иллюзорной. Ряд примеров, взятых из практики консалтинга в сфере конкурентной разведки, показывает проблемы, созданные исключительно тягой людей к общению на фоне бездействия служб информационной безопасности предприятий. Имеются факты, когда неграмотное пользование корпоративной электронной почтой позволило специалистам в области конкурентной разведки относительно быстро идентифицировать носителей конфиденциальной информации предприятия и сделало возможным получение от них необходимых данных.

Во всех этих случаях люди, попавшие в поле зрения подразделения конкурентной разведки, использовали в личных целях корпоративную электронную почту, содержащую в адресе псевдоним (ник, nickname) пользователя и доменное имя компании.

Приведенные в статье названия компаний, а также личные имена и ники сотрудников вымышленные. Область работы компаний на рынке также изменена, однако для того, чтобы картина исследования была как можно ближе к реальной и стали более понятны выводы, лежащие в основе принятия решений, принципы написания вымышленных личных имен и ников полностью соответствуют реальным.

Аудит

Специалисты по конкурентной разведке провели два отдельных исследования по открытым источникам с использованием поисковых систем Yandex, Rambler, Google и AlltheWeb. В первом случае стояла задача осуществить аудит предприятия с целью обнаружения несанкционированной руководством информации о компании в Internet. Во втором случае проводилось исследование предприятия-конкурента.

Изучалось предприятие ООО «Домайн», продающее замороженные продукты. Запрос «Домайн замороженные» был размещен в каждой из поисковых систем. В числе первых среди найденных страниц оказался сайт этой компании — www.domain.ru. C помощью услуги проверки доменного имени на Web-сервере компании ArtisMedia было установлено, что имя действительно зарегистрировано на данное предприятие. После этого исследователи провели поиск, включавший в себя фразу:

((«@domain.ru») (форум|чат|объявление|куплю|продам|forum|chat))

В результате были получены ссылки на несколько форумов, чатов, объявлений о купле-продаже квартир и автомобилей, где сотрудники этой компании публиковали свои сообщения. Большинство из них информационной ценности для целей исследования не представляло, однако внимание привлекли два человека, часто присутствовавшие в Сети.

Общительный системный администратор

Первый фигурировал под ником Ildar_P, был постоянным посетителем форума, посвященного компьютерам, и в своих регистрационных данных указал адрес электронной почты domain@domain.ru. Анализ его сообщений позволил предположить, что это квалифицированный специалист в области компьютерного оборудования, сетевых технологий и операционных систем. Принимая во внимание имя пользователя (ник domain) в электронной почте, исследователи сделали вывод, что имеют дело с системным администратором компании, которого зовут Ильдар. Как показывает практика, пользователи довольно часто связывают ник со своим настоящим именем, фамилией или должностью. В частности, командная должность нередко находит свое отражение в нике. Подобное явление хорошо известно психологам на примере армии: даже в случаях, когда подчеркивается необходимость соблюдения секретности при общении в эфире, большинство командиров берут себе позывной «Первый».

Информация о том, что имя системного администратора корпоративной сети стало быстро известно посторонним людям (в данном случае специалистам по конкурентной разведке), оказалась для руководителя предприятия неожиданностью. Мало того, Ильдар на форуме достаточно подробно рассказывал, например, о принципах настроек защиты сервера своей компании, что само по себе несет угрозу ее информационной безопасности. Системный администратор, знающий про компанию практически все, — это не тот человек, которого надо выставлять на всеобщее обозрение в Сети.

Руководитель предприятия счел инцидент заслуживающим самого пристального внимания ввиду его потенциальной опасности. Однако в силу своих личностных качеств он не был склонен драматизировать ситуацию до такой степени, чтобы последовали организационные выводы. Вместе с тем было очевидно, что ситуацию надо исправлять. Речь шла именно об исправлении, а не о профилактике рецидивов, так как системный администратор, лучше многих других понимая опасность произошедшего, первым заявил, что не допустит повторения подобных промахов впредь.

В то же время и для руководителя, и для системного администратора было очевидно, что убрать из Сети уже попавшую в нее информацию не представляется возможным. Более того, не было никакой гарантии, что информация уже не оказалась в руках заинтересованных лиц.

Принцип Али-Бабы

Специалисты по конкурентной разведке предложили применить стандартную схему, направленную на предотвращение утечек информации из первичных источников. Такая схема оправданна в случае выявления утечки информации, например, по каналам связи или с помощью «жучков». Надо отметить, что в описываемом примере сложилась более благоприятная ситуация, чем при обнаружении «жучков» (в этом случае неизвестно, что именно люди успели «наговорить в микрофон»): объем утечки был более очевиден, хотя, разумеется, следовало помнить о вероятности, что потенциальный недоброжелатель мог найти нечто такое, что аудиторы упустили из виду.

Предложенный вариант защиты можно назвать «принципом Али-Бабы»: если невозможно стереть крестик на своей двери, то надо нарисовать крестики на остальных. Как и в случае с «жучками», было бы совершенно неправильно прерывать «трансляцию». Более верное решение — продолжать выдавать информацию, но не истинную, а искаженную, постепенно отклоняя вектор фактов и выводов от реальных. Делать это следует до тех пор, пока в результате этих логичных внешне отклонений информация не перестанет соответствовать истинному положению вещей. При этом нужно создать иллюзию постепенного сворачивания активности на форуме, мотивировав это правдоподобной причиной. В случае с системным администратором осуществить это было достаточно легко.

После того как аудиторы оценили общее количество публикаций за последние три месяца (их оказалось 27) и число тех из них, где рассказывалось о настройках системы защиты (две), было принято решение в течение следующих трех месяцев дать еще 20 публикаций, с постепенным уменьшением «выходов в эфир». При этом в трех сообщениях первой десятки говорилось об изменениях в настройках защиты, а в 11-м — о том, что системный администратор сменил место работы, и поэтому времени на участие в форуме у него будет теперь меньше. Одновременно со «сменой места работы» изменился и адрес электронной почты на ikp@mail.ru. Поскольку системный администратор не считал важным для себя оставаться на форуме под прежним именем, он заранее зарегистрировался под другим ником и после 20-го сообщения сохранил свое присутствие только под новым именем. Надо отметить, что на некоторых форумах их участники получают «звания» и «регалии», что для многих оказывается важным, поэтому безболезненно убрать с форума любителя «поговорить в онлайне» не всегда удается.

Очевидно, данный инцидент произвел на системного администратора неприятное впечатление. Он стал реже публиковать свои сообщения, прекратив писать фразы, подобные следующей: «У нас на работе...».

Руководитель предприятия решил пойти на такие, возможно, чрезмерные по отношению к масштабам происшествия меры по двум причинам.

Во-первых, личность системного администратора предприятия должна быть если не засекречена, то по крайней мере не афишироваться. В противном случае при осуществлении недружественных действий в отношении компании, у нападающей стороны появляется возможность быстрой нейтрализации тем или иным способом человека, который способен находить, уничтожать или изменять информацию в системе, что резко снижает способность компании к сопротивлению. Кроме того, системный администратор — носитель информации о доступе практически ко всем конфиденциальным данным, поэтому при определенных обстоятельствах он может быть подвергнут давлению криминального характера. Наконец, знание должности, имени и электронного адреса человека открывают широкий простор для деятельности «социальных инженеров», манипулирующих собеседниками и моделирующих мнимую ситуацию для того, чтобы заставить его выдать нужную информацию. Подобные знания могут, например, позволить злоумышленнику задавать вопросы пользователям компьютерной сети предприятия о паролях доступа в систему от имени администратора сети. Причем сделать это можно как по телефону, так и по электронной почте. Редкий пользователь, увидев, что электронное письмо пришло с адреса системного администратора, станет проверять его истинный источник и обратный адрес, особенно в конце рабочего дня и при наличии внешне достоверной формулировки вопроса.

Во-вторых, руководитель предприятия, услышав от специалистов по конкурентной разведке о существовании типовых решений для подобных ситуаций, захотел провести своего рода «учения» по поставленной проблеме.

Любитель автомобилей и флирта

Второй сотрудник «Домайна», попавший в поле зрения при аудите компании, регулярно продавал свои подержанные автомобили и покупал взамен них другие и, кроме того, активно и не без успеха пытался подружиться с девушками. Благодаря его «стараниям» адрес электронной почты serjikoph@domain.ru и характерный ник SerjikOPH по количеству упоминаний в Сети приближались к общему количеству упоминаний о фирме. Более того, на одном из Internet-ресурсов, посвященных знакомствам, рядом с рассказом, иллюстрирующим его достоинства и предпочтения, был опубликован портрет этого общительного человека. Для подтверждения имени данного персонажа специалистам по конкурентной разведке даже не пришлось никого спрашивать — Сергей сам написал его рядом со своим фото. Руководитель предприятия, увидев этот портрет, узнал в нем специалиста отдела маркетинга, допущенного ко всей информации о маркетинговых проектах предприятия и его иногородних филиалов. Чем это могло быть потенциально опасно для компании? Чтобы точнее ответить на этот вопрос, необходимо немного теории и аналогий.



Семинары и тренинги. 2009 © FinS.ru