CC BY
71
Ключевые слова: финансы, финансовый потенциал территории, концепция управления, оптимизированное управление, фактор, принципы, формы проявления, финансовые ресурсы.
Karpinsky BA., Grigorenko V.O. The concept of optimized system management by financial potential on the territory
The functional dependence and the essence of the financial capacity on the territory are selected. The basics of forming a new system of management by financial potential of the territory, which is based on the concept of optimized control are outlined. The basic stages of managing by financial potential are considered. The basic principles of management are presented.
Keywords: a finance, financial potential of the territory, the concept of governance, optimized management, a factor, the principles, the forms of manifestation, financial resources.
УДК 004.056:061.68 КурсантН.В. Чудтова; проф. Ю.1. Грицюк,
д-р техн. наук - Львiвський ДУ БЖД
ОСОБЛИВОСТ1 ВИКОРИСТАННЯ МЕРЕЖ1 1НТЕРНЕТ ДЛЯ ОТРИМАННЯ КОНФ1ДЕНЩЙНО1 ШФОРМАЦН
Прагнення людей до сшлкування, особливо в сощальних мережах, закладене в самш природi людини. З появою мережi 1нтернет люди не помшяли сво!х звичок, продовжуючи виршувати особист проблеми через корпоративнi засоби зв'язку. По-заяк використання поштово! скриньки у власних потребах не створюе видимих нансових витрат, то в багатьох державних установах такий стан речей взагаш не вва-жають проблемою, тому просто II тимчасово ^норують, позаяк придшяють увагу ви-рiшанню iнших нагальних проблем. Проте користь подiбного явища на перевiрку ш-формацiйноI' безпеки багатьох установ виявилася хибною, тобто не завжди це обходиться без наслщюв для фiрм чи держави.
Ключовг слова: шформащйш загрози, шформацшна безпека, конфiденцiйна ш-формащя, джерела загроз, промислова компанiя.
Вступ. Останшм часом набуло широкого розповсюдження сшлкування людей в мереж1 1нтернет, електронною поштою Skype, на форумах 1 в чатах, не замислюючись при цьому про мюцезнаходження сшвбесщниюв [15]. Велика швидюсть передач1 даних 1 збшьшена продуктивнють комп'ютер1в да-ють змогу користувачам за мшмальних витрат не тшьки обмшюватися тек-стовими повщомленнями в реальному чаш1, але й здшснювати аудю- 1 вщео-зв'язок [14]. Проте, як це часто трапляеться, з вир1шенням попередшх проблем з'являються нов1, позаяк охоч1 до розмов не помшяли сво!х звичок. Нап-риклад, якщо рашше з робочих телефошв обговорювалися здебшьшого до-машш та особисп проблеми, то сьогодш до цього додалося використання корпоративно! електронно! адреси як у робочих, так 1 в особистих потребах.
Оскшьки використання поштово! скриньки не створюе видимо! фшан-сово! проблеми, то в багатьох державних установах, в т.ч. структурних тд-роздшах ДСНС Укра!ни, такий стан речей взагал1 не вважають проблемою, тому просто !! тимчасово шнорують, позаяк придшяють увагу вир1шанню ш-
1 Пiд спiлкуванням у реальному час^ як правило, розумiють такий процес обмну шформащею, при якому у тих, що спiлкуються, е можливiсть отримувати у вiдповiдь повщомления з мiнiмальною затримкою в чась
ших нагальних проблем. Проте користь подiбного явища на nepeBipKy 1Б ба-гатьох установ виявилася хибною. Значна кшьюсть прикладiв [1, 3, 11, 13], виявлених фахiвцями з аудиту 1Б, висвiтлюe проблеми 1Б установ, як були створеними виключно прагненням людей до спшкування на фонi бездiяль-ностi керiвникiв служб 1Б. € факти, коли безграмотне користування корпоративною електронною поштою дало змогу фахiвцям з конкурентно! розвiдки вщносно швидко iдентифiкyвати вiдповiдних осiб - носив конфщенцшно! ш-формацп установи i зробити все можливе для того, щоб отримати вiд них потрiбнi данi, навiть, не прикладаючи до цього великi зусилля [13].
В ушх наведених нижче випадках вщповщш особи, якi потрапили в поле зору фахiвцiв з аудиту 1Б, використовували в особистих цшях корпора-тивну електронну пошту, яка мютить в адресi мережеве iм'я (нiк, nickname) користувача i доменне iм'я установи. Для того, щоб результати дослщження виявилися правдоподiбними, а також допитливому читачевi стали зрозумши-ми висновки, якi знаходяться в основi прийнятих рiшень фахiвцiв з аудиту 1Б, вигаданi далi в робот особистi iмена та !хш адреси повнiстю вiдповiдають реальним.
Фахiвцi з аудиту 1Б провели два окремих дослiдження за допомогою вiдкритих джерел шформацп з використанням пошукових систем Yandex, Rambler i Google. У першому випадку потрiбно було здшснити аудит фiрми з метою виявлення несанкцюновано! керiвництвом шформацп про не! в мережi 1нтернет. У другому випадку проводилося дослщження фiрми-конкyрента стосовно витоку конфщенцшно! шформацп про деяю особливостi ll роботи.
Дослiджyвалася фiрма "СофтСервiс", яку було засновано у Львовi в 2003 роцi зi спецiалiзацieю на складаннi комп'ютерiв з комплектних деталей, завезених переважно з кра!н Схщно! Азп. Запит "СофтСервю комп'ютери" був розмiщений в кожнш з пошукових систем. Серед перших знайдених сто-рiнок виявився сайт ll фiрми - http://softservice.com.ua, а також адреса офюу та вщповщш телефони приймально! керiвника та вщдшу маркетингу. За допомогою послуги перевiрки доменного iменi на Web-серверi компанп Soft-Maximum було встановлено, що iм'я дiйсно зареестроване на дану фiрмy. Пю-ля цього у зазначених пошукових системах було внесено таку фразу: "softser-vice.com.ua"&&+(форyм|чат|оголошення|кyплю|продам|знайомства|foum|chat).
Внаслiдок такого пошуку було отримано посилання на декiлька фору-мiв i чатiв, де розмщувалися оголошення про кутвлю-продаж комп'ютерiв, комплектних деталей i офюно! технiки, а також деяю ствробиники ще! фiр-ми залишали сво! повiдомлення. Бiльшiсть з них для потреб дослщження не мали шформацшно! цiнностi, проте увагу привернули двi особи, якi не часто були присутш на форумах i в чатах, проте привернули увагу фахiвцiв з 1Б.
1. Професшш поради на форумах i в чатах. Перший спiвробiтник фiрми "СофтСервiс" фiгyрyвав пiд псевдонiмом Edic_Soft, був постiйним вщ-вiдyвачем форуму, присвяченому комп'ютерам i !хшм проблемам. У сво!х реестрацiйних даних вш вказав адресу електронно! пошти edic@softservi-ce.com.ua. Аналiз його повiдомлень дав змогу фахiвцям з аудиту 1Б зрозумь ти, що це квалiфiкований працiвник у областi комп'ютерно! шженерп, мере-
жевих технологш i операцiйних систем. Зважаючи на iM^ користувача (шк softservice) в електроннш пошп, було зроблено висновок, що йдеться можли-во про системного адмшстратора фiрми "СофтСервю", якого звати Едуард. Як показуе практика [7], користувачi досить часто пов'язують HiK 3i сво!м справжнiм iMeHeM, прiзвищем або посадою. Зокрема, командна посада часто знаходить свое втшення в шку: manager, finance, sys_admin, editor.
Щоб переконатися, що Едуард справдi працюе на фiрмi "СофтСервю" i на якiй посадi, фахiвцям з аудиту 1Б довелося зателефонувати в приймальну директора фiрм, представитися представником навчально! установи i попро-сити зв'язатися з системним адмшстратором Едуардом з приводу налаго-дження комп'ютерно! мережi. На що секретар люб'язно вiдповiла, що "...Еду-арда Григоровича сьогодш на роботi немае - вш у вiдрядженнi". Проте, нею ж було запропоновано зв'язатися з його заступником, який спробуе виршити ус нашi питання. Виявляеться, ще й секретар з легюстю видае iнформацiю, яка не входить в !! компетенцiю.
Iнформацiя про те, що iм'я системного адмшютратора корпоративно! мережi стало швидко вщоме стороннiм особам (в нашому випадку фахiвцям з аудиту 1Б), виявилася для директора фiрми "СофтСервiс" несподiванкою. Вiн не очiкував й того, що Едуард на форумi досить детально розповщав вщвщу-вачам, наприклад, про принципи налаштувань захисту уявного мережевого сервера, оргашзащя мережево! шфраструктури для уникнення загроз шфор-мацшнш безпецi тощо. Системний адмiнiстратор, який знае практично все про захист шформацшних ресуршв фiрми, - це не та особа, яка мала б вис-тавляти себе на загальний огляд у соцiальнiй мережi та ще й давав професшш поради у сферi 1Т та 1Б.
Директор фiрми "СофтСервiс" визнав, що шцидент потребуе ретель-ного аналiзу, зважаючи на його потенцшну небезпеку [2]. Проте, через свою поблажливють, або, можливо, з шших мiркувань, вiн не був схильний усклад-нювати ситуацiю до тако! мiри, аби приймати органiзацiйнi висновки. Водно-час було зрозумiло, що ситуащю треба негайно виправляти, бажано без зайвого розголосу. Йшлося саме про виправлення, а не про профшактику рецидиву [3], оскшьки системний адмшютратор, розумiючи краще за багатьох шших небезпеку скоеного, визнав свою провину i заявив, що надалi не допустить повторення подiбних промахiв.
Окрiм цього, як для керiвника фiрми, так i для системного адмiнiстра-тора було очевидне, що прибрати з мережi шформащю, яка вже потрапила в не!, швидше за все не вдасться. Бшьше цього, не було впевненосп в тому, що шформащя вже не потрапила в руки защкавлених осiб з конкурентних фiрм.
Захист 1нформац1йних ресурс1в за "принцип Ал1-Баби". Фахiвцi з аудиту 1Б запропонували керiвнику фiрми "СофтСервiс" застосувати стандар-тну схему, направлену на запоб^ання витоку iнформацil з первинних джерел [9]. Така схема е виправданою в разi !! виявлення, наприклад, каналами зв'яз-ку або за допомогою "жучкiв" - закладних пристро!в. Адже, в описуваному прикладi склалася дещо сприятливiша ситуацiя, шж при виявленнi "жучкiв", коли де-факто невщомо, що саме працiвники фiрм встигли "наговорити в мiк-
рофон". Обсяг витоку шформацп у соцiальнiй мережi був очевидний, хоча, ймовiрнiсть того, що потенцiйний зловмисник вже 3Mir знайти щось таке, що аудитори випустили з уваги, залишалася великою.
Запропонований аудиторами варiант захисту шформацшних ресурсiв називаеться "принципом Алi-Баби": якщо неможливо стерти хрестик на сво1х дверях, то треба його намалювати на всiх iнших [6]. У нашому випадку було б неправильно переривати сшлкування в сощальнш мережi та на форумах. Тому було прийнято ршення - продовжувати видавати шформащю, але не достеменну, а дещо спотворену, поступово вiдхилюючи правдоподiбнiсть фактiв i висновюв вiд реальних. Робити це слiд до тих тр, поки, внаслiдок таких лопчних вiдхилень, iнформацiя не перестане вщповщати дiйсному стану справ на фiрмi "СофтСервiс". При цьому потрiбно створити iлюзiю посту -пового згортання активносп Едуарда Григоровича на форум!, мотивуючи це якоюсь правдоподiбною причиною. Зважаючи на його обiзнанiсть в IT i зайву балакучiсть, здшснити це було достатньо легко.
Пюля того, як було оцiнено загальну кiлькiсть його публiкацiй на фо-румi за останнi три мюящ (1х виявилося 16) i кшьюсть тих з них, де розповь далося про налаштування системи захисту мережевого сервера, було прийня-то рiшення протягом наступних двох мюящв дати ще 13-15 публжацш на за-гальнi теми з IT, поступово зменшуючи !хнш обсяг. При цьому в трьох повь домленнях першо! десятки йшлося про деяю правдоподiбнi змiни в налашту-ваннях захисту сервера, а в 11 -му - про те, що придбано новий мережевий сервер з надзвичайно потужними можливостями (коротка шформащя про нього була взята з мережi 1нтернет), а також у 13 повщомленш - про те, що Едуард змушений змшити мiсце роботи, позаяк iде на тдвищення. Одночас-но зi "змшою мiсця роботи" змiнилася i адреса його електронно! пошти на ki-sa@gmail.com.ua. Оскiльки системний адмiнiстратор не вважав за потрiбне все ж таки залишатися на форумi, то вш заздалегiдь зарееструвався пiд ш-шим псевдонiмом i зберiг свою присутнють тiльки пiд новим iменем. Причина в тому, що на деяких форумах !х учасники отримують "звання" та "рега-ли", що для багатьох спiвбесiдникiв виявляеться досить важливим, тому без-болюно прибрати з форуму охочого поговорити в on-line режимi не завжди вдаеться [5].
Вочевидь, цей шцидент заставив системного адмшстратора фiрми "СофтСервю" задуматися над сво!ми дiями i, насамперед, визначити недопус-тимiсть свое! поведшки. Вiн перестав публiкувати сво! повщомлення, якi сто-сувалися його безпосередньо! роботи, наводити приклади реальних налашту-вання мережевого сервера тощо. Водночас, керiвник фiрми за порадою фах!в-цiв з аудиту 1Б вирiшив пiти на так! надмiрнi, за вiдношенням до масштабiв витоку шформацп, заходи, виходячи з двох причин [13].
По-перше, особа системного адмшстратора ф!рми в соцiальнiй мереж! взагалi мае бути засекречена, або не афiшуватися взагалi. 1накше, при здiйсненнi недружшх дш вщносно ф!рми "СофтСервю" фах!вщв з конкурентно! розвщки, з'являеться можливють швидко! нейтрал!зацп тим або шшим способом посадово! особи, яка в змоз! знаходити, знищувати або змшювати
шформащю в корпоративнш мереж^ що рiзко знижуе здатнiсть фiрми до опору [6]. Системний адмшютратор - носiй шформацп про системнi доступи практично до вшх конфiденцiйних даних, тому при певних обставинах вш може бути тдданий певному шантажу представниками конкурентно! розвщ-ки, внаслiдок чого результати подальших його дiй матимуть кримшальний характер. Водночас, знання посади, iменi та електронно! адреси системного адмшютратора часто вiдкриваe широкий простiр для дiяльностi "соцiальних аналiтикiв", якi навчеш манiпулювати спiврозмовниками i моделювати уявш ситуацi! для того, щоб змусити !х видати потрiбну iнформацiю [8]. Подiбнi знання дають змогу фахiвцю з конкурентно! розвiдки ставити питання корис-тувачам корпоративно! мережi фiрми "СофтСервiс" про паролi доступу в систему вщ iменi адмшютратора мережг При цьому зробити це можна як телефоном, так i електронною поштою. Рiдкiсний пращвник, побачивши, що електронний лист прийшов з адреси системного адмiнiстратора, стане перевь ряти його правдоподiбнiсть i зворотну адресу, особливо в кшщ робочого дня та за наявносп зовнi достовiрного формулювання запитання.
По-друге, директор фiрми "СофтСервiс", почувши вщ фахiвцiв з аудиту 1Б про iснування типових рiшень для виходу з подiбних ситуацiй, захопв провести свого роду "навчання" ствробггниюв з виявлено! проблеми.
3. Охочий до фл1рту з чар1вними д1вчатами. Другий спiвробiтник фiрми "СофтСервiс", який потрапив у поле зору фахiвцiв з аудиту 1Б, регулярно продавав уживаш комп'ютери та старi комплектнi деталi, i, окрiм цього, активно спшкувався з чарiвними стврозмовниками. Завдяки його "старанням" адреса електронно! пошти fedir@softservice.com.ua i характер-ний шк FedirTP за кiлькiстю згадок у мережi наближалася до десяти сторшок Веб-сайту. Бiльше цього, на одному з 1нтернет-ресуршв, присвяченому знайомствам, поряд з розповiддю про свою роботу на фiрмi "СофтСервiс", шюструючи !! перспективи спiвпрацi з азшськими комп'ютерними фiрмами, було виставлене фото цього балакуна бiля свого авто при входi на роботу. Для отримання його iменi не довелося шкого й запитувати - Тарас Петрович сам написав його поряд зi сво!м фото, а Федiр, як виявилося - його прiзвище. Керiвник фiрми "СофтСервiс", побачивши це фото, втзнав у ньому провщ-ного фахiвця вiддiлу маркетингу, допущеного до всie! iнформацi! про !! мiж-народнi проекти. Чим це могло бути потенцшно небезпечним для фiрми, здо-гадатися необiзнаному читачевi важко, тому для точнiшо! вщповда на це запитання, наведено трохи теорп та деяких аналогш з подiбних ситуацiй.
Згiдно з класичними поглядами [13], одне з найважливших завдань конкурентно! розвiдки - надання своему керiвництву iнформацi! про те, де вщносно конкурентiв знаходиться фiрма зараз i де вона виявиться завтра. Зрозумшо, знання плашв конкурента дае змогу керiвниковi фiрми прийняти найбiльш правильне рiшення про стратепю подальших дiй. Це настшьки важливо, що, наприклад, крупнi американсью компанi!, якi торгують зерном, витрачають значнi суми на придбання зшмюв з космосу, на яких зображеш поля в кра!нах-виробниках сiльськогосподарсько! продукцп. Внаслiдок такого контролю е можливють ранiше i точнiше за конкуренпв прогнозувати си-
туацiю на ринку сшьськогосподарсько! продукцп. У нашш ситуацп ставки набагато менш^ але вiдмiнностi обмежуються тiльки масштабами товарообь гу. Для керiвництва компанп-конкурента мати джерело шформацп про рь шення, прийнятi усерединi фiрми "СофтСервю", - справжнш успiх. Якщо до цього додати, що для регулярного отримання подiбноl стратепчно! шформацп достатньо тшьки трохи вiскi (про те, що цей маркетолог е великим при-хильником цього напою, вш сам люб'язно повiдомив на форум^ розповща-ючи про !хш марки, смаки i цiни), то конкурента в особi такого фахiвця могли знайти цшне джерело шформацп про ринки збуту комп'ютерного облад-нання, тендернi пропозицп, потенцiйнi замовлення тощо.
Для отримання регулярно1 шформацп достатньо було вийти з вiрту-ального свпу в реальний, скориставшись схильнiстю маркетолога вступати на форумах у суперечку з будь-якого приводу, i укласти з ним парi на пляшку вiскi про що завгодно, головне - зi свщомо програшним результатом для фа-хiвця з конкурентно1 розвiдки. Пiсля особистого знайомства, найiмовiрнiше, за чаркою вюю контакт буде налагоджено i можна розраховувати на те, що таю зустрiчi стануть постiйним приводом для будь-яких дискусш - ну як же в таюй ситуацп не заговорити про роботу!
Подiбне отримання шформацп - зовшм не примарш фантазп. Артур Вайс, англшський консультант i тренер з конкурентно! розвщки [6], який постiйно веде вщкрип та корпоративнi семiнари, наводить такий приклад. На одному iз захвдних пiдприемств була технологiчна проблема, над виршенням яко! протягом твтора роки працювали його iнженери. Керiвництво конкурентно! фiрми залучило для виявлення суп проблеми фахiвцiв тдроздшу, один з якого порадив керiвниковi вiддiлу маркетингу пiдприемства на зборах, де присутш спiвробiтники рiзних служб, публiчно поскаржитися на те, що ш-женери пiдприемства не можуть впоратися з проблемою. При цьому потрiбно було пiдкреслити, що в одного з конкуренпв ця проблема якось виршена i то вже давно. Внаслщок цього за два тижш технологiчна проблема стала вщо-мою конкурентнiй фiрмi, позаяк один iз спiвробiтникiв фiрми грав у футбол разом з шженером тдприемства i як би ненавмисно розпитав його про проблему, яку вони не можуть виршити. Виявляеться на Заходi можливо навиь те, що друзi розмовляють про роботу шд час вiдпочинку. Тобто, не варто за-бувати про рiзнi способи отримання потрiбноl шформацп на форумах, у чатах або в приватних розмовах. Якщо ви активний учасник жвавих дискусш з приводу деяких робочих проблем, то квалiфiкованому аналггаку не буде великих проблем взнати про роботу вашо! фiрми за опосередкованою шформа-щею [3]. Тому, якщо ви надто говiркий, то е змют у таких дискушях час вщ часу плутати факти, видавати дезшформащю, не згадувати прiзвища конкрет-них фахiвцiв, посилаючись на деякi проблеми з пам'яттю.
Пристрасть маркетолога до вюки та спiлкування з прекрасною статтю, на думку керiвника фiрми "СофтСервiс", давно заважала його ефективнш ро-ботi, але нi дисциплшарш стягнення, нi позбавлення премп не допомагали. Виявлений факт поведiнки ствробггника у мережi став останнiм китайським попередженням - маркетолог був переведений на шшу, менш iнформативну роботу, з яко! вш згодом звшьнився за власним бажанням.
4. Дослщження ф1рми-конкурента. Це дослiдження проводилося вщ-носно головного конкурента фiрми "СофтСервю" - компанi! "НеоСервiс", що, з одного боку, позбавляло фахiвцiв з аудиту 1Б можливостi повторно! пе-ревiрки отримано! iнформацi!, але з шшого - давало !м змогу переконатися в ефективнiй дiяльностi фахiвцiв з конкурентно! розвiдки. Робота велася з особами, вказаними замовником дослщження, тобто директором фiрми "СофтСервю", а не в режимi "вшьного полювання", як у попередньому прикладi.
Пiсля дослiдження сайту компанп "НеоСервiс" був проведений пошук за доменним iменем як фрагмента адреси електронно! пошти - "neoservi-se.com.ua". Одна iз знайдених сторiнок була книгою вщгуюв на першiй сторш-цi сайту органiзацi!, що займаеться навчанням. У книзi було зафжсовано повь домлення, пов'язане з адресою yuliya_pari@neoservise.com.ua i вказiвка на те, що автор вщгуку - пращвник компанi! "НеоСервiс", вiдносно яко! проводилося дослщження. Пюля цього було проведено пошук за шком "yuliya_pari", i на одному з форумiв, присвяченому банкiвськiй дiяльностi, виявилася учасниця з таким самим шком, але з шшою адресою електронно! пошти yuliya_pari@gma-il.com.ua, яка давала детальш пояснення щодо дiяльностi компанi!, а також по-ради з приводу рiзних схем роботи з банками i лiзинговими органiзацiями. Про те, що це фахiвець свое! справи, свщчили тексти !! вiдповiдей, в яких вона коротко, лакошчно i в доступнiй формi давала рiзнi пояснення.
На момент проведення дослщження у форумi було шють !! повщом-лень, якi вщповщали на питання його вiдвiдувачiв i розповiдали про плюси i м^си конкретно! фiнансово! схеми. Кожен учасник форуму мш поставити практично будь-яке запитання та отримати конкретну вщповщь. З високим ступенем ймовiрностi можна було передбачити, що у сво!х вщповщях цей фь нансовий фахiвець, насамперед використовував свiй досвiд роботи в компанп "НеоСервю". В усякому разi, в попереднiх вiдповiдях вона прямо посилалася на досвiд роботи свого вщд^, вживаючи в пропозищях фрази: "наша компа-нiя робить це так..." або "за мо!м досвщом...". Люди, як правило, шдсвщомо схильнi приховувати iнформацiю, що стосуеться прямо !хньо! дiяльностi, як-що не впевненi в тому, як вона буде використана, але водночас легко !! вида-ють, якщо не вщчувають загрози.
Все це виявилося вельми доречним для фiрми "СофтСервю", директор яко! твтора роки намагався дiзнатися про те, як конкретно його конкурент ре-алiзуе фiнансовi схеми, що обговорювалися на форум^ маючи бiльшi прибутки при значно меншому попитi на комп'ютерне обладнання. Методика, про яку люб'язно розповша на форумi панi з шком yuliya_pari, з одного боку, вщкрива-ла доступ до деяких фiнансових махiнацiй, а з шшого - вимагала реалiзацi! за-ходiв, проведення яких ставило б шд загрозу фiнансову стабiльнiсть компанi!.
1нформащя, виявлена фахiвцями з аудиту, сама по собi ще не давала фiрмi "СофтСервiс" можливостi почати роботу з новими партнерами за новою схемою i т.д. Проте вона заповнювала прогалини в досвда роботи директора цiе! фiрми щодо проведення фiнансових операцiй, а також давала шанс згодом аношмно уточнити вщповда на рiзнi додатковi запитання. Аудитори змогли також з'ясувати iм'я фiнансового директора компанi!-конкурента -
Юлiя Пархоменко. Ппотезу про те, що йдеться саме про цю персону, висунув один з аудиторiв, який подзвонив у компашю "НеоСервiс" за номером контактного телефону. Дзвшок потрапив у вiддiл маркетингу i був переадресований секретаревi генерального директора. Фахiвець з аудиту пояснив, що хоче звернутися до фiнансового директора з листом-замовленням на придбання партп комп'ютерного обладнання i уточнюе його прiзвище та iнiцiали. 1нфор-мащя про те, що фiнансовий директор компанп "НеоСервiс", Юлiя Пархоменко та yuliya_pari - одна i та ж особа, отримала остаточне тдтвердження.
5. Поради та рекомендаци. 1стотш змiни в засобах комушкацп не тiльки полегшили спiлкування людей мiж собою, незважаючи на чималу вщ-стань i вiдсутнiсть особистого знайомства мiж людьми. Вони створили новi можливостi для отримання конфiденцiйноï iнформацiï через достатньо оче-видш прогалини в системi захисту корпоративних мереж та 1Б самих установ [4]. Звичайно, це не заклик обмежити спшкування, проте слiд прийняти ряд заходiв для того, аби, збершши плюси такого спiлкування, позбавитися вщ очевидних мiнусiв:
• заборонити спiвробiтникам у особистих штересах використовувати адресу електронно1 пошти на корпоративному домет;
• рекомендувати спiвробiтникам застосовувати в корпоративних iменах ней-тральш н1ки, якi ускладнюють iдентифiкацiю користувача, який виршив иублгкуватися на шших шформацшних ресурсах;
• проводити iз сиiвробiтниками роз'яснювальну роботу про важливють дотри-мання правил 1Б;
• регулярно проводити монiторинг корпоративно! мережi для своечасного ви-явлення порушень ирацiвниками встановлених правил ïï використання. Одного дня складений запит, який дае високий релевантний результат,
можна використовувати багато разiв для автоматичного мониторингу шформацп, наявноï в мережi 1нтернет iз заданоï проблеми. Наприклад, найбшьш цiнною для фiрми "СофтСервiс" була iнформацiя про реалiзацiю фiнансових схем i посадовi особи компанп-конкурента, а також пов'язаш з ними поди: ш-терв'ю, участь в шформацшних оглядах, рекламi i т.п. Такий мониторинг мо-же проводитися за допомогою програм Check&Get або WebSite Watcher, якi дають змогу автоматично повторювати пошук через вказаш промiжки часу, якi не тшьки сигналiзуватимуть про те, на яких сайтах сталися змiни, але вщ-значають час i дату цих змш [3]. Це дае змогу вчасно отримувати ту чи шшу шформащю, пiддавати ïï ретельному аналiзу, синтезувати новi знання i приймати вщповщш рiшення.
Перефразовуючи один з вщомих афоризмiв, зазначимо - хто володiе достовiрною iнформацiею, той володiе реальною ситуацiею, що склалася. А це на сьогоднi не маловажно в бiзнесовiй дiяльностi товаровиробниюв i на-даннi послуг.
Л1тература
1. Бармута Андрей. Утечка информации в корпоративной сети: угроза виртуальная, защита реальная / Андрей Бармута. [Электронный ресурс]. - Доступный с http://www.itsec.ru/ar-ticles2/in-ch-sec/ytechka-informacii-v-korporativnoi-seti-ygroza-virtyalnaya-zashita-realnaya
2. Защита информации от внутренних угроз. [Электронный ресурс]. - Доступный с http://www.staffcop.ru/articles/informationnaya_bezopasnost.php
3. Защита от инсайдеров и утечки информации // ISO27000.RU Искусство управления информационной безопасностью. [Электронный ресурс]. - Доступный с http://www.iso 27000.ru/chitalnyi-zai/zaschita-ot-insaiderov
4. Использование программ для слежения за компьютерами в локальной сети с целью снижения внутренних угроз корпоративной безопасности. [Электронный ресурс]. - Доступный с http://www.staffcop.ru/articles/internal-threat.php
5. История нашего клиента: как я поймал инсайдера. [Электронный ресурс]. - Доступный с http://www.staffcop.ru/articles/insider.php
6. Корпоративная информационная безопасность: виды IT-угроз. [Электронный ресурс].
- Доступный с http://www.razumny.ru/stat/it-ugrozy.html
7. Корпоративная культура. [Электронный ресурс]. - Доступный с http://www.b-semi-nar.ru/article/show/469. htm
8. Надо ли следить за персоналом?. [Электронный ресурс]. - Доступный с http://www. staffcop.ru/articles/monitiring-personal. php
9. Перехват сообщений и скрытое наблюдение за сотрудниками. [Электронный ресурс].
- Доступный с http://www.staffcop.ru/articles/perehvat_soobshniy_skrytoe_nablyudenie.php
10. Статьи о Staffcop. [Электронный ресурс]. - Доступный с http://www.staffcop.ru/articles/
11. Утечка информации - угроза корпоративной безопасности. [Электронный ресурс]. -Доступный с http://www.staffcop.ru/articles/Information_leakage.php
12. Учет рабочего времени сотрудников и контроль персонала - важная составляющая эффективной организации. [Электронный ресурс]. - Доступный с http://www.staffcop.ru/artic-les/personnelcontrol.php
13. Ющук Евгений. Брешь в конфиденциальности (Практика использования сети Интернет в конкурентной разведке) / Евгений Ющук. [Электронный ресурс]. - Доступный с http:// citcity.ru/17017/
14. Skype - программа для голосового общения или отличный троян?. [Электронный ресурс]. - Доступный с http://hackzona.ru/hz.php?name=News&file=article&sid =6680.
15. 50 million concurrent users online! // Skype Numerology. [Electronic resource]. - Mode of access http://skypenumerology.blogspot.com/2013/01/50-million-concurrent-users-online.html
Чудинова Н.В., Грыцюк Ю.И. Особенности использования сети Интернет для получения конфиденциальной информации
Стремление людей к общению, особенно в социальных сетях, заложено в самой природе человека. С появлением сети Интернет люди не поменяли своих привычек, продолжая решать личные проблемы, используя при этом корпоративные средства связи. Поскольку использование почтового ящика в собственных нуждах не создает видимых финансовых затрат, то во многих учреждениях такое положение вещей вообще не считают проблемой, поэтому просто его временно игнорируют, поскольку уделяют внимание решению других неотложных проблем. Однако польза подобного явления на проверку информационной безопасности многих учреждений выяснилась ошибочной, то есть не всегда это обходится без последствий для фирм или государства вообще.
Ключевые слова: информационные угрозы, информационная безопасность, конфиденциальная информация, источники угроз, промышленная компания.
Chudinova N.V., Grycyuk Yu.I. Features of the Internet for the exchange of confidential information
The desire of people to communicate, especially in social networks, inherent in human nature. With the advent of the Internet people have not changed their habits, continuing to solve personal problems, using corporate communications. As the use of a mailbox in their own needs no perception of financial costs, many institutions such a situation do not consider a problem, so just ignore it temporarily, because paying attention to address other pressing issues. However, the benefits of this phenomenon to test information security of many institutions became clear mistake, that is not always without their impacts for the companies or the state in general.
Keywords: information threats, information security, confidential information, industrial company.
