Захарченко.А.Д Студент 3-го курса, Шилов.А.К Старший научный сотрудник, доктор технических наук, Институт компьютерных технологий и информационной безопасности Южный федеральный университет г.Таганрог, Российская Федерация СОЦИАЛЬНЫЕ СЕТИ КАК РИСК ДЛЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Целью данной статьи является отображение реальных рисков, которые могут поджидать организацию при использовании её сотрудниками социальных сетей. Отображены основные опасности, такие как социальная инженерия, случайная утечка данных, заражение вирусными программами через социальную сеть и способы их преодоления. В ходе исследования выяснено, что первым необходимым шагом является поддержание осведомлённости и высокого уровня ответственности сотрудников при использовании социальных сетей. Ключевые слова: социальная сеть, информационная безопасность, сотрудники компании, социальная инженерия, анализ информации, вебприложение, контроль. Несмотря на широкое использование социальных сетей среди сотрудников всевозможных Российских компаний, реакция организаций на данное явление до сих пор является неоднозначной. Для некоторых, вопрос о социальных сетях до сих пор остается вне контроля, в то время как другие, особенно крупные организации, запретили доступ напрямую. Другая крайность наблюдается в принятии организациями социальных сетей, как эффективного способа предоставления нужной информации о сотрудниках, клиентах и партнерах. Примером этого подхода также является ________________________________________________________________ «Экономика и социум» №4(17) 2015 www.iupr.ru использование сетей в качестве инструмента для поддержания контактов и улучшения отношений между сотрудниками. Многие организации, однако, менее обеспокоены возможными последствиями нарушений информационной безопасности с помощью социальных сетей и больше беспокоятся о снижения производительности труда впоследствии увеличения затрат времени сотрудниками на социальные сети в рабочее время. Любая утечка данных может быть случайной. Например, работник с помощью “В контакте” может написать, какое-нибудь незначительно упоминание о своей компании, или сделать фотографию со своей командировки и выложить в “Instagram” что, с одной стороны, может показаться незначительным, но, с другой, при детальном сборе и анализе информации о сотрудниках этой компании может дать конкурирующим компаниям лишнюю информацию о ней, её связях с другими фирмами, настрой персонала, подписание договоров либо другую информацию не поддающуюся разглашению. Одним из вопросов, здесь является то, что анонимность людей в интернете часто провоцирует их на большую открытость, чем разговор лицом к лицу. Другой тревожный вопрос информационной безопасности является агрегирование данных. Эта деятельность предполагает исследование ряда различных сайтов социальных сетей для того, чтобы создать картину личности сотрудников. Например, злоумышленники могут смоделировать корпоративные пароли сотрудника, основанные на информации, собранной с веб-сайтов, таких как сайты социальных сетей, или использовать такую информацию в целях социальной инженерии. К примеру, узнав из социальной странички сотрудника Антона, имя его родственников, год его рождения и места его путешествий, можно предположить, что пароль от его рабочего компьютера в офисе может состоять из комбинаций этих данных. ________________________________________________________________ «Экономика и социум» №4(17) 2015 www.iupr.ru Окончательное рассмотрение информации безопасности в отношении социальных сетей относится к вирусам. Потому что такие сайты, как “Вконтакте” и “Mail.ru” включают в себя множество интернет-приложений, которые позволяют пользователям загружать фотографии и файлы, потенциальная опасность включает в себя загрузку вредоносного кода от третьих лиц в форме небольших приложений или плагинов, такой код может содержать вирусы или трояны. Поэтому было бы разумным, блокировать корпоративные машины от загрузки подобного трафика, чтобы предотвратить заражение компьютеров. Другим вариантом является разрешения на доступ к сайтам социальных сетей только тем сотрудникам, использующим машины, которые не подключены к корпоративной сети. Еще одним важным фактором является обеспечение исправной и надёжной работы антивирусных систем. И в первую очередь для обеспечения информационной безопасности в данной ситуации необходимо поднимать осведомленность персонала. Таким образом, все сотрудники, в том числе новые работники, должны периодически получать информационной профессиональную безопасности, а также подготовку конкретные в области руководящие принципы, для безопасного использования сетей. Такие принципы, к примеру, включают в себя использование только корпоративной системы электронной почты, а не средств социальных сетей для бизнес-целей, чем не позволяют третьим лицам получать доступ к одному профилю. Кроме того, такие функции, как потоковое видео и обмен мгновенными сообщениями блокируются, чтобы предотвратить доступ персонала к непристойным материалам и загрузки вирусов соответственно, в то время как плакаты с советами по безопасному использованию веб-приложений должны быть развешены на стенах в качестве напоминания для безопасного поведения. В итоге хотелось бы закончить словами Брюса Шнайера: «Безопасность это процесс, а не результат», и поэтому вся сохранность информации вашей ________________________________________________________________ «Экономика и социум» №4(17) 2015 www.iupr.ru фирмы зависит в первую очередь от правильной организации работы по обеспечению информационной безопасности. ________________________________________________________________ «Экономика и социум» №4(17) 2015 www.iupr.ru