Порочащая компанию информация в соцсетях. Как бороться?

Сегодня интернет является исключительно важным маркетинговым каналом для всех без исключения организаций. Поэтому допускать появление во Всемирной паутине информации, порочащей компанию, не просто нежелательно, а даже и опасно. Но как можно бороться с подобным явлением?

Социальные сети сегодня имеют исключительную важность для распространения информации среди пользователей. Достаточно одного «лайка», чтобы поделиться информацией со своей френд-лентой, которая у некоторых насчитывает тысячи активных пользователей. Каждый из них может передать информацию дальше – и вот она уже распространяется по лавинообразному принципу. И негативная информация, как показывает практика, может распространиться гораздо быстрее, чем позитивная. Поэтому появление в социальной сети негативного отзыва о вашей компании может произвести для неё самый настоящий эффект разорвавшейся бомбы.

Как показывают исследования, значительную часть негативных отзывов в социальных сетях генерируют сами сотрудники компании. Поэтому можно использовать испытанные в корпоративной практики инструменты контроля действий сотрудников на рабочих местах, чтобы бороться с негативной информацией о компании в социальных сетях. Прежде всего, это DLP-системы – программные продукты, предназначенные для предотвращения утечек конфиденциальной информации из организаций. DLP-система образует виртуальный защитный контур вокруг информационной сети организации, собирая и анализируя, а при необходимости и фильтруя всю проходящую через этот контур информацию. Соответственно, она сможет достаточно быстро обнаружить и негатив, отправленный сотрудником в социальную сеть, чтобы затем специалист по информационной безопасности мог нейтрализовать его.

Что именно должна делать DLP-система для того, чтобы организация могла адекватно упредить массовое распространение порочащей её информации в социальных сетях? Прежде всего, нужно организовать регулярный мониторинг публикации по названию компании, а также по ключевому списку негативных слов, таких, как «недобросовестный», «красть», «откаты» и т.д. – т.е. тех слов и словосочетаний, которые чаще всего встречаются в негативных материалах о компании, размещаемых в социальных сетях. Составлять список таких слов нужно с учетом отраслевой принадлежности компании, с учетом того, связан её бизнес с товарами либо же с услугами, с привязкой к региону и т.д. Идеально будет найти несколько десятков реальных негативных отзывов в интернете и взять их за основу такого словаря.

Если DLP-система действительно выявит факты распространения сотрудниками негативной информации о компании-работодателе, то перед применением каких-либо санкций и взысканий, лучше всего провести с сотрудником разъяснительную беседу и, в зависимости от мотивов его поведения, дать ему «испытательный срок» на исправление. Понятно, что в том случае, если отправление негативного отзыва социальную сеть повторится, речь уже однозначно должна идти об увольнении, по возможности – «по статье».

Стоит несколько слов сказать и о том, зачем работники прибегают к распространению в социальных сетях сведений, порочащих своего работодателя. Чаще всего, мотивом подобного рода действий, являются обиды на руководства, связанные с наложенными дисциплинарными наказаниями, или с недостаточной оцененностью с точки зрения самого сотрудника – то есть, даже если сотрудника никто не обижал, он вполне мог сам обидеться. Почти всегда работники размещают порочащую компанию информацию в состоянии эмоционального напряжения, например, после получения «головомойки» от начальника. Отдельный разговор – это недавно уволенные или уволившиеся работники, которые хотят как можно громче «хлопнуть дверью» и «наказать» бывшего работодателя.

Тем не менее, конечно, одними сотрудниками распространение негативной информации о компании в социальных сетях не ограничивается. Её партнеры и клиенты, столкнувшиеся с какой-либо неприятной для себя ситуацией, могут также начать писать и распространять негативные отзывы. Лучшей профилактикой такого поведения клиентов и партнеров является следование компании этическим нормам бизнеса, однако, конечно же, никто не застрахован от каких-то «внештатных ситуаций», когда негативные отзывы всё же появляются. Что делать в таких случаях?

Как и в случае с сотрудниками, имеет смысл организовать мониторинг. В этом поможет уже не DLP-система, а служба Google Alerts и другие подобные ей. Задав «алерт» по ключевому слову, являющемуся названием компании, можно получать от поисковой системы уведомления о появлении в социальных сетях негативных отзывов о компании. С самими отзывами необходимо разбираться в индивидуальном порядке, то есть, если содержащаяся в них информация соответствует действительности, то имеет смысл признать свою вину и рассказать о нейтрализации негативных последствий в комментариях к посту. Если же пост имеет явные признаки клеветы, то можно связаться с администрацией соцсети с просьбой удалить его, предварительно оставив автору в комментариях напоминание об ответственности за клевету перед законом.

Как видите, ничего сложного в борьбе с негативной информацией о компании в социальных сетях нет, нужно только подойти к этому вопросу комплексно и серьезно.

Нафига козе баян, или об очередной покупке Facebook

У Марка Цукерберга очень много денег. Нет, даже не так. ОЧЕНЬ МНОГО ДЕНЕГ. Потому что когда через несколько недель после покупки одного не особо прибыльного мобильного приложения за миллиарды долларов ты покупаешь другую хай-тек разработку, которая еще неизвестно, "выстрелит" ли, за два миллиарда, ты не можешь не ощущать себя властелином мира и хозяином всея ИТ.
Но если с WhatsApp всё можно было худо-бедно объяснить, то с очками виртуальной реальности всё не так просто. Расширить аудиторию с их помощью Фейсбуку не получится. Повысить вовлеченность тоже. Диверсификация бизнеса? Возможно, но тогда не очень понятно, почему их купили именно сейчас, а не когда они были на ранней стадии проекта - можно было очень хорошо сэкономить.
Лично мне кажется, дело всё-таки в деньгах - Цукерберг уже не может остановиться, ему нужно их всё больше и больше. Очки виртуальной реальности в данном случае могут выступать платформой для игр, как и сама Фейсбук, а монетизация может идти по уже хорошо зарекомендовавшей себя рекламной модели. И, естественно, с привязкой к фейсбучному аккаунту, благодаря которой можно будет собирать еще больше информации о пользователе и его предпочтениях - теперь уже не только социально-сетевых, но и игровых.
Так цепкий спрут Фейсбука еще крепче вопьется в своих пользователей, высасывая из них данные, которые Цукерберг будет продавать рекламодателям, чтобы продолжать всё больше богатеть. Невеселая перспектива, вы не находите?

Хактивисты и патриотизм

Почему-то эту тему в российских СМИ замолчали, хотя мне лично кажется, что сделали это совершенно напрасно. А вот белорусы клювом не щелками, и написали об этом.
Суть в чем: вполне понятно, что любой конфликт, включая и свежий крымский, существует не только в физическом мире, но и в киберпространстве. И там всегда достаточно трудно понять, кто стоит за атаками на те или иные ресурсы каждой из сторон - то ли специально обученные наемники (или штатные специалисты соответствующих ведомств), или же патриотически настроенные активисты. Вопрос далеко не праздный, поскольку от ответа на него зависит и реакция международного сообщества, и тысячи других различных вещей.
Так вот, Касперский говорит, что в крымском конфликте нет никаких следов профессиональных атакующих, и что все признаки детектируемых ими атак говорят о том, что их проводят так называемые "хактивисты". Думаю, что Касперский - достаточная величина для того, чтобы поверить его словам. Обсудить я хочу не то, насколько он прав или не прав, а то, почему так  получается, и как следует относиться к "хактивистам".
Лично мне кажется, что имеет место борьба не столько за кусок суши, сколько борьба различных "миров": так называемого "первого" и "второго". Борьба всего: образа жизни, идеологии и так далее. Поэтому накал страстей среди приверженцев каждого из миров столь велика, что спецслужбам и нет никакой нужды проводить свои кибератаки, все и так прекрасно делают без них горячие молодые головы, которые в такой же ситуации лет так с надцать  назад побежали бы друг в друга стрелять. Так что здесь я вижу положительную сторону прогресса: лучше всё-таки валить сайты.
С другой стороны, стоит ли поддерживать действия таких патриотов, выходящие за рамки закона? Обладают ли они всей полнотой информации, чтобы иметь право выбирать жертву и наказывать её? В конце концов, выигрывает ли Россия (или Украина - смотря на чьей они стороне) от их действий? Ответы, наверное, довольно очевидны. Поэтому не стоит этим слишком увлекаться. Пар, в конце концов, можно и в World of Tanks выпустить, не обязательно DDoS'ить тех, кто вам сегодня не нравится.

Информация важнее воды

Во всех СМИ и блогах обсуждают Крым. Ну и мы, конечно, не могли остаться в стороне. Хотя речь будет не о политике и не о войне, а о том, как Россия решает проблему зависимости Крыма от Украины - ведь как ни крути, но Крым - это всё-таки полуостров, и все его системы жизнеобеспечения, а также связи, очень сильно "завязаны" на материковую Украину.
Крым зависим от Украины в плане воды и электричества. Что делать с водой, честно говоря, не знаю - может, опреснять? - а для электричества будут строить АЭС. Это дело не быстрое, вон в Белоруссии наши уже года три только подготовку стройплощадки вели. Впрочем, интересно не это, а то, что первое, что перекидывают - интернет. Да-да.
Почему так? Очевидно, что самая важная победа России в этой "войне" (хотя тут вопрос, как правильно называть всю эту историю) - информационная. Вряд ли бы крумчане проголосовали за вхождение в состав России, если бы не имели доступа к информации о том, где лучше жить  - у нас или в Украине. Да и вообще, кто владеет информацией, тот владеет миром, а во многих так называемых демократических странах право на выход в интернет приравняли к основным необходимым для жизни правам человека. И в этом, на мой взгляд, есть определенный резон.
Внимание России к интернету на полуострове - это, на мой взгляд, показатель того, как изменилось общество. Информационные ресурсы сегодня значат даже больше, чем энергетические. И приятно осознавать, что в руководстве страны это понимают.

Это был СОРМ?

В Сети довольно часто обсуждают, как и почему российские правоохранительные органы "обрабатывают" авторов комментариев в интернете. Нельзя при этом пройти мимо этого обсуждения на всенародно любимом нашем Хабрахабре.
Последите за историей, разворачивающейся в комментариях начиная с того, на который ведет ссылка.  По сути дела, проблемы с законом молодой человек поимел, по его словам, просто из-за саркастического комментария в адрес Олимпиады. Эта история, конечно, вызывает достаточно много вопросов.
Был ли это СОРМ? Понятно, что в преддверии олимпиады, безопасники ушли в глубокую паранойю. Но хватает ли возможностей современных автоматизированных аналитических систем для "вычленения" таких комментариев с произвольных ресурсов? Или всё-таки "против лома нет приёма"? Как думаете, сидели и просто читали всё подряд, или это был СОРМ? Лично я почему-то склоняюсь к первому варианту.
Впрочем, в ближайшее время в связи с противостоянием в Крыму активность контролирующих органов в плане чистки комментариев значительно возрастет, и мы сможем наблюдать "пруф" моей теории: если ручная модерация всё-таки имеет место, то в связи с возросшей нагрузкой количество "пропущенных" комментариев, авторы которых не будут привлечены к ответственности, возрастете. Если же это всё-таки СОРМ, то число сообщений, подобных тому, которое положило начало дискуссии на Хабре, должно заметно возрасти. Так что будем мониторить Хабр и прочие айтишные ресурсы, чтобы понять, СОРМ  это был, или же всё-таки нет.

Официальный комментарий компании SearchInform

В связи с появившейся информацией о взломе нашей компании, считаем своим долгом поделиться с Вами первыми результатами внутреннего расследования. Проведённая проверка показала:

1.       Злоумышленники получили доступ к хостинг-панели провайдера. На этом хостинге находился сайт компании (не был взломан!) и архивные копии внутренней системы компании с данными на начало 2013 года. На сегодняшний день эта система не используется, а информация не является актуальной. Вся информация с начала 2013 года хранится на собственном корпоративном хостинге с обязательной двухфакторной аутентификацией. Таким образом, ни о каком контроле с 2012 года, как заявили хакеры, речи идти не может. Вся их добыча – часть архива с устаревшей информацией.

2.      На более чем 200 из 300 компьютеров сотрудников компании была проведена массированная атака с  украинских IP-адресов. Несмотря на наличие антивирусной защиты как на конечных точках, так и на почтовом сервере, скомпрометированным оказался 1 компьютер линейного менеджера. Вследствие работы политик по разграничению прав доступа, злоумышленникам удалось получить доступ лишь к почтовой переписке менеджера, чем объясняется наличие выложенных в публичный доступ скриншотов со «свежими датами». Скомпрометированной оказалась некоторая документация по примерно 40 клиентам компании из 1200. На данный момент заражённая машина, а также те, которые могли контактировать с ней, выведены из эксплуатации, отключены от Сети и проходят проверку.

Хотелось бы подчеркнуть, что заявление хакеров о контроле с 2012 года и заражении ссылок на скачивание ПО (равно как и самого ПО) не соответствует действительности.

В качестве подтверждения этих слов и для того, чтобы развеять сомнения наших клиентов в компрометации их корпоративных сетей и ПО SearchInform, предлагаем выполнить следующие действия:

1.      Сверить хэш-суммы скачанных архивов с дистрибутивами ПО SearchInform с эталонными значениями (например, с помощью http://www.md5summer.org/). Мы готовы предоставить хэш-суммы и на более ранние версии ПО по запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с техническим специалистом, сопровождающим вашу компанию.

Также сообщаем, что build-server, отвечающий за формирование версий ПО, находится в изолированной среде без возможности подключения извне. Все компоненты агента EndpointSniffer обладают цифровой подписью, что позволяет удостовериться в их целостности.

2.      Также вы можете самостоятельно удостовериться, что «КИБ SearchInform» не пересылает никакие данные за пределы вашей корпоративной сети. Все данные остаются у компании. Никакая информация «третьим лицам» не передаётся. В противном случае, наш софт не прошёл бы сертификацию ФСТЭК России, ОАЦ Беларуси и ДСТСЗИ СБ Украины. «КИБ SearchInform» работает с чётким перечнем портов. Список портов мы готовы предоставить по запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с техническим специалистом, сопровождающим вашу компанию.

Для проверки отсутствия внешних подключений можно использовать анализаторы трафика низкого уровня (например, с помощью http://www.wireshark.org/).

Мы благодарны злоумышленникам за проявленный интерес к нашей компании. Любой опыт ценен, но негативный ценен вдвойне, так как такие уроки не забываются очень долго. Приятно осознавать себя «главной шпионской компанией, контролируемой ФСБ, и поставляющей данные в СОРМ». Мы не отрицаем своё лидерство на рынке, но с остальной частью высказывания не можем согласиться.

У ИБ не женское лицо...

Как-то так повелось, что женщин в ИБ мало. Тем ценнее каждая из них. Как вы все наверняка догадались, за таким вступлением последует поздравление с женским весенним праздником. И действительно, куда ж без него, без поздравления-то. Да и без женщин нам с вами, господа ИБ-профессионалы, тоже совсем никуда. Поэтому с 8 марта, дорогие наши!

 

Ну, а вместо высокопарных речей небольшая ИБ-притча с женщиной в главной роли, из сравнительно недавних новостей.

К 20 месяцам тюрьмы приговорена Мишель Чапман за то, что создала в социальной сети поддельные аккаунты, с которых сама себе отправляла оскорбительные сообщения.
Газета The Independent пишет, что жительница графства Корнуэлл (Англия) создавала в соцсети Facebook профили на имена своего отца и мачехи. С этих страниц она отправляла себе различные оскорбительные сообщения, в том числе сексуального характера. После этого она заявила на своих «обидчиков» в полицию. В результате этого отца и мачеху девушки арестовали. Также Чапман от имени своего отца отправляла сообщения мачехе, надеясь разрушить их брак.
Обвиняемая свою вину признала.

Отсюда

Без какой бы то ни было морали, просто в качестве повода для размышлений всем, а вовсе не только женщинам. Еще раз с праздником, и хороших выходных!

Возможно ли создание реально работающего CERT у нас?

На такой вопрос меня натолкнула, конечно же, вот эта вот новость:
По инициативе Ассоциации российских банков и при поддержке ЦБ РФ в России готовится создание государственного центра реагирования на компьютерные инциденты для банков. Эксперты по информационной безопасности замечают, что отечественные банкиры и мировая ИБ-индустрия вкладывают в эти слова разный смысл.
Подробнее: http://safe.cnews.ru/news/top/index.shtml?2014/03/04/563160
Ну а вот, собственно, как расшифровывается последнее предложение: то, что предлагает центробанк, и то, что принято называть CERT'ом в мире - вещи разные. Впрочем, Лукацкий об этом уже писал, а вы все наверняка читали, так что повторяться нет смысла. Да и в статье по ссылке это довольно-таки, надо сказать, подробно разжевано. На мой взгляд, вполне может быть, что и не обязательно следовать всем "буквам закона", которым нужно следовать для создания полностью до мозга костей официального и всячески сертифицированного CERT'а. Главное, чтобы организация отвечала своему главному предназначению - снижению числа инцидентов в сфере информационной безопасности.
Отчего же меня смущает инициатива по созданию подобной организации, и почему я вынес в заголовок поста этот вопрос? Вспомним попытки DLP-вендоров сделать агрегаторы утечек информации. Их (попытки) трудно назвать достаточно успешными, во всяком случае, я не знаком с реально работающей реализацией такой идеи. Почему всё обстоит именно там? Ответ предельно прост. Компании не слишком охотно делятся такой информацией, чтобы не сказать большего. Остаются открытые источники. В итоге, толкового проекта так и нет. Относительно живой ещё incidents.su (с зеркалом на Facebook "Утечки РФ").
Не будет ли та же проблема актуальна с CERT'ом? Мне кажется, угроза этого есть. Поэтому мне и интересно: как вам кажется, можно ли у нас создать реально работающий CERT?

Google Maps такие Google Maps...

Свежая ИБ-информация опубликована на "Хабре" по поводу Google Maps. Не думаю, конечно, что она особенно интересна в плане применимости в России, но сам по себе случай весьма интересный, и не поделиться им просто нельзя.
Сетевой инженер Брайан Сили (Bryan Seely) устал от обильного спама на картах Google Maps. Он неоднократно обращался в Google с просьбой улучшить модерацию объявлений и даже запустил аккаунт, но без толку. Тогда находчивый инженер придумал способ, как обратить на себя внимание.

Он разместил на Google Maps несколько фальшивых объявлений, указав адреса ФБР и Секретной службы США, но свои собственные номера телефонов. Когда люди звонили по этим номерам, Брайан направлял звонок на настоящие номера спецслужб — и включал аудиозапись.
Отсюда
Потом он пошел с этими разговорами в ФБР, где ему, конечно, дали по шее, но речь не об этом, а о том, насколько современный пользователь не критичен к информации, которую он воспринимает из Сети. Я говорю не только о номерах телефонов и других данных, но и сайтах всяких "целителей" с рецептами, от которых волосы встают дыбом, о фишинговых сайтах и т.д. Пример с картами Google - один из тысяч существующих сегодня способов подложить пользователю недостоверные данные. Точно так же можно было сделать с фишинговым сайтом, страницей на Фейсбуке или еще чем-нибудь. И было бы так же результативно.
Поэтому, к сожалению, выход только один - и дальше образовывать пользователей в плане ИБ. Потому что нет числа способам повесить лапшу им на уши, а потом этим воспользоваться. И не научившись думать, будешь вечно ходить "под лапшой".