Понятие социальной инженерии

Социальная инженерия (англ. social engineering) – совокуп­ность подходов прикладных соци­альных наук, или прикладной со­циологии, ориентированных на це­ленаправленное изменение органи­зационных структур, определяю­щих человеческое поведение и обес­печивающих контроль за ним. По­мимо психологии на становление социальной инженерии определенное влияние оказала прикладная антропология, которая имеет дело с описанием изменений в сфере человеческих отношений и разработкой принципов контроля над ними. Исследователи определяют соци­альную инженерию как манипулиро­вание людьми для успешного взлома систем безопас­ности организации или пользователя. Социальная инженерия включает в себя очень широкий на­бор различных техник и методик, позаимствованных из практической психологии, нейролингвистического программирования, гип­ноза и других техник, позволяю­щих весьма успешно манипулиро­вать людьми. Манипулировать людьми злоумышленники могут достаточно просто – например, пытаясь убедить их открыть подозрительно вы­глядящую ссылку или вложение в со­общение электронной почты.

В качестве устоявшегося термина социальная инженерия появилась в американской со­циологии только в 60-х годах прошлого столетия, одна­ко сама идея и принципы ее практи­ческой реализации сложились гораз­до раньше, еще до Второй мировой войны, в рамках так называемой «че­ловеческой инженерии» (human engeneering), направленной в основном на повышение безопасности труда и повышение эффективности рабо­ты машин, снижение утомляемости работника и обеспечение комфорт­ности в системах «человек – ма­шина». После Второй мировой вой­ны социальная инженерия стала широко применяться в авиационной и оборонной про­мышленности США, а также в ин­дустриальной социологии, военной социологии, пропаганде и коммуни­кациях.

Методы социальной инженерии использу­ются в различных областях, напри­мер, в рекламе и в повседнев­ной жизни: это могут быть всевоз­можные гипнотизеры, целители, аферисты. Кроме того, де­ти – также великие манипуляторы. И хотя они не знают основ психо­логии, но умело применяют те же методы, что и социальные инжене­ры.

Взлом информационных систем, промышленный шпионаж, мошен­ничество – все это направления деятельности социального инженера. Успешная де­ятельность злоумышленника стано­вится возможной благодаря челове­ческой беспечности, глупости, пси­хической неустойчивости, жаднос­ти, страху, доверчивости.

Развитие информационных тех­нологий дает большие возможности для применения социальной инженерии, так как, несмот­ря на развитие аппаратных и про­граммных средств защиты инфор­мации, человек продолжает оставать­ся слабейшим звеном в системе без­опасности.

Почему же злоумышленники прибегают к социальной инженерии при организации атак на информационные системы? Во-первых, это проще, чем взломать техническую систему безопаснос­ти, и такие атаки невозможно пре­дотвратить и вычислить с помощью технических средств защиты инфор­мации. Во-вторых, атаки с исполь­зованием методов социальной инженерии эффективны, недороги, а вероятность попасться для их организаторов довольно низка.

Многие организации, считаю­щие, что проблема информацион­ной безопасности может быть реше­на с помощью аппаратных и про­граммных средств, сильно заблуж­даются. Привыкнув доверять межсе­тевым экранам, устройствам иден­тификации, средствам шифрования и т. д., они мало внимания уделяют угрозам со стороны социальных ин­женеров. О социальной инженерии часто незаслуженно забывают, как и о том, что человек является слабей­шим звеном любой системы без­опасности. Очень важно информировать сотрудников о методах социальной инженерии, обучать их тому, как противостоять им и не давать себя использовать в качестве пособника атакующих. Защита компании от вторжения злоумышлен­ников, использующих методы социальной инженерии, должна входить в обязанности каж­дого сотрудника, даже тех, кто не пользуется компьютерами по роду своей деятельности. Уязвимы топ-ме­неджеры, охранники, девушки в приемной, телефонисты, уборщики, ра­­ботники гаража, а особенно – недав­но принятые на работу сотрудники. Необходимо всегда помнить, что все они в любой момент могут подвергнуться атаке профес­сиональных социальных инженеров.