Сегодня социальные сети уже не просто развлечение обывателя или специфической аудитории, а мощный инструмент многоуровневых коммуникаций и информационного обмена. Функции социальных сетей, в соответствии со спросом, постоянно расширяются. Вопрос о конфиденциальности и ИБ в соцсетях, уязвимость которых слишком очевидна, сегодня должен первым быть в повестке дня не только финансовых или государственных учреждений, но и бизнеса, и общественных групп, и отдельных пользователей.
Загнать всех в соцсети
Экс-содиректор издательского холдинга KP Media, корреспондент Forbes Грег Сателл, ссылаясь на книгу экс-гендиректора Google Эрика Шмидта «Новый цифровой век», пришел к заключению: «Мы – и наши власти – смотрим на людей, свободных от соцсетей, не с восторгом, а с подозрением… Те, кто не обновляет свои профили в LinkedIn и Facebook, могут пропустить неплохие карьерные возможности. Мы осознаем, что за нами следят правительственные организации, рекламщики, работодатели и даже знакомые, но ничего не делаем, чтобы помешать им. Наоборот, мы активно участвуем во всем этом, делясь информацией о себе в соцсетях и наблюдая онлайн за своими коллегами и друзьями».
Соцсети как источник конфиденциальной информации очень выгодны не только IT-бизнесу, но и, очевидно, спецслужбам. Наряду с этим, бизнес сегодня также видит в соцсетях огромные перспективы, и стремится, опередив конкурентов, «застолбить» себе место на виртуальных площадках с обширной аудиторией.
Социальные сети, конечно, расширяются, совершенствуется их сервисное наполнение, но по части информационной безопасности дела обстоят неважно. Никаких серьезные механизмов защиты данных пользователей нет. И, зная это, хакеры весьма активно «утюжат» социальные сети, стараясь добыть и продать личную информацию. А в последнее время речь уже идет и о банковской информации, поскольку финансовые учреждения, стремясь расширять свою клиентскую базу, все активнее используют соцсети.
Банкинг через Twitter и Facebook
Банковские и кредитные организации предлагают сегодня пользователям популярных социальных сетей такие операции как пополнение счета, проверка баланса или перевод денег. Предвкушение хороших прибылей и возможности «приручить» столь массовую и достаточно продвинутую аудиторию именно к своему бренду толкают банки рисковать.
Известный турецкий банк Commercial Bank of Dubai (CBD) в 2013 году открыл свое сервисное отделение на странице в Facebook. Авторизованный клиент с помощью компьютера или даже смартфона получает возможность работать со своими текущими и сберегательными счетами, а также пополнять баланс кредитных карт или переводить по своему усмотрению с них средства.
По словам главы CBD Питера Балтуссена, «чем больше людей использует социальные медиа, тем в большей мере клиенты ожидают, что банки начнут предоставлять услуги посредством этих платформ».
Еще пример. Индийский банк Kotak Mahindra Bank сразу через Twitter и Facebook предлагает клиентам сервис по срочному переводу денег между «френдами» в этих социальных сетях. Для этих целей был сформирован специальный банковский счет, через который любой клиент, пройдя соответствующую процедуру регистрации и валидации, получает возможность осуществлять весь спектр банковских операций. Этот сервис в соцсети банкиры Kotak прозвали «хэштег-банкингом» (Hashtag Banking), поскольку клиенты при назначении каждого запроса (баланса, овердрафта, перевода и др.) просто указывают определяющий хэштег.
Или вот другой индийский банк ICICI также активно продвигает свои сервисы в соцсетях. Клиенты банка через ноутбук, смартфон, планшетный или обычный компьютер могут воспользоваться такими продуктами как «Twitter-банкинг» или «Facebook-банкинг». Пользователи этих соцсетей могут проверять и пополнять баланс счета, а также просматривать транзакции. В процессе операции с переводами денег отправителю на мобильный номер приходит сообщение с четырехзначным кодом, который как-то должен узнать получатель, который через сообщение вTwitter или Facebook получает ссылку на веб-страницу, где его нужно ввести. При этом, получателю совсем не обязательно иметь сберегательный счет в ICICI.
Понятно, что уязвимость банковских сервисов в социальных сетях видна невооруженным взглядом. Информация о масштабных утечках персональных данных из взломанных соцсетей все чаще мелькает в новостных лентах. Процесс расширения работы финансовых организаций на этих общественных виртуальных площадках — без должной работы по ИБ — грозит серьезными экономическими проблемами даже не корпоративного, а государственного масштаба.
ИБ со многими вопросами
В результате проведенного компанией IBM независимого исследования социальных сетей были выявлены многочисленные «лазейки», позволяющие получать доступ к персональным данным пользователей этих ресурсов. Естественно, что сетевым злоумышленникам все это очень интересно. Недавние резонансные взломы аккаунтов Twitter и YouTube, или постоянные атаки на Facebook свидетельствуют, что у хакеров далеко идущие цели. Даже вроде бы хорошо защищенные виртуальные кошельки «Яндекс.Денег» или Qiwi не выдерживают кибератак, становясь жертвой киберпреступников.
Социальные сети, популярность которых постоянно растет, заставляет бизнесы не только приспосабливаться к новому формату сервисов, но и срочно изыскивать действенные решения для ИБ. По признанию бизнес-участников соцсетей, борьба всех заинтересованных сторон должна носить исключительно консолидированный характер, поскольку речь идет о глобальном и трансграничном характере таких виртуальных площадок.
Недавно компания Facebook заявила о запуске новой платформы ThreatExchange, которая должна будет обеспечить ИБ соцсетей и обмен информацией. Эта бесплатная система разработывалась IT-профессионалами Facebook, которые имели достаточно большой опыт противодействия хакерским атакам на их соцсеть.
Сегодня партнерами платформы ThreatExchange являются такие сетевые лидеры как компании Pinterest, Yahoo, Tumblr, Twitter, Bitly, Dropbox. По словам руководителя отдела развития защитной инфраструктуры Facebook Марка Хеммеля (Mark Hammell), вскоре к числу партнеров платформы начнут присоединяться и другие крупные компании, например Microsoft, которая пока самостоятельно «отлавливает» угрозы в сетях с помощью своей информационной платформы Interflow. Еще ожидается, что партнером ThreatExchange станет и ФБР, которая предоставит возможность использовать в рамках развития программы Facebook собственную рассекреченную версии депозитария зловредов, который используется для защиты обмена данными в госорганах и частных компаниях. В перспективе партнерами данной платформы смогут быть разные мелкие сетевые компании, заинтересованные в повышении эффективности борьбы с киберпреступностью.
Партнеры платформы ThreatExchange могут активно делиться сэмплами зловредов, списками вредоносных URL, метаданными, информацией о выявленных утечках, списками атакованные доменов и другими опционными сведениями о сетевой преступности. С помощью такой платформы Facebook будет инициировать проведение расследований.
Кстати, в России также предпринимаются шаги по защите социальных сетей. В частности, на форуме по кибербезопасности Cyber Security Forum 2015 глава комитета Госдумы РФ по информационной политике, информационным технологиям и связи Леонид Левин особо подчеркнул, что для борьбы с киберпреступностью государство намерено так поставить работу, чтобы пользователи имели в онлайне не меньший уровень защиты своих прав, чем в реальной жизни.
Дальнейшее совершенствование социальных сетей, безусловно, потребует более решительных мер на межгосударственном уровне по обеспечению в социальных сетях соответствующего уровня ИБ и защиты бизнес-процессов, включая и финансовые операции.
.jpg)