Угрозы в социальных сетях куда обращаться. Социальные сети как угроза информационной безопасности

По прогнозам аналитиков, компании, которые не будут принимать во внимание фактор воздействия социальных сетей на клиентов, будут терять контакт с рынком и упускать возможности для развития своего бизнеса. В самом деле, аудитория социальных сетей растет стремительными темпами. Судя по всему, социальные сети - это одно из проявлений новой экономики, где традиционные модели и схемы ведения бизнеса малопригодны.

По-своему правы скептики, утверждая, что аудитория социальных сетей - это в основном молодежь, а компаниям интересны более взрослые и более платежеспособные пользователи. Маркетологов слабо утешает, что молодежь вскоре вырастет и начнет зарабатывать. Планируя свои инициативы в социальных медиа сегодня, они вынуждены растягивать срок окупаемости инвестиций на несколько лет. Вместе с тем именно эти сегодняшние дети очень скоро заполнят офисные пространства и принесут с собой привычку активно использовать социальные ресурсы. Следовательно, в системах информационной безопасности откроется огромная дыра, через которую бурным потоком пойдут угрозы, исходящие от социальных сетей.

Насколько велика угроза?

Социальные сети, форумы, блоги - это среда с практически мгновенной скоростью распространения информации и довольно сильным эффектом памяти (содержимое многих сциальных ресурсов индексируется и доступно из поисковиков). Кроме того, растет индекс доверия к этим источникам информации.

По мнению Германа Романова, директора по ИТ телекоммуникационной компании «ЭР-Телеком», «сегодня для ряда компаний социальные сети могут представлять большую угрозу, чем регуляторы, поэтому как минимум необходимо контролировать то, что происходит в виртуальных ресурсах вокруг компании и чем сотрудники компании там занимаются. Желательно научиться управлять этим «социальным» процессом насколько возможно».

Сегодня в социальных сетях наблюдается целый спектр различных угроз, включая вредоносный код и спам. Кроме того, это поле деятельности для применения методов социальной инженерии на базе фишинга: злоумышленники могут использовать их как для распространения злонамеренного кода, так и для разведки, чтобы затем осуществить направленную атаку.

По мнению Алексея Раевского, генерального директора компании SecurIT, ничего принципиально нового в плане угроз социальные сети не принесли: «Если в компании не полностью запрещен доступ в Интернет, она в любом случае подвергается рискам, включая вредоносный код, спам, фишинг и т. д. Социальные сети являются лишь еще одним каналом рисков и угроз, особенно если использование социальных сетей является частью бизнес-процессов компании. Впрочем, социальные сети с хорошей репутацией следят за тем, что публикуется на их страницах, и стараются самостоятельно бороться с вирусами и вредоносным кодом, поэтому повышение риска, связанного с классическими внешними угрозами, я бы оценил как незначительное».

Несколько иначе обстоит дело с защитой от внутренних угроз и связанных с ними утечек конфиденциальной информации. Как и в случае с внешними угрозами, использование соцсетей повышает риск утечки: невнимательный или нелояльный сотрудник может опубликовать там информацию ограниченного доступа. Ситуация усугубляется тем, что в соцсетях потенциальные злоумышленники могут неформально общаться с сотрудниками организации на любые темы, следовательно, появляется гораздо больше возможностей для социальной инженерии и получения с ее помощью конфиденциальной информации.

Модели угроз

Основная проблема социальных сетей - это доверие к тем, кто внесен в список «друзей». Бездумное предложение «дружбы» от неизвестных или малоизвестных людей может привести к драматическим последствиям. Очевидно, что уровень доверия к тем, кто находится в списке «друзей», по определению всегда будет выше, чем к случайным людям. С одной стороны, это хорошо, так как формирует лояльную аудиторию вокруг компании, бренда или человека. Но с другой стороны, это открывает двери для злоумышленников.

««Дружеский» стиль общения, распространенный в соцсетях, обманчив - он может создать ложное ощущение, что вокруг только друзья и доброжелатели, с которыми можно делиться любой информацией», - поддерживает Раевский.

Вторая угроза - это так называемый маскарад, или возможность подмены личности: доподлинно неясно, кто именно скрывает свои действия под именем друзей или прикрывается фотографиями знакомых в профиле соцсети. Если при переписке по электронной почте можно было бы по IP-адресу отправителя собрать о нем хотя бы какую-то информацию, то в соцсети и этого не получится.

Сценарий подобного маскарада возможен и на корпоративном уровне. Результатом такого вредоносного сценария может стать фишинг, организация «черного пиара» или «антипиара». Уже было немало примеров, когда непонятно кем создается сайт от имени какой-то компании, - это порождает проблему для первоначального бренда.

Третья угроза связана со взломом пользовательских записей социальных ресурсов. Посредством взлома злоумышленник может проникнуть в соцсеть (в том числе от имени того, кто представляет в ней компанию, организацию или бренд), разослать по ее списку друзей фишинговое сообщение и получить деньги либо мотивировать получателей к каким-либо негативным действиям - в частности, пройти по указанной ссылке и запустить вредоносный код.

«В последнее время особой популярностью пользуются сервисы для сокращения длины URL, позволяющие замаскировать адрес нежелательного сайта под короткой ссылкой. На самом деле домен лишь перенаправляет посетителя, - отмечает Олег Шабуров, ведущий технический консультант Symantec в России и СНГ. - Сегодня идет активная борьба с этими рисками - сервисы сокращения URL стали применять улучшенные механизмы детектирования спама и других угроз. Однако для пользователей социальных сетей угроза остается - заманчивые сообщения и предложения от уже известных вам контактов, которые были взломаны, часто приводят к загрузке злонамеренных программ или демонстрации нежелательных страниц Интернета».

Не меньшее бедствие таит в себе привычка использовать одни и те же имена пользователей и пароли в корпоративной сети и во внешних социальных ресурсах. В результате взлом такой пользовательской записи соцсети значительно повышает риск проникновения к корпоративным ресурсам от имени одного из сотрудников компании.

Ну и конечно, не надо забывать о том, что соцсети стали рассадником вирусов и троянов.

Угрозой, относящейся не столько к информационной, сколько к экономической безопасности компании, является компрометирующее компанию поведение сотрудников: в соцсетях зачастую ведут себя совсем не так, как в корпоративных коммуникационных средах, и не исключено, что их эпатирующие публикации и грубые реплики могут нанести определенный репутационный ущерб их работодателям. Бороться с этим нужно в первую очередь организационными методами.

Еще одна угроза соцсетей, способная нанести ущерб экономике компании, - рост трафика, особенно при просмотре видеоисточников. Чтобы снизить эти затраты, можно, например, ограничить доступ к видеотрафику для тех категорий сотрудников, которым просмотр видео, скорее всего, не поможет в исполнении их должностных функций.

Средства защиты

По оценке Раевского, уже существуют адекватные средства защиты, позволяющие снизить риск использования соцсетей в бизнесе до приемлемого уровня: «Для защиты от внешних угроз подходят современные межсетевые экраны, антивирусы, средства обнаружения и предотвращения атак. Для защиты от утечек можно использовать современные DLP-системы. Их сегодня внедряют только наиболее прогрессивные в плане ИБ организации. Между тем ущерб от утечки конфиденциальной информации, спровоцированной инсайдером, может быть значительно выше, чем от хакерской атаки или от вирусной эпидемии».

Антон Левиков, ИТ-директор группы компаний «Новард», более осторожен в оценках возможностей DLP-функционала: «На мой взгляд, степень влияния соцсетей на ИБ очень существенная. К счастью, мы не сталкивались с угрозами лично, но вероятность сценария, когда сотрудник компании разглашает конфиденциальную информацию, очень велика. Подобный риск утечки информации я считаю вполне обоснованным. Чтобы этому противодействовать, необходим функционал DLP-систем. Но опыт коллег говорит о том, что далеко не всякая DLP-система сможет эффективно противостоять подобным утечкам, а кроме того, ее надо особым образом настраивать».

Необходимо заметить, что существующие методы борьбы на корпоративном уровне будут эффективны при условии, что разработчик средств борьбы с угрозами регулярно обновляет свои решения и включил в них сведения о новых угрозах, распространяющихся через соцсети, и средства их минимизации.

«Чаще всего пользователи сами переходят на опасные страницы. Использование на вашем ПК комплексной системы безопасности и разумная бдительность не позволят нанести вам вред и помогут сохранить конфиденциальные данные», - считает Шабуров.

Как правило, в организациях, не сильно ограничивающих своих сотрудников в использовании Интернета, политика ИБ в отношении соцсетей не очень сильно отличается от политики использования других интернет-ресурсов. Очевидно, в этой политике должно быть указано, какую информацию можно публиковать в социальных сетях, а какую заведомо нельзя, каким пользователям разрешено пользоваться соцсетями и т. д. В целом для политики ИБ социальные сети - это такие же интернет-ресурсы, как и форумы, блоги, серверы бесплатной электронной почты и т. д.

Конфликт интересов

Внутрикорпоративные социальные сети позволяют объединять компетенции различных сотрудников и способствуют более эффективному взаимодействию в условиях удаленных офисов и разницы в часовых поясах. Для их поддержки задействованы ресурсы служб ИТ и ИБ. Поскольку в вопросах безопасности соцсетей остается немало белых пятен, нередко эти службы проявляют повышенную осторожность в отношении соцсетей, что создает почву для конфликта этих служб с пользователями.

«Суть конфликта в том, что безопасность, которую должны обеспечивать службы ИБ, всегда связана с ограничениями, а пользователи не всегда хотят, да и не всегда могут с этими ограничениями мириться. Применительно к соцсетям, особенно если их использование необходимо для успеха бизнеса, этот конфликт может выражаться в том, что служба ИБ выступает инициатором полного запрета доступа к соцсетям, в то время как определенным подразделениям компании (отделам маркетинга, продаж, HR и др.) такой доступ нужен для выполнения своих обязанностей», - рассказывает Раевский.

Другую причину обострения конфликта отмечает Олег Шабуров: «Часто службы ИБ излишне закручивают гайки. С одной стороны, такой подход обеспечивает безопасность корпоративной сети, а с другой - пользователи начинают выходить в сеть с неконтролируемых службой ИБ мобильных устройств, посредством которых вовне может быть передана любая конфиденциальная информация, как случайно, так и преднамеренно».

По словам Алексея Лукацкого, бизнес-консультанта по безопасности компании Cisco, классическая проблема взаимодействия ИТ и ИБ в этой ситуации может обостриться в силу своеобразия виртуальной среды. Иными словами, если этим службам не удалось договориться о взаимодействии и разграничении полномочий и зон ответственности, то конфликты с пользователями будут проявляться ярче, громче, скандальнее.

Есть еще одна непростая тема, связанная с социальными сетями: через социальные сети могут взаимодействовать экстремисты. В частности, с помощью соцсетей «модерировались» конфликты в Египте и Сирии, беспорядки в Лондоне. Поэтому на уровне государства прорабатывается вопрос о контроле за действиями в социальных сетях. Не исключено, что в наши законы могут быть включены поправки, фиксирующие ответственность работодателей за противоправные действия сотрудников в корпоративных соцсетях. Чем ближе вступление России в ВТО, тем ближе к нашему рынку будут требования западного законодательства. Это не означает, что нужно немедленно этим озадачиться, но о проблеме следует помнить и быть готовым к тому, что требования российских и международных регуляторов в отношении соцсетей очень скоро могут стать актуальными для очень многих предприятий и организаций.

Под уголовно наказуемой угрозой понимается намерение одного лица причинить тяжкий вред здоровью другому лицу или даже лишить его жизни. Это намерение может быть выражено в устной или письменной формах, подкреплено конкретными действиями, жестами, демонстрацией предметов, с помощью которых может быть потенциально нанесен урон здоровью.

Не имеет значения, собирался ли злоумышленник на самом деле реализовывать свои планы или нет. Принципиальным моментом является восприятие потенциальной жертвой намерений агрессора в качестве реальной опасности. Постоянное нахождение в ожидании физической расправы может стать причиной фактического ухудшения физического и психологического самочувствия индивида.

При оценке высказываний преступника принимаются во внимание взаимоотношения между сторонами конфликта, обстоятельства, при которых была высказана угроза, содержание угрозы и частота ее выражения.

Особенности

С точки зрения закона, любая является преступлением, и за нее положено наказание. Однако поскольку в Интернете в принципе достаточно легко встретиться с проявлениями грубости и ненависти, в том числе от анонимных недоброжелателей, то главными проблемами с привлечением к ответственности агрессора могут быть подтверждение обоснованности исходящих от преступника угроз, а также идентификация его личности.

Нужно доказать, что агрессор, запугивая жертву и демонстрируя свои намерения причинить вред ее жизни и здоровью, делал всё возможное, чтобы его действия воспринимались как реальная опасность. Больше о том, что такое запугивание и какое наказание за него предусмотрено, мы рассказывали в .

В качестве подтверждения противоправных действий необходимо сделать скриншот записи злоумышленника в социальной сети, поскольку впоследствии он может её удалить. Настоятельно рекомендуется заверить скриншот с записью, содержащей угрозу, в нотариальной конторе. Нотариус должен составить «Акт осмотра страницы в сети «Интернет»».

Кроме того, если помимо запугиваний в Сети пострадавший получает очные угрозы либо непосредственно от злоумышленника, либо по телефону, либо в виде письма, их также целесообразно зафиксировать: найти свидетелей и записать телефонный разговор (подробно о том, как быть, если поступают угрозы по телефону читайте ).

Примеры

Порядок действий

Алгоритм

Нужно обратиться с заявлением в полицейский участок по месту прописки. Единообразного стандарта для заявления нет, однако есть некоторые требования к его содержанию. Примерный образец заявления можно получить у участкового или скачать у нас на сайте.

В заявлении необходимо максимально полно изложить ситуацию, приложив подтверждающие документы (скриншот сообщения с угрозой и проч.)

Судебное урегулирование

Если в возбуждении уголовного дела было отказано, но при этом опасения за жизнь и здоровье остались, гражданин имеет право направить исковое заявление в районный суд согласно порядку, предусмотренному гл.16 Уголовно-процессуального кодекса РФ .

Исковое заявление должно содержать:

• наименование судебного органа, куда истец подает заявление;
• ФИО истца и адрес его места жительства;
• ФИО ответчика;
• суть обращения – наличие угрозы жизни и здоровья;
• подробное изложение обстоятельств, при которых была получена угроза;
• приведение доказательств, подтверждающие факт противоправного деяния.

В случае необходимости можно обратиться в специализированные юридические организации, которые помогут грамотно составить исковое заявление.

Для того чтобы убедить суд, нужно предоставить весомые доказательства того, что существует высокая вероятность совершения противоправного действия. Целесообразно собрать дополнительные аргументы в обосновании своих опасений:

1. показания свидетелей, которые могут подтвердить враждебный настрой оппонента;
2. заверенные скриншоты в социальных сетях и/или аудио/видео/фото и прочие материалы, содержащие факт наличия угрозы: записи телефонных звонков, sms–сообщения, письма (в т.ч. электронные) и т.д.

Размер госпошлины для подачи искового заявления составит 300 руб.

Ответственность по ст. 119 при угрозе по интернету

Первая часть ст. 119 предполагает следующие виды наказания за угрозу убийством или причинения тяжкого вреда здоровью без квалифицирующих признаков:

• обязательные работы до четырехсот восьмидесяти часов;
• ограничение свободы до двух лет;
• принудительные работы до двух лет;
• арест до шести месяцев;
• лишения свободы до двух лет.

Вторая часть применяется к угрозам, совершенным по мотивам политической, религиозной, национальной ненависти. В этих случаях предусмотрена более серьезная ответственность вплоть до пяти лет тюремного заключения.

Поэтому стоит тщательно подумать перед тем, как угрожать в ВК и на других сайтах интернета.

Компенсация морального ущерба

Если не удалось собрать достаточных доказательств для привлечения виновника к уголовной ответственности за угрозу, можно через суд потребовать с него компенсацию морального ущерба.

Статьей 151 ГК РФ предусмотрено, что в случае нанесения гражданину морального вреда и/или нарушения его личных неимущественных прав, с нарушителя может быть истребована денежная компенсация. Размер денежной компенсации определяется судом с учетом степени, понесенных физических и нравственных страданий.

Под понятие нематериальные блага попадают жизнь и здоровье человека, его личная неприкосновенность и т.д.

Кроме того, злоумышленника можно привлечь по статье 128.1 УК РФ за распространение ложной информации о человеке, порочащей его честь и достоинство, подрывающих его репутацию. Наказание по этой статье возможно в виде наложения на виновное лицо штрафных выплат либо принуждения к общественным работам.

Шантаж и гневные обещания могут нанести серьёзный моральный ущерб. Сложно жить, осознавая, что кто-то угрожал расправой. Такое поведение дебошира не стоит прощать. Ведь независимо от того, в каком состоянии и расположении духа он произнёс эти слова, закон все равно нарушен. Значит, ответственности не миновать. –

Здравствуйте,Мария! Статья 152 Гражданского кодекса РФ предусматривает, что гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности.
Под распространением сведений, порочащих честь и достоинство гражданина или организации, следует понимать сообщение их как любому третьему лицу, так и нескольким лицам, неопределенному кругу лиц. Сообщение неопределенному кругу лиц может быть сделано путем опубликования порочащих сведений в печати, трансляции по радио и телевидеопрограммам, демонстрации в кинохроникальных программах, использования других средств массовой информации, изложения в служебных характеристиках и других документах, исходящих от организаций, в публичных выступлениях, заявлениях и жалобах, адресованных должностным лицам, или сообщения в иной, в том числе устной, форме нескольким или хотя бы одному лицу.
Таким образом, при рассмотрении исков о защите чести и достоинства суду необходимо установить:
имело ли место распространение сведений, которые оспаривает истец;
порочат ли они честь и достоинство истца;
соответствуют ли они действительности.
Исковая давность на требования о защите чести, достоинства и деловой репутации не распространяется (ст. 208 ГК).
Бремя доказывания по делам о защите чести и достоинства распределено между истцом и ответчиком. Ответчик должен убедить суд в том, что распространенные им сведения соответствуют действительности. Истец обязан доказать лишь факт распространения ответчиком сведений, порочащих истца. Он также вправе представить доказательства того, что распространенные сведения не соответствуют действительности.
Причиненный истцу моральный ущерб возмещается в соответствии со ст. 151 и 1101 ГК в виде денежной компенсации. При определении размеров компенсации морального вреда принимается во внимание степень вины нарушителя в случаях, когда вина является основанием возмещения вреда, и иные заслуживающие внимания обстоятельства. Суд должен также учитывать характер и степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред, требования разумности и справедливости. Характер физических и нравственных страданий оценивается судом с учетом фактических обстоятельств, при которых был причинен моральный вред, и индивидуальных особенностей потерпевшего.
Для составления искового заявления все таки советовала бы вам обратиться к юристу очно. к исковому вам нужно будет приложить распечатанные на бумаге срины с интернет страниц, содержащих оскорбления, так же распечатку титульной страницы в соцсети ответчицы с фотографией (чтоб было понятно, что это она пишет), возможно потребуется ходатайствовать о внесении в здание суда компьютера и просмотра вашей страницы в соцсети на заседании суда.если будете запрашивать моральный вред, хорошо бы доказать и его.
закон предусматривает также уголовное преследование в этом случае.
Клевета – это распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию.(ст.129 Уголовного кодекса РФ).
Оскорбление – это унижение чести и достоинства другого лица, выраженное в неприличной форме.(ст.130 Уголовного кодекса РФ).
Прежде чем, выдвинуть обвинение в клевете в отношении конкретного человека, мы должны помнить, что клевета предполагает:
Во-первых, сведения о вас должны быть распространены. Понятие распространение сведений включает в себя опубликование сведений в печати, трансляцию по радио и телевидению, демонстрацию в кинохроникальных программах и других средствах массовой информации, распространение в сети Интернет, а также с использованием иных средств телекоммуникационной связи, изложение в служебных характеристиках, публичных выступлениях, заявлениях, адресованных должностным лицам, или сообщение в той или иной, в том числе устной, форме хотя бы одному лицу.
Итак, как минимум распространение подразумевает, что ваш обидчик должен сообщил информацию о вас хотя бы одному третьему лицу - например, распространением будет передача соответствующей информации на совещании, на корпоративной вечеринке и даже в присутствии одного секретаря. Если высказывания прозвучали один на один, то это не считается распространением.
Во-вторых, информация о вас должна быть ложной, не соответствующей действительности. Т.е. в словах обидчика содержатся утверждения о фактах и событиях с вашим участием или связанных с вами, но которые не имели место в реальной действительности. Например, что на прошлой неделе вы украли с производства несколько килограмм гвоздей, пользуясь дружбой с начальником службы охраны, вы пронесли их через проходную и теперь удачно используете в строительстве своего домика в деревне.
В-третьих, человек, распространяющий ложную информацию, изначально знает, что эти сведения не имеют под собой никаких доказательств или напротив, опровергаются конкретными документами. Заведомая ложность информации является обязательным признаком клеветы. Но следует помнить, что человек может добросовестно заблуждаться и быть абсолютно уверенным в том, что распространяет правдивую информацию.
В–четвертых, распространенные сведения должны носить порочащий честь и достоинство характер или подрывающий репутацию характер. Порочащими являются высказывания, содержащие утверждения о нарушении человеком действующего законодательства, совершении нечестного поступка, неправильном, неэтичном поведении в личной, общественной жизни, недобросовестности при осуществлении производственно хозяйственной, предпринимательской деятельности, нарушении деловой этики или обычаев делового оборота.
Когда мы говорим об оскорблении, то имеем в виду следующее:
во-первых, в отличие от клеветы необязательно распространение оскорбляющей информации, то есть отсутствует необходимость представлять доказательства того, что информация о вас была распространена;
во-вторых, унижение чести и достоинства (но не репутации) выражается в неприличной форме. Унижение чести и достоинства – это оценочно-нравственная категория, подразумевающая отрицательную оценку личности, дискредитацию ее в глазах окружающих, подрыв ее морального престижа.
в-третьих, оскорбление может быть как в форме высказывания, так и в форме действий. Не говоря о физическом воздействии в отношении работника, как унижающие могут быть расценены действия начальника, который «в порыве гнева» кинул в работника записной книжкой, ручкой, иным предметом, или в процессе «воспитательной беседы» бросил документы, папки вам под ноги, подразумевая, что вы должны их собрать. Оскорбительными являются и действия, связанные с сексуальными домогательствами на рабочем месте.
1. Инициировать процесс по привлечению к уголовной ответственности конкретного физического лица - дело не сложное. Гораздо сложнее предоставить суду доказательства клеветы или оскорбления, а эти доказательства должны будете представлять вы, поскольку вы выступаете стороной, поддерживающей обвинение лица в совершении преступления.
2. Помните, что при подаче заявления мировой судья, во-первых, предупредит вас под расписку об уголовной ответственности за заведомо ложный донос, во-вторых, предупредит вас как потерпевшего об уголовной ответственности за отказ от дачи показаний или за уклонение от дачи показаний.
3. Заявление о возбуждении уголовного дела частного обвинения подается по месту совершения преступления. Если мы говорим о тех ситуациях, когда оскорбление или клевета имели место на работе, то обращаться следует к мировому судье, на территории которого расположена организация, в которой вы работаете и где было совершено преступление. в вашем случае, по месту вашего жительства.
Какие сведения должны содержаться в заявлении о принятии к производству дела частного обвинения?
наименование суда, в который подается заявление;
описание события преступления, места, времени, а также обстоятельств его совершения;
просьбу, адресованную к суду, о принятии уголовного дела к производству;
данные о потерпевшем, а также о документах, удостоверяющих личность;
данные о лице, привлекаемом к уголовной ответственности;
список свидетелей, которых необходимо вызвать в суд;
подпись лица, его подавшего.