Философская перспектива социоинженерных атак: эволюция понимания угрозы информационной безопасности

©

В современном мире виртуальные преступления становятся все более распространенными, оказывая значительное влияние на поведение и психологическое состояние людей. В уголовно-правовой науке такие противоправные действия называют социоинженерными атаками, основанными на манипуляции сознанием жертв. Это вызывает острую необходимость исследовать философские и криминологические аспекты данного феномена.

Применение философской перспективы к проблемам социоинженерных атак позволяет по-новому рассмотреть сущность таких общественно опасных деяний и разработать механизмы противодействия современным киберугрозам в цифровом пространстве.

В данной статье мы рассмотрим понятие социоинженерной атаки с точки зрения философии, проанализируем эволюцию понимания угрозы информационной безопасности, изучим роль философии в обеспечении информационной безопасности, предложим новые подходы к решению проблемы и сформулируем рекомендации по формированию культуры информационной безопасности в обществе в контексте противодействия социоинженерным атакам.

Методологияи материалы исследования

При изучение философской перспективы и ее применение к проблеме социоинженер-ных атак, а также в исследовании эволюции понимания угрозы информационной безопасности и роли философии в обеспечении информационной безопасности использовались следующие методы научного познания: анализ, синтез, формальная логика, обобщение и сравнение. Среди материалов исследования числятся монографии, научные статьи и интернет-источники по проблемам понимания угроз информационной безопасности.

Понятие социоинженерной атаки: философская перспектива

Термин «социоинженерная атака» возник в контексте обеспечения технической и социальной безопасности. Изначально он использовался в сфере информационной безопасности и киберзащиты для описания методов взлома систем, основанных на воздействии на человеческий фактор.

В этом контексте социальная инженерия предполагала манипуляцию психологическими аспектами людей с целью получения доступа к конфиденциальной информации или выполнения определенных действий.

Сегодня социальная инженерия становится все более популярной в среде не только пользователей различных видов он-лайн-коммуникации (социальные сети, электронная почта или др.), но и в повседневной жизни. Термин «социальная инженерия» используется чаще в отрицательном контексте как метод управления действиями человека без использования технических средств, основанный на использовании человеческих слабостей, как незаконный метод получения информации, однако положительный контекст термина объединяет совокупность подходов прикладных социальных наук [1; 2].

Есть несколько версий происхождения термина «социальная инженерия». Одна из них связана с именем К. Поппера, который считает, что Р. Паунд впервые использовал этот термин в 1922 году в своей книге «Введение в философию права».

По мнению Поппера, социальная инженерия подразумевает проектирование новых социальных институтов и корректировку существующих через последовательное реформирование. Он подчёркивает, что это лишь «частичная» инженерия с ограниченной сферой применения.

Согласно другому предположению, термин возник в работах С. и Б. Вебб. В российской литературе он начал использоваться примерно в начале 1970-х годов в исследованиях, критикующих западную социологию и социальную психологию.

В труде Ю. М. Резника «Социальная инженерия: сфера деятельности и границы применения» термин «социальная инженерия» применяется для описания процесса целенаправленного изменения и регулирования различных организационных структур, включая социальные институты и формальные организации [3, 4].

Социальная инженерия характеризуется двумя особенностями, согласно Ю. М. Резнику и К. Попперу:

• —    организационные структуры, которые регулируют поведение людей и контролируют их действия;

• —    особый механизм реализации, использующий специальные инструменты и технологии для решения социальных проблем, адаптации социальных групп и институтов к изменяющимся условиям.

А. В. Веселов полагает, что социальная инженерия является междисциплинарным понятием, и определяет её как практическую деятельность людей по управлению общественными отношениями через организацию и развитие социальных систем разного уровня сложности [5].

Таким образом, термин «социальная инженерия» содержит в себе элементы социологии и психологии.

В условиях развития цифровых технологий и перехода многих аспектов жизни в виртуальное пространство, социальная инженерия становится все более актуальной. Она включает в себя не только атаки на информационные системы, но и манипуляции с социальными структурами и отношениями.

В научной литературе можно выделить несколько подходов к определению социоинженерии. Один из них рассматривает ее как форму атаки, направленную на людей с использованием методов воздействия на их психологические и социальные характеристики [6]. Этот подход акцентирует внимание на манипуляциях, целях и последствиях социоинженерных атак, подчеркивая опасность потери конфиденциальной информации и уязвимость человеческого фактора в системах безопасности.

Другой подход рассматривает социоинженерию не только как способ атаки, но и как инструмент обеспечения безопасности. Он подчеркивает важность понимания социальных процессов, коммуникаций и поведенческих шаблонов для эффективной защиты информационных ресурсов и противодействия потенциальным атакам. Этот подход также подчеркивает важность обучения и повышения осведомленности персонала о методах социоинженерии [7].

Таким образом, в научной литературе существует несколько подходов к определению социоинженерной атаки, которые отражают как угрозу, так и защиту в сфере информационной безопасности [8].

При множестве подходов, стоит отметить тот факт, что в научной литературе не существует закрепленного определения так называемых социоинженеров, тех кто является субьектом социоинженерных.

Предполагаем, что исходя из криминальной коннотации этого понятия можно сформулировать такое определение социального инженера: «социоинженер — субъект правоотношений, использующий методы психологического воздействия манипулятивного характера на когнитивные убеждения объекта с целью завладение его имуществом».

Эволюция понимания угрозы информационной безопасности

В условиях современного общества, характеризующегося постоянными изменениями и внедрением новых технологий, крайне важно постоянно обновлять свои знания и подходы к оценке и преодолению рисков.

Изначально угроза воспринималась как нечто физическое, но с развитием мировой политики, экономики и киберпространства это понятие стало более сложным и многогранным [9].

Важно понимать, как изменилось восприятие угрозы в контексте социокультурных изменений, технологического прогресса и глобальной безопасности. Необходимо учитывать факторы, влияющие на эти изменения, исследовать новые виды рисков, возникших в результате этого развития и адаптировать стратегии защиты и противодействия в условиях быстро меняющегося мира.

Трансформация восприятия опасности в социуме и государстве отражает сложность современной действительности, в которой развитие технологий и изменение политических отношений порождают новые типы угроз [10].

Стремительное развитие цифровых технологий и интернета приводит к изменению того, как люди и государственные структуры воспринимают риски. Появление новых форм социальных атак [11; 12], таких как фишинг, фарминг и социальная инженерия, требует не только глубокого понимания современных угроз, но и готовности к их предотвращению [13].

Философия обеспечения информационной безопасности

Для успешного противодействия методам социальной инженерии необходимо придерживаться строгих принципов обеспечения информационной безопасности. Для этого следует понять, что подразумевается под термином «информационная безопасность». В современном российском научном дискурсе наблюдается многообразие интерпретаций и трактовок понятия «информационная безопасность», а также подходов к определению ее принципов.

Можно выделить два основных подхода к организации таких принципов. Первый, узкотехнический, который включает в себя инструменты технической защиты информации с помощью различных программных средств и такого подхода придерживаются: Г. Г. Феоктистов, В. Ю. Статьев, В. А. Тиньков, М. В. Арсентьев, Е. В. Вострецова [6].

Второй подход является государственным, так как его определение охватывает безопасность, которая обеспечивается как на уровне страны, так на уровне субъекта. Такого представления придерживаются А. Д. Урсул, В. А. Мазуров, В. В. Невинский, В. Н. Ясенев [7].

Различные подходы по-своему определяют понятие информационной безопасности, и многие авторы акцентируют внимание лишь на отдельных аспектах этой важной темы. Это разнообразие подходов, с одной стороны, позволяет подобрать наиболее подходящий вариант для конкретного случая. С другой стороны, оно затрудняет понимание того, какие именно определения характеризуют это понятие.

Таким образом, исследование различных трактовок позволяет сделать вывод, что защита информации представляет собой совокупность действий, направленных на предотвращение несанкционированного получения доступа к конфиденциальным сведениям, будь то информация, относящаяся к государственной, корпоративной или личной сфере.

В Доктрине информационной безопасности Российской Федерации, утвержденной Указ Президента РФ от 5 декабря 2016 г. № 646, информационная безопасность рассматривается как состояние защищенности личности, общества и государства от информационных угроз, которые могут исходить как изнутри, так и извне.

Цель данной доктрины — не только обеспечить реализацию конституционных прав, свобод и интересов человека, но и создать условия для достойной жизни населения, а также сохранить основы конституционного строя России, включая оборону и безопасность государства.

В пункте 4 доктрины раскрываются основные принципы работы государственных органов по обеспечению информационной безопасности. Среди них: законность, конструктивное взаимодействие, баланс между потребностями граждан в информации и соответствующими ограничениями, достаточность ресурсов для обеспечения безопасности, соблюдение международных норм и законов Российской Федерации в этой области.

Также существует подход, предложенный Д. Зальцером и М. Шредером в 1975 году. В своей научной статье они разделили нарушения безопасности на три типа: несанкционированное раскрытие информации, несанкционированное изменение информации и отказ в доступе к информации. Эти типы получили названия конфиденциальность, целостность и доступность. Вместе они стали известны как триада CIA.

Эти принципы лежат в основе стандартов защиты данных, с которыми мы сталкиваемся в повседневной жизни.

Конфиденциальность представляет собой ограничение доступа к информации, которое распространяется исключительно на уполномоченных лиц. Например, только вы обладаете знанием PIN-кода или пароля, необходимого для разблокировки вашего телефона или компьютера, а также для входа в личный кабинет на портале государственных услуг или доступа к электронной почте. Утечка конфиденциальной информации представляется весьма тривиальной: любая попытка без вашего ведома подобрать пароль или получить доступ к вашему личному кабинету, телефону, компьютеру или электронной почте без вашего разрешения является нарушением конфиденциальности.

Целостность данных подразумевает, что информация остается неизменной и может быть изменена только с разрешения владельца. Если преступник получит доступ к вашей электронной почте и удалит или изменит какую-либо часть писем, это будет рассматриваться как нарушение целостности данных. Целостность подразумевает, что изменения могут вноситься только уполномоченными пользователями.

Доступность данных подразумевает, что вы можете получить доступ к информации в любое время, когда это необходимо [6].

Хотя принципы обеспечения информационной безопасности государства более или менее ясны, принципы обеспечения информационной безопасности отдельных лиц остаются туманными.

Особенно сложно определить, как обеспечивается информационная безопасность конкретного человека, поскольку его правовая жизнь часто сопряжена с необходимостью предоставлять информацию о себе при взаимодействии как с государством, так и негосударственными организациями.

При этом гражданин не может ознакомиться с тем, какие персональные данные собираются государством и государственными органами, включая негосударственные организации. Этот вопрос остается открытым для юридической науки.

Таким образом, мы подходим к вопросу этической составляющей принципов безопасности.

Культураинформационной безопасности

В соответствии с данными ежегодного отчета Global Digital Reports, на сегодняшний день в Российской Федерации проживает 144,2 миллиона человек, из них активных пользователей интернета 130,4 миллиона, в начале 2022 года эта цифра составляла 130 миллионов [14].

В начале 2024 года 106,0 млн человек являются пользователями социальных сетей — это 73,5 % от общего населения, динамика не изменилась с 2022 года, однако в 2021 году пользователей было меньше на 7,0 млн [14].

Если говорить о времени в сети, то в 2024 году российские пользователи проводят в интернете на 4,5 % больше, чем в 2023 году — 8 часов 21 минуту в день.

Даже если учесть, что один человек может использовать несколько устройств, количество телефонных абонентов на 2024 год превышает общее население страны, его количество составило 152,5 % [14].

Количество домов, не подключенных к интернету, снижается год от года. В 2018 году эта цифра составляла 18 % в целом по стране, а в 2021 году уже 12 %.

Тенденция на спрос интернета также зависит от возраста и образования. Чем выше возраст, тем меньше обращений к интернету, чем выше уровень образования, тем больше обращений в интернет.

Главной причиной, толкающей людей на выход в интернет, является поиск информации. Эту причину назвали 82,4 % опрошенных.

Также в перечень причин вошли:

• —    интерес к новостям и мировым событиям (65,6 %);

• —    общение с семьей и друзьями (64,6 %);

• —    просмотр развлекательного видеоконтента (64,5 %);

• —    поиск информации о продуктах и брендах (40,1 %);

• —    видеоигры (34,2 %);

• —    подбор информации для планирования отпуска (29,0 %).

Чтобы осознать положение дел в сфере информационной безопасности в условиях современного мира, где многие величины исчисляются миллиардами, необходимо уделить внимание одному значимому аспекту.

Для рядового пользователя особенно важно научиться фильтровать информацию и развивать компетенции, которые позволят отличать достоверные данные от недостоверных.

Интересным является то, каким образом пользователи обеспечивают сохранность своих персональных данных [15].

Россияне используют следующие способы защиты:

• —    опасения по поводу использования личных данных компаниями (25,5 %);

• —    блокировка файлов cookie на веб-сайтах (21,6 %);

• —    использование инструментов для блокировки рекламы (30,4 %);

• —    использование VPN (37,5 %).

Учитывая тот факт, что в интернете хранится больше информации, чем во всех библиотеках мира, чтобы привлечь внимание пользователей, создатели сайтов и приложений часто используют различные способы манипуляций, основанные на сильных эмоциях, таких как любопытство, возмущение или гнев.

В условиях, когда основная угроза, исходящая от интернета, заключается в неспособности людей критически оценивать и применять информацию, содержащуюся в сети, становится очевидной необходимость обучения людей работе с интернетом.

Блокировка контента не всегда приводит к желаемому результату, поскольку зачастую вызывает обратный эффект: чем больше запретов, тем больше интерес к запрещенным материалам.

Для обеспечения информационной безопасности потребительского контента требуется более комплексный подход, чем просто запрет. Потребитель должен осознавать опасность недостоверной информации, которая может представлять для него угрозу. Достижение такого понимания возможно только при условии взаимной ответственности государства и потребителя.

Необходимо обучать правилам соблюдения цифровой гигиены [16]. Такое обучение может проводиться в различных формах: устной, видео- и печатной, и быть доступным как на корпоративном, так и на государственном или индивидуальном уровне.

Кроме того, важно разрабатывать и обновлять комплексные антивирусные программы, доступные для потребителей. Однако для того, чтобы научить потребителей распознавать недостоверную информацию и защитить их от вредоносных сайтов, одних технических средств фильтрации недостаточно. Необходимо воздействовать на мировоззрение человека, чтобы добиться от него определенного желаемого поведения.

В такой модели взаимодействия будет реализован принципиально новый подход к цифровой информационной грамотности. Его цель — не просто сформировать навык по ограничению доступа к интернету, а выработать новые привычки и развить когнитивные способности, которые позволят распознавать и блокировать опасные источники информации.

Заключение

На основании вышеизложенного можно констатировать, что социоинженерные атаки являются серьезной угрозой для общества, поскольку они основаны на манипуляции сознанием жертв. Философский подход позволяет по-новому взглянуть на этот феномен и предложить новые механизмы противодействия таким атакам.

Применение философских концепций к проблеме социоинженерных атак помогает рассмотреть сущность этих общественно опасных деяний и разработать стратегии для обеспечения информационной безопасности. Таким образом, философская перспектива является важным инструментом для изучения и решения проблем, связанных с социоинженерными атаками, и способствует формированию культуры информационной безопасности в обществе.