Если вы осознаёте всю опасность социальной инженерии, то наверняка хотели бы использовать и методы защиты от неё. Однако, для защиты от социальной инженерии не существует какой-то антивирусной программы или навороченной системы от McAfee\IBM\Symantec. Единственный действенный способ - это повышение образованности сотрудников и их знаний о безопасности и защите информации. Давайте посмотрим один из вариантов, как сама социальная инженерия может стать хорошим инструментов для защиты от неё самой.
Социальное подтверждение или "стадный инстинкт"
Ключом к выбору правильного подхода, может быть так называемое "социальное подтверждение" (social proof). Это явление, при котором мы ищем у окружающих людей модель правильного поведения в той или иной ситуации. Социальное подтверждение (или "социальное соответствие") хорошо изучено и описано в поведенческой психологии. Часто можно услышать и такое грубое его определение как "стадный инстинкт".
Вот отличный иллюстрирующий пример, как ведёт себя человек в непонятной ситуации (особенно последний эпизод):
https://www.youtube.com/watch?v=cPYiS5ebGgk
Прежде всего отмечу, что стремление к социальному соответствию - это нормально. Это заложено в нас самой природой. Такой механизм необходим для выживания - использовать в необычной ситуации коллективный разум, вместо индивидуального, гораздо более выгодно и безопасно. Не обязательно более умно, но в критической ситуации это может спасти жизнь.
Инстинкт "следования за большинством" настолько силён в нас, что многие чувствуют дискомфорт в обыденной жизни, когда говорят или делают что-то отличное от мнения большинства.
Интересно, что это явление, видимо, присуще исключительно человеку. Обширные исследования
Daniel Haun показали, что двухгодовалые дети ищут правильное решение поставленных перед ними задачек, наблюдая за другими детьми, а вот детёныши шимпанзе и орангутанов - нет.
Важные параметры
Из-за того, что социальное соответствие - потенциально очень сильный и сложный инструмент влияния (и один из наиболее не осознаваемых самим человеком), для использования необходимо хорошо его понимать. Надо знать несколько важных факторов, непосредственно влияющих на этот социальный механизм.
- Правильный размер группы. Для получения эффекта группового влияния необходима, собственно, сама группа. Но она не должна быть большой. Согласно исследованиям, оптимальный размер группы - 3-5 человек. Но важно отметить, что такой размер группы подходит лишь для персонального влияния, т.е. эксперимента над одним человеком.
- Единодушие. Очевидно, что для оказания влияния на человека, все члены группы должны быть единодушны в своих действиях и решения. Эксперименты показали, что внушаемость испытуемых падала с 97% до 36%, если хотя-бы один из группы выступал в оппозицию к мнению большинства.
- Социальная принадлежность. Очень важно, чтобы испытуемый испытывал чувство принадлежности к группе влияния, идентифицировал себя с ними. Согласитесь, если вы окажитесь в одной комнате с толпой китайцев, единогласно что-то утверждающих вам, вряд ли вы поддадитесь на их влияние. Если, конечно, вы сам не китаец:)
- Неопределённость - это то, что позволяет включиться инстинктам социального соответствия. Только когда окружение и ситуация вокруг нас не позволяет мгновенно принять решения самостоятельно, или когда возможных решений много - мы начинаем искать правильные варианты в поведении людей вокруг нас. Соответственно, для максимального эффекта внушаемости, необходимо чтобы ситуация для испытуемого была неоднозначна, необычна и имела бы много вариантов решения.
Как это использовать?
Явление социального подтверждения - это мощный инструмент, который легко можно использовать при тестировании своей организации. Будут ли ваши сотрудники нарушать политику безопасности, потому что они думаю, что кто-то тоже так делает? Например, если "новенький айтишник", изо всех сил пытается справиться с проблемой и заслужить похвалу начальства, а для этого ему всего-лишь нужно запустить одну программку на компьютере, "ведь все остальные уже запустили". Конечно, ваши сотрудники знают, что этого делать нельзя. Но как они поведут себя, если будут думать, что другие люди вокруг поступили по другому?
Механизмы социального подтверждения можно использовать и для увеличения эффективности обучения сотрудников. Если вы работаете в коллективе, в котором соблюдение культуры информационной безопасности - это норма (пусть это и не совсем так на самом деле), вы будете гораздо более осторожны в своих решениях. Хорошей практикой для выработки такой культуры, будут регулярные анонсы об использовании тех или иных методов защиты информации сотрудниками, которые позволят создать ощущение, что все вокруг уже заботятся о безопасности.
Подробнее можно почитать в интересном исследовании (англ.):
Increasing Security Sensitivity With Social Proof
Так что в следующий раз, оказавшись в неожиданной ситуации и начав озираться по сторонам, высматривая как ведут себя люди вокруг, вспомните и осознайте, что "социальное соответствие" - это мощный механизм нашей психики. И освоив его, вы можете взять себе на службу один из самых действенных инструментов в социальной инженерии.
