Метод аналізування уразливостей соціотехнічних систем до впливів соціальної інженерії

The use of social engineering is reduced to the interaction of the attacker with an employee of the organization. Such interaction is focused on receiving confidential information and is implemented in four phases: studying, establishing interaction, entering into trust, using trust. An example of the study of these phases is the social engineering optimizer. They are used by separating the attacker (social engineer) and protector (an employee of the organization). Each is initialized by two random decisions. Better among them is interpreted as an attacker. To achieve this, he adheres to social engineering methods. However, the consideration remains that during the interaction, the social engineer manipulates the employee's consciousness and, as a consequence, gains sensitive information. According to the socio-engineering approach, the vulnerabilities of the employee are interpreted as his weaknesses, needs, mania (passions), admiration. This leads to a new model of his behavior, creating favorable conditions for the implementation of threats to the use of social engineering. The manifestation of such forms is a fraud, deception, scam, intrigue, hoax, provocation. The social engineer intentionally influences the employee's mind against will, but with his or her consent. Therefore, it is important to take into account their psychological and personal qualities and professional competencies when interacting. In order to take into account the psychological and personal qualities, professional competencies of the social engineer and the employee of the organization, it is recommended that their interaction be represented by a social graph.Використання соціальної інженерії зводиться до взаємодії зловмисника зі працівником організації. Така взаємодія орієнтована на отримання конфіденційної інформації і реалізується протягом чотирьох фаз: вивчення, встановлення взаємодії, входження в довіру, використання довіри. Прикладом дослідження даних фаз є оптимізатор соціальної інженерії. Він використовуються шляхом виокремлення зловмисника (соціального інженера) та захисника (працівника організації). Кожен з них ініціалізування двома випадковими рішеннями. Краще серед них тлумачиться як зловмисник. Для досягнення поставленої мети він дотримується методів соціальної інженерії. Однак, поза увагою залишається врахування того, що протягом взаємодії соціальний інженер маніпулює свідомістю працівника та, як наслідок, отримує доступ до конфіденційної інформації. За соціоінженерним підходом уразливості працівника тлумачяться як його слабкості, потреби, манії (пристрасті), захоплення. Це призводить до нової моделі його поведінки, створення сприятливих умов реалізації загроз використання соціальної інженерії. Проявом таких форм є шахрайство, обман, афера, інтрига, містифікація, провокація. Соціальний інженер цілеспрямовано впливає на свідомість працівника проти волі, але за його згодою. Тому важливо враховувати їх психолого-особистісні якості та професійні компетенції при взаємодії. Для врахування психолого-особистісних якостей, професійних компетенцій соціального інженера та працівника організації рекомендовано їх взаємодію представляти соціальним графом. Соціальним графом представляється взаємодія суб’єкта (соціальний інженер) з об’єктом (працівник організації) соціоінженераного впливу та зв’язки між ними