«Подглядывание за экраном — это не просто «подсмотреть пароль в метро». Это фундаментальный провал в модели угроз, где цифровая защита упирается в физическую реальность. В России, с её акцентом на 152-ФЗ и защиту персональных данных, упускать этот вектор — значит строить крепость с открытыми воротами. Речь о прямом наблюдении, которое обходит любые межсетевые экрамы и системы обнаружения вторжений.»
Подглядывание (Shoulder Surfing)
Метод социальной инженерии, при котором конфиденциальная информация извлекается через прямое визуальное наблюдение за действиями пользователя.
Суть атаки
Shoulder surfing — это несанкционированный сбор данных путём наблюдения за тем, как пользователь вводит пароли, PIN-коды, работает с документами или совершает иные действия с информацией ограниченного доступа. В отличие от кибератак, этот метод эксплуатирует физическую уязвимость и человеческий фактор, оставаясь невидимым для большинства технических средств защиты информации (СЗИ).
Ключевая характеристика: Угроза реализуется в физическом пространстве. Это делает её особенно коварной — системы мониторинга сетевой активности или антивирусы здесь бессильны. Атака направлена на точку соприкосновения человека и цифровой системы.
Векторы атак
Подглядывание не ограничивается взглядом через плечо. Оно эволюционировало и использует разные каналы наблюдения.
| Вектор | Описание | Типичный контекст |
|---|---|---|
| Прямое наблюдение | Злоумышленник находится в непосредственной близости от жертвы, визуально фиксируя действия. Не требует оборудования. | Очередь, общественный транспорт, офис open-space, кафе. |
| Дистанционное наблюдение | Использование оптики (бинокль, камера с телеобъективом) для наблюдения с расстояния или из укрытия. | Наблюдение из окна соседнего здания, автомобиля, с крыши. |
| Скрытые записывающие устройства | Мини-камеры, замаскированные под бытовые предметы (рамка, дырокол, деталь интерьера), направленные на клавиатуру или экран. | Переговорные комнаты, рабочие кабинеты, зоны ввода критичных данных (например, рядом с банкоматом). |
| Программный захват | Вредоносное ПО, ведущее запись экрана (скринкастинг) или транслирующее изображение с веб-камеры. Хотя это кибератака, результат — удалённое «подглядывание». | Скомпрометированные рабочие станции, заражённые личные устройства сотрудников. |
Реальные сценарии для российской практики
Эти ситуации регулярно возникают в жизни сотрудников, работающих с персональными данными (ПДн) или коммерческой тайной.
- Ввод пароля от ЕСИА/Госуслуг или корпоративного портала в открытом офисе или на совещании. Достаточно одного раза для компрометации.
- Работа с документами, содержащими ПДн, в общественном транспорте или коворкинге. Проходящий мимо человек может зафиксировать ФИО, паспортные данные, адреса.
- Авторизация в банк-клиенте или ввод OTP-кода из СМС. Это прямой путь к финансовым потерям, причём MFA (многофакторная аутентификация) в данном случае не спасает — оба фактора видны на экране.
- Подключение к публичной Wi-Fi сети на конференции. Человек рядом видит вводимый пароль от сети, после чего может перехватывать незашифрованный трафик.
- Удалённая работа из дома. Члены семьи или гости на заднем плане во время видеоконференции могут случайно увидеть конфиденциальные данные на экране.
Технические меры противодействия
Эти меры должны быть предусмотрены политикой информационной безопасности организации.
- Фильтры конфиденциальности (privacy screen) на все мониторы и ноутбуки. Они сужают угол обзора до 30-45 градусов, делая экран чёрным при взгляде сбоку. Это базовое и самое эффективное средство.
- Многофакторная аутентификация (MFA) с правильным выбором факторов. Если пароль подсмотрели, доступ должен блокироваться вторым фактором, который нельзя подсмотреть одновременно (например, аппаратный токен или биометрия). Push-уведомление на тот же телефон, экран которого могут видеть, — слабая защита.
- Виртуальные клавиатуры с рандомизацией раскладки для ввода паролей к особо важным системам. Запоминается последовательность кликов, а не позиция пальцев на статичной клавиатуре.
- Автоматическая блокировка экрана при простое более 1-2 минут и обязательное использование штатного экрана блокировки ОС (Win+L, Ctrl+Cmd+Q) при отходе от рабочего места.
- Политика скрытия уведомлений на заблокированном экране. Текст SMS с кодом подтверждения не должен отображаться.
Организационные и физические меры
Без этих мер техническая защита теряет смысл. Они напрямую связаны с требованиями к обработке ПДн и защите коммерческой тайны.
Обучение и культура безопасности
- Включение модуля о shoulder surfing в ежегодные обязательные инструктажи по информационной безопасности.
- Практические тренировки: «контрольные закупки», когда сотрудник службы безопасности имитирует атаку в рабочей обстановке, чтобы оценить бдительность.
- Чёткие инструкции: как и где можно работать с конфиденциальными данными, а где — категорически нельзя.
Организация рабочего пространства
- Зонирование: Выделение помещений или зон с ограниченным доступом для работы с информацией ограниченного доступа (ИОТ). Мониторы в таких зонах должны быть ориентированы так, чтобы экран не был виден со стороны входа или прохода.
- Правило «спиной к стене»: Рабочее место организуется так, чтобы сотрудник, работающий с конфиденциальными данными, сидел спиной к глухой стене, а не к окну или проходу.
- Регулярный осмотр помещений на предмет несанкционированных устройств (технический осмотр розеток, вентиляционных решёток, предметов интерьера).
Обнаружение и реагирование
Что делать, если возникли подозрения?
Признаки возможного наблюдения: посторонний человек без явной цели задерживается рядом; один и тот же человек появляется в разных местах вашего маршрута; необычные или новые предметы в непосредственной близости от рабочего места; ощущение, что за вами следят.
Порядок действий:
- Немедленно заблокируйте экран устройства (Win+L).
- Безопасно смените обстановку (например, отойдите в другое помещение).
- Смените потенциально скомпрометированные учётные данные (пароль, PIN).
- Сообщите о происшествии в службу информационной безопасности или непосредственному руководителю. Зафиксируйте время, место и приметы подозрительного лица/объекта.
Чек-лист для оценки защищённости
| Контрольная точка | Статус | Приоритет |
|---|---|---|
| На всех устройствах, обрабатывающих ПДн/ИОТ, установлены фильтры конфиденциальности. | □ Выполнено / □ Не выполнено | Высокий |
| Для критичных систем настроена MFA с использованием отдельного физического токена или биометрии. | □ Выполнено / □ Не выполнено | Высокий |
| Автоблокировка экрана настроена на период не более 2 минут. Сотрудники используют ручную блокировку при отходе. | □ Выполнено / □ Не выполнено | Высокий |
| Рабочие места с доступом к ИОТ расположены согласно принципу «спиной к стене», не на проходе. | □ Выполнено / □ Не выполнено | Средний |
| В политике ИБ и инструктажах прописан запрет на работу с конфиденциальными данными в публичных местах. | □ Выполнено / □ Не выполнено | Средний |
| Проводятся регулярные осмотры помещений и тренировки по обнаружению подглядывания. | □ Выполнено / □ Не выполнено | Средний |
Итог
- Shoulder surfing — это атака на физический периметр безопасности, который часто остаётся вне фокуса при построении СЗИ.
- В контексте 152-ФЗ игнорирование этого риска может привести к инциденту утечки ПДн, даже если все технические средства защиты настроены идеально.
- Эффективная защита — это всегда комбинация: технические средства (фильтры) + организационные меры (зонирование) + человеческий фактор (обучение и бдительность).
- Начинать нужно с самого простого и действенного — установки фильтров конфиденциальности и выработки привычки блокировать экран.
Дальнейшие шаги: Разработать внутреннюю памятку для сотрудников, провести аудит расположения рабочих мест, включить проверку на уязвимость к shoulder surfing в план внутренних аудитов ИБ.