sobota, 15 februarja, 2025

Iz te kategorije

Ozaveščanje zaposlenih o varnosti ne deluje(?)

Pri hackerjih velja pravilo, da ko ne morejo premagati tehnologije, se usmerijo na ljudi. Glede na nove tehnologije, tudi uporabo umetne inteligence, postaja vse bolj jasno, da bo phishinga in drugih oblik socialnega inženiringa, prav tako z uporabo umetne inteligence, vse več.

Procesi pod drobnogledom. Foto Shane Aldendorff na Unsplash

In ozaveščanje je pri tem izjemno pomembno. Zadnje čase opažam vse več izobraževanj in ozaveščanja zaposlenih. Pa vendar nekako izgleda, da stvar (še vedno) ne deluje najbolje. Zakaj?

Da ne bo pomote – prepričan sem, da je ozaveščanje zaposlenih ključnega pomena za varnost organizacije. Kot sem že omenil, precej bolj kot vpeljava dragih tehničnih varnostnih rešitev.

Pa vendar ob povečanem izvajanju izobraževanj in ozaveščanja zaposlenih statistike in trendi ne kažejo najbolj vzpodbudnih rezultatov.

Število phishing napadov strmo narašča, prav tako trend rasti poslovne škode zaradi izsiljevalskih virusov. Ob teh pa se pojavljajo nove, vedno bolj premišljene oblike socialnega inženiringa.

Zelo aktualna oblika je whaling – kitolov oziroma ciljanje ključnega kadra.

Pri presojah informacijsko-varnostnih sistemov situacijo v Sloveniji vidim z dokaj specifičnega vidika. Pri tem bi lahko potegnil nekaj logičnih zaključkov. V trendih dogajanja vidim precej podobnih vzorcev za ključne vzroke.

Prvi primer

“Zaposleni se izobraževanjem izogibajo. V sistemizaciji delovnih mest bomo med obveznosti vpisali redna usposabljanja s področja informacijske varnosti. Potem se tem ne bodo mogli več izogniti,” je povečanje udeležbe na izobraževanjih načrtoval direktor informacijske varnosti večje institucije.

Menim, da je tak pristop napačen. Zaposlene je potrebno primerno motivirati, ozavestiti in jim pomagati razumeti njihovo vlogo pri tem. ‘Prisilna izbraževanja’ NE bodo dvignila razumevanja, motivacije, niti stopnje zavedanja in previdnosti zaposlenih.

Drugi primer

“Mi smo IT firma, izobraževanj o phishingu in osnovah informacijske varnosti res ne rabimo,” je na vprašanje o sistematičnem obdobnem ozaveščanju zaposlenih pojasnil direktor druge organizacije.

Ključne veščine dobrega socialnega inženirja so poznavanje področja psihologije in prepričevanja, ne tehnične IT veščine. Pri dobro premišljenem in časovno odlično načrtovanem phishing testu sem tudi sam spregledal majhno podrobnost in nasedel. Imunosti ni.

Tretji primer

V neki organizaciji sem opazil, da redno ozaveščajo zaposlene o informacijski (ne)varnosti. Periodično ter vsebinsko aktualno in zanimivo. Ampak sem pri presoji ugotovil, da na nobenem izmed predavanj ni bilo prisotnih članov uprave.

Z vodstvi presojanih organizacij se pogosto pogovarjamo o socialnem inženiringu ter še posebej poskusih prevar vodstvenega kadra. Na primer, s prevaro prepričati vodje financ, da nujno mimo ustaljenih postopkov denar nakažejo na nek neznan račun za izmišljene razloge.

Večina direktorjev in vodij se ob tem samo nasmehne: “Ah, kje pa, pri nas to ne more uspeti.”

Prekaljeni direktorji zelo dobro poznajo svoja okolja in procese. Zato pogosto ne vidijo smisla v tratenju časa za takšna izobraževanja. Strinjajo se, da so zaposleni pogosto preveč naivni in lahke tarče za pretkane prevarante. Ter, da jih je potrebno zaščititi in ozavestiti.

Zase pa težko verjamejo, da bi tako zlahka nasedli takšnim prevaram.

Kdo pa je sploh rekel, da ‘zlahka’?

Koliko časa in truda menite, da prevaranti namenijo načrtovanju in profiliranju ciljanih organizacij in ključnih oseb? Profesionalci si vzamejo več mesecev.

Podrobno spremljajo organizacijo, izkoristijo vse male luknje in napake za zbiranje malih ključnih podrobnosti. Ko je slika dovolj jasna, samo še spretno izpeljejo napad.

Primer za razmislek

Večja brazilska investicijska banka, članica svetovne bančne skupine Santander, je nepridipravu iz Nigerije nakazala 242 milijonov dolarjev za gradnjo izmišljenega letališča.

Kako je to vendar mogoče? Pri takšni instituciji in znesku so procesi preverjanja, odobritev in izplačevanja zelo kompleksni in dodelani. Pa vendar, moje vprašanje za vas:

Kaj vam koristi sklepanje o stopnji naivnosti uslužbencev te banke in nepravilnosti v njihovih postopkih?

Kot v izjavi prej omenjene IT firme, bi tu za bančnike lahko sklepali, da so strokovnjaki na svojem področju in tako vrtoglavega zneska ne bi mogli kar tako nakazati ‘v meglo‘.

Če vprašam drugače: Se vam zdijo vaši procesi brez napak? Ali bi mogoče lahko nekdo, če bi si vzel dovolj časa, uspel najti nekaj manjših lukenj (za katere verjetno niti sami ne veste), jih smiselno povezal in zlorabil?

Nedavno nazaj je predsednik večje slovenske banke v nekem intervjuju poslovneže opozoril, da bodo organizacije [pa ne samo finančne] v prihodnje za obstoj potrebovale brutalno samorefleksijo.

Sklepna misel

Phishing je že nekaj časa na sceni. V organizacijah vse več pozornosti posvečajo ozaveščanju zaposlenih. Poiskati nove luknje in lažje, bolj dobičkonosne načine, je povsem pričakovan odziv hackerjev. Zato je glede na vse omenjeno povsem smiselno, da pozornost (pre)usmerjajo na kritični kader.

Pri moji prejšnji zaposlitvi je vodstvo korporacije precej pozornosti posvečalo ozaveščanju zaposlenih, tudi vodstvenega kadra. Opozorili so nas na porast whalinga. Poudarek je bil, naj tega ne jemljemo zlahka, ker naj bi bila uspešnost tovrstnih napadov po Evropi grozljivo visoka.

Prepričan sem, da so za večino hackerskih napadov krive pomanjkljivosti v kvaliteti procesov in produktov organizacije. Hackerji so zelo izurjeni, za dosego cilja pa imajo po navadi neomejen čas.

Pogosto pravijo, da hackerji vrtajo luknje v sistem. Ne, ti samo izkoristijo ‘ponujene’ priložnosti. Luknje so že navrtane, za pravočasno odpravljanje teh pa je pomembna ozaveščenost vodstva in brutalna samorefleksija.

Zaposleni in vodstva podjetij pa ponavadi ne razumejo tveganj, povezanih z informacijsko varnostjo. Smiselnost vpeljave sistema in varnostnih mehanizmov, ki ta tveganja zmanjšujejo, je najbolj enostavno pojasniti z vprašanjem:

“A veste, kdo v pohodniškem nahrbtniku nosi prvo pomoč? Tisti, ki razume, ker jo je vsaj enkrat že potreboval.”

Če rabite pogovor in nasvet ali pomoč, me ni težko najti.

Borut Kmetič

Po formalni izobrazbi sem diplomirani varstvoslovec informacijske varnosti, z izkušnjami v večjih mednarodnih IT okoljih na področjih upravljanja informacijske varnosti, vodenja IT projektov in izvedbe storitev, upravljanja in presojanja ISO sistemov, digitalizacije poslovanja, varstva osebnih podatkov, optimizacije kakovosti, procesov in organizacijske kulture.

Sem zunanji vodilni presojevalec informacijske varnosti po ISO standardu pri mednarodni certifikacijski hiši.

Organizacijam pomagam iskati strateške rešitve in izboljšati njihovo poslovanje, predvsem na zgoraj navedenih področjih. Ukvarjam pa se še z drugimi oblikami optimiziranja (oziroma hekanja), kot so na primer biohekanje, osebna rast, raziskovanje prebojnih novih tehnologij, eksponentne organizacije, sistemskega razmišljanja in drugih naprednih metod.

Borut@SmartAssets.it
Borut@Medium


 

Isti avtor