Na področju informacijske varnosti je vse več izobraževanj in ozaveščanja zaposlenih. Pa vendar nekako izgleda, da stvar (še) ne deluje najbolje. Zakaj?

Procesi pod drobnogledom. Foto Shane Aldendorff na Unsplash

Da ne bo pomote – prepričan sem, da je ozaveščanje zaposlenih ključnega pomena za varnost organizacije. Pogosto precej bolj kot vpeljava dragih tehničnih varnostnih rešitev.

Pa vendar ob povečanem izvajanju izobraževanj in ozaveščanja zaposlenih statistike in trendi ne kažejo najbolj vzpodbudnih rezultatov.

Število phishing napadov strmo narašča, prav tako trend rasti poslovne škode zaradi izsiljevalskih virusov. Ob teh pa se pojavljajo nove, vedno bolj premišljene oblike socialnega inženiringa.

Trenutno je zelo aktualna oblika whaling – kitolov oziroma ciljanje ključnega kadra.

Pri presojah informacijsko-varnostnih sistemov situacijo v Sloveniji vidim z dokaj specifičnega vidika. Pri tem bi lahko potegnil nekaj logičnih zaključkov. V trendih dogajanja vidim precej podobnih vzorcev za ključne vzroke.

Prvi primer

“Zaposleni se izobraževanjem izogibajo. V sistemizaciji delovnih mest bomo med obveznosti vpisali redna usposabljanja s področja informacijske varnosti. Potem se tem ne bodo mogli več izogniti,” je povečanje udeležbe na izobraževanjih načrtoval direktor informacijske varnosti večje organizacije.

Menim, da je tak pristop napačen. Zaposlene je potrebno primerno motivirati, ozavestiti in jim pomagati razumeti njihovo vlogo pri tem. ‘Prisilna izbraževanja’ NE bodo dvignila razumevanja, motivacije, niti stopnje zavedanja in previdnosti zaposlenih.

Drugi primer

“Mi smo IT firma, izobraževanj o phishingu in osnovah informacijske varnosti res ne rabimo,” je na vprašanje o sistematičnem obdobnem ozaveščanju zaposlenih pojasnil direktor druge organizacije.

Ključne veščine dobrega socialnega inženirja so poznavanje področja psihologije in prepričevanja, ne tehnične IT veščine. Pri dobro premišljenem in časovno odlično načrtovanem phishing testu sem tudi sam spregledal majhno podrobnost in nasedel. Imunosti ni.

Tretji primer

V neki organizaciji sem opazil, da redno ozaveščajo zaposlene o informacijski (ne)varnosti. Periodično ter vsebinsko aktualno in zanimivo. Ampak sem pri presoji ugotovil, da na nobenem izmed predavanj ni bilo prisotnih članov uprave.

Z vodstvi presojanih organizacij se pogosto pogovarjamo o socialnem inženiringu ter še posebej poskusih prevar vodstvenega kadra. Na primer, s prevaro prepričati vodje financ, da nujno mimo ustaljenih postopkov denar nakažejo na nek neznan račun za izmišljene razloge.

Večina direktorjev in vodij se ob tem samo nasmehne: “Ah, kje pa, pri nas to ne more uspeti.”

Prekaljeni direktorji zelo dobro poznajo svoja okolja in procese. Zato pogosto ne vidijo smisla v tratenju časa za takšna izobraževanja. Strinjajo se, da so zaposleni pogosto preveč naivni in lahke tarče za pretkane prevarante. Ter, da jih je potrebno zaščititi in ozavestiti.

Zase pa težko verjamejo, da bi tako zlahka nasedli takšnim prevaram.

Kdo je omenil zlahka?

Koliko časa in truda menite, da prevaranti namenijo načrtovanju in profiliranju ciljanih organizacij in ključnih oseb? Profesionalci si vzamejo več mesecev.

Podrobno spremljajo organizacijo, izkoristijo vse male luknje in napake za zbiranje malih ključnih podrobnosti. Ko je slika dovolj jasna, samo še spretno izpeljejo napad.

Primer za razmislek

Večja brazilska investicijska banka, članica svetovne bančne skupine Santander, je nepridipravu iz Nigerije nakazala 242 milijonov dolarjev za gradnjo izmišljenega letališča.

Kako je to vendar mogoče? Pri takšni instituciji in znesku so procesi preverjanja, odobritev in izplačevanja zelo kompleksni in dodelani. Pa vendar, moje vprašanje za vas:

Kaj vam bo koristilo sklepanje o stopnji naivnosti uslužbencev te banke in nepravilnosti v njihovih postopkih?

Kot v izjavi prej omenjene IT firme, bi tu za bančnike lahko sklepali, da so strokovnjaki na svojem področju in tako vrtoglavega zneska ne bi mogli kar tako nakazati ‘v meglo‘.

Če vprašam drugače: Se vam zdijo vaši procesi brez napak? Ali bi mogoče lahko nekdo, če bi si vzel dovolj časa, uspel najti nekaj manjših lukenj (za katere verjetno niti sami ne veste), jih smiselno povezal in zlorabil?

Nedavno nazaj je predsednik večje slovenske banke v nekem intervjuju poslovneže opozoril, da bodo organizacije [pa ne samo finančne] v prihodnje za obstoj potrebovale brutalno samorefleksijo.

Sklepna misel

Phishing je že nekaj časa na sceni. V organizacijah vse več pozornosti posvečajo ozaveščanju zaposlenih. Poiskati nove luknje in lažje, bolj dobičkonosne načine, je povsem pričakovan odziv hackerjev. Zato je glede na vse omenjeno povsem smiselno, da pozornost (pre)usmerjajo na kritični kader.

Pri moji prejšnji zaposlitvi je vodstvo korporacije precej pozornosti posvečalo ozaveščanju zaposlenih, tudi vodstvenega kadra. Opozorili so nas na porast whalinga. Poudarek je bil, naj tega ne jemljemo zlahka, ker naj bi bila uspešnost tovrstnih napadov po Evropi grozljivo visoka.

Prepričan sem, da so za večino hackerskih napadov krive pomanjkljivosti v kvaliteti procesov in produktov organizacije. Hackerji so zelo izurjeni, za dosego cilja pa imajo po navadi neomejen čas.

Pogosto pravijo, da hackerji vrtajo luknje v sistem. Ne, ti samo izkoristijo ‘ponujene’ priložnosti. Luknje so že navrtane, za pravočasno odpravljanje teh pa je pomembna ozaveščenost vodstva in brutalna samorefleksija.

Če rabite pogovor in nasvet ali pomoč, me ni težko najti.

Borut Kmetič


Po formalni izobrazbi sem diplomirani varstvoslovec informacijske varnosti, sicer pa imam precej izkušenj v večjih mednarodnih IT okoljih pri upravljanju in svetovanju na področju informacijske varnosti, vodenju IT projektov in izvedbe storitev, pri upravljanju in presojanju ISO sistemov, svetovanju pri digitalizaciji poslovanja, varstvu osebnih podatkov, vodenju kakovosti, procesov in organizacijske kulture.

Sem zunanji vodilni presojevalec informacijske varnosti po ISO standardu pri mednarodni certifikacijski hiši.

Organizacijam nudim svetovanje in pomoč pri optimizaciji poslovanja, predvsem z zgoraj navedenih področij. Sicer pa se ukvarjam tudi z drugimi oblikami optimizacij (oziroma hekanja), kot so na primer biohekanje, osebna rast, raziskovanje prebojnih novih tehnologij, eksponentna organizacija, sistemsko razmišljanje in druge napredne metode.

Borut@SmartAssets.it
Borut@Medium
Borut@TheGoodMenProject