Že dolgo ne drži več, da je dežurni krivec za hekerske napade škodljiva programska oprema na IT sistemih. Vedno bolj prihaja do izraza človeški faktor – naše šibkosti in pomanjkljivosti. Pri tem velja poudariti, da so večinoma tarče phishing napadov poslovni uporabniki, vse pogosteje tudi usmerjeno vodstveni kadri. Zato morda ni več ključno vprašanje, kako lahko zagotovite kibernetsko varnost organizacije, temveč kako lahko poskrbite za lastno varnost in varnost svojih uporabnikov.
V poslovnih okoljih se primarno soočamo z dvema izzivoma:
- kako obvladovati grožnje, ki prihajajo od zunaj in
- kako obvladovati in naslavljati notranje grožnje, ki jih hote ali nehote povzročajo uporabniki.
V tem zapisu se osredotočamo na notranje grožnje, saj smo uporabniki vedno bolj pomemben člen v verigi kibernetskih napadov. Poleg tega je phishing vedno težje prepoznati, saj so škodljiva sporočila pogosto videti kot popolnoma realna in legitimna.
Notranje grožnje kot vzvod za uspešne phishing napade
Morda izraz »notranje grožnje« kar malo preveč spominja na totalitaristične sisteme in iskanje notranjih sovražnikov. Dejansko pa varnostna grožnja povsem realno lahko nastane zaradi neustreznega ravnanja uporabnika informacijskega sistema. To je v poslovnih okoljih precej pogost primer – med leti 2018 in 2020 se je število incidentov zaradi notranjih groženj povečalo za kar 47 %*. Zelo posplošeno napisano predstavlja notranjo grožnjo vsak uporabnik, ki ima dodeljen dostop do poslovnih sredstev; od občutljivih podatkov do nadzorovanih prostorov in stavb. Pravica dostopa ima za svojo posledico določeno stopnjo odgovornosti. V trenutku, ko uporabnik zanemari odgovornost, postane grožnja.
CISA (Cyber and Infrastructure Security Agency) kot notranje grožnje opredeljuje naslednje**:
- vohunjenje,
- terorizem,
- nepooblaščeno razkrivanje informacij,
- korupcija, vključno s sodelovanjem v mednarodnem organiziranem kriminalu,
- sabotaža,
- nasilje na delovnem mestu,
- namerna ali nenamerna izguba ali zmanjšanje poslovnih virov ali zmogljivosti.
Notranje grožnje so lahko namerne ali nenamerne
Vsako od omenjenih groženj lahko razdelimo v tri kategorije:
- nenamerne grožnje
- grožnje iz malomarnosti
- zlonamerne grožnje
Zlonamerne grožnje izvirajo iz zavestnega osebnega vzgiba uporabnika, da dopusti ali želi povzročiti škodo organizaciji. V tem primeru je uporabnik lahko zelo ozaveščen na področju kibernetske varnosti, a njegov osebni interes prevladuje nad moralno odgovornostjo. Odpravljanje tovrstnih groženj je bolj predmet kadrovskega in poslovodnega področja. Običajno je namreč prisotno osebno nezadovoljstvo z delovnim mestom in odnosi ali pa se želi uporabnik s pridobljenimi podatki okoristiti na naslednjem delovnem mestu.
Druga kategorija so grožnje iz malomarnosti in nenamerne grožnje. Teh se uporabniki morda niti ne zavedajo ali pa se ne zavedajo odgovornosti, ki jo nosijo, če dopustijo, da se grožnja uresniči. Pri nenamernih grožnjah je pogosto izziv pomanjkanje znanja ali veščin za prepoznavanje groženj.
Kadar uporabnik pozna varnostne politike podjetja in ve, kako bi moral ravnati, a mu je v tistem trenutku lažje, če izvede postopek mimo varnostne politike, govorimo o malomarnosti. Klasičen in zelo oprijemljiv primer je, ko uporabniki ne zaklepajo zaslonov ali na mizi puščajo zaupne dokumente. Ali ko zaposleni spusti v poslovne prostore zunanjega obiskovalca in mu dovoli, da se prosto giblje po poslovnih prostorih, čeprav ve, da je to v nasprotju z internimi pravili.
Verjetno najbolj nevarna skupina notranjih groženj so tiste, ki se jih uporabniki ne zavedajo. Tu je največji problem pomanjkanje znanja in veščin za prepoznavanje groženj. Pred leti so bile mize v pisarnah polne listkov z gesli. Danes je splošno zavedanje o pomenu gesel in s tem povezane odgovornosti dovolj visoko, da verjetno le redko kdo še napiše geslo na listek in ga prilepi na zaslon. Večja težava so bolj prefinjeni načini pridobivanja dostopa do zaupnih podatkov. Najpogosteje se srečujemo s phishing napadi po elektronski pošti, veliko je tudi ribarjenja po telefonu (ang. vishing).
Phishing je skrbno premišljena strategija
Uporaba spleta in spletnih orodij zahteva dvoje: ozaveščenost in čuječnost (ang. alertness). Ozaveščenost v poslovnem okolju gradite s stalnim opozarjanjem uporabnikov na različne tipe napadov in elemente phishing napadov. O tem smo na našem blogu že pisali, zato na tem mestu le kratek opomnik: če oseba od vas zahteva hitro akcijo in ustvarja časovni pritisk, prekinite komunikacijo; po elektronski pošti ali telefonu nikoli ne sporočajte gesel, prijavnih ali bančnih podatkov.
Čuječnost sicer običajno povezujemo z drugimi sferami življenja, a v smislu zavedanja svojih dejanj in okolice je še kako pomembna tudi pri uporabi IT orodij in spleta. Zavedati se moramo, da pošiljatelj elektronske pošte ali oseba na drugi strani telefonske povezave ni le posameznik. Za škodljivimi sporočili stojijo organizacije, ki imajo izurjene ekipe za izvajanje socialnega inženiringa. Njihovi kadri obvladajo manipulacijo s prejemniki sporočil.
Prvi cilj napadalca je pridobiti naše zaupanje. Napadov se lotevajo skrbno premišljeno in strukturirano, o žrtvi skušajo pridobiti čim več podatkov, prepoznati njeno obnašanje na spletu in dinamiko delovanja, sporočila pa čim bolj personalizirajo. Takšne vrste napadov po elektronski pošti imenujemo usmerjeno ribarjenje (ang. spear phishing) in jih je zelo težko ločiti od legitimnih sporočil.
V naslednjih fazah napada se napadalci zanašajo na naše čustvene odzive. Ko nekomu zaupamo, želimo biti vljudni, sočutni in sogovorniku pomagati. To se lahko izkaže za problematično zlasti pri fizičnem dostopu (npr. ko kdo »pozabi« kartico za dostop do pisarne). Do izraza pride tudi čut za spoštovanje avtoritete in želja, da bi (zlasti problematične) stvari čim prej uredili. To je lahko povod za nepremišljene in prenagljene odločitve.
Pomembna čustvena komponenta je tudi strah. Kadar scenarij napada govori o neplačanih položnicah, ukinitvi računa ter v naslednji fazi grozi z obravnavami na sodišču, strah hitro prevlada nad razsodnim razmišljanjem in preverjanjem identitete napadalca. Strah je pomemben faktor tudi, kadar se napadalci sklicujejo na to, da bodo razkrili informacije o naših (domnevno) nečednih poslih.
Še ena karta, na katero lahko napadalci zelo uspešno igrajo, je obup. V času naravnih nesreč, pandemij in finančnih zlomov je v družbi večja želja in potreba po reševanju osebnih stisk. Te so pogosto povezane s finančno situacijo posameznika. V takšnih okoliščinah lahko nerealne ponudbe za hitre zaslužke zelo dobro uspevajo.
Stara, a še vedno dobro delujoča strategija je tudi izkoriščanje naravne človeške radovednosti. Pri tem gre lahko za elektronska sporočila, ki vabijo z zanimivo (pogosto kočljivo) vsebino ali za USB ključke, ki »se valjajo naokrog« s ciljem, da najditelj preveri, kaj je na njem in pri tem naloži škodljivo datoteko.
Bodite neprebojni ščit vašega omrežja
Kot uporabnik v omrežju moramo imeti ves čas »oči na pecljih«. Nobenega sporočila ali klica ne smemo imeti za samoumevnega. Vedno mora biti prisoten kanček dvoma. Tudi če poznate ime prejemnika, preverite resničnost njegovega sporočila, če se vam vsebina zdi neobičajna. Ob poskusu napada po telefonu pa brez slabe vesti odložite slušalko.
Kadar zaznate sumljivo pošto, telefonski klic ali se vam zdi, da se hoče kdo pretihotapiti v vaše poslovne prostore, o tem nemudoma obvestite pristojne v svoji organizaciji. O svojih dvomih in občutkih se odkrito pogovarjajte s sodelavci. Verjetno niste edini, ki ima takšno izkušnjo; več, kot se boste v podjetju pogovarjali o tem, večja je verjetnost, da boste preprečili poskuse napadov.
Dosledno spoštujte varnostne politike in politike dostopa in k temu spodbujajte tudi sodelavce. Širite zavedanje, da vsak dostop pomeni določeno stopnjo odgovornosti: s tem, ko ste dobili pravico dostopa, ste dobili tudi odgovornost, da ščitite podatke, do katerih smete dostopati.
Predvsem pa nikoli ne delite svojih gesel in drugih osebnih podatkov in k takšnemu ravnanju spodbujajte tudi sodelavce in svoje domače, bližnje, prijatelje. Čeprav se nam kot strokovnjakom za kibernetsko varnost včasih zdi, da se s tem navodilom ponavljamo kot stara lajna, se še vedno dogaja, da uporabniki napadalcem sporočajo zaupne podatke.
Ključ do ozaveščenosti in IT čuječnosti je v stalnem izobraževanju in nadgradnji veščin prepoznavanja napadov s socialnim inženiringom.
*Vir: Infosecurity Magazine: The Biggest Cyber-Threat Isn’t Hackers, It’s Insider Threats
** Vir: CISA
Ozaveščanje uporabnikov
Ozaveščanje uporabnikov ustvarja živi požarni zid in je ključno za preprečevanje vdorov v poslovne informacijske sisteme.
Simulacija napadov po e-pošti
Simulacija napadov po e-pošti je učinkovit način treniranja zaposlenih v prepoznavanju phishing napadov in škodljivih povezav.
Brezplačna orodja
Brezplačna orodja, ki jih je razvilo partnersko podjetje KnowBe4, so namenjena testiranju in treningu varnostnega ozaveščanja zaposlenih.