Najsłabsze ogniwo w łańcuchu bezpieczeństwa – o budowaniu cyber świadomości

Bartosz Woźniak

Zdaniem jednego ze światowej sławy socjotechników, autora książki „Sztuka podstępu. Łamałem ludzi, nie hasła” – Kevina Mittnick’a – wydawanie pieniędzy na zapory sieciowe czy urządzenia z bezpiecznym dostępem jest stratą pieniędzy, gdyż te środki bezpieczeństwa nie uwzględniają czynnika ludzkiego, czyli tytułowego najsłabszego ogniwa w łańcuchu bezpieczeństwa.

Każdy z nas jest użytkownikiem Internetu, komputera, smartfonu. Czasami korzystamy z nich jako pracownicy, czasami jako rodzice, czasami jako dzieci, czasami jako konsumenci. W dzisiejszym artykule skupimy się przede wszystkim na tematyce cyber świadomości. Jaki wpływ może mieć na nasze życie? Jak budować świadomość swoich pracowników? Dlaczego to właśnie ludzie są najsłabszym ogniwem w łańcuchu bezpieczeństwa?

Czy ludzka natura ma podatności, podobnie jak program komputerowy?

Tak. Dlaczego? Odpowiedź jest prosta – dlatego, że:

• jesteśmy ciekawscy,
• mamy nieustanną ochotę bycia lubianym lub pomocnym,
• chcemy czuć się przydatni i pomocni,
• jesteśmy altruistyczni,
• jesteśmy skorzy udzielić odpowiedzi w podziękowaniu za coś, np. nagrodę,
• nie myślimy racjonalnie podczas, gdy się spieszymy.

W żadnym wypadku nie wynika to z naszej złej woli lub wręcz chęci bycia ofiarą cyber przestępstwa. Jest to jednak spowodowane naszą ludzką naturą. Tylko tyle i aż tyle.

Cyberprzestępcy doskonale znają ludzką naturę, a w szczególności słabości człowieka. Przykładowo, Edward Snowden uzyskał dane, które nie były przeznaczone dla niego, a następnie opublikował je na łamach Wikileaks. Doszło do tego między innymi dlatego, że otrzymał te dane (lub dostęp do nich) bezpośrednio od swoich kolegów z pracy. Wykorzystał wtedy właśnie nieświadomość kolegów co do zamiarów Snowden’a. Inny przykład, to chociażby kampanie sms’owe o treści:

„Zauważyliśmy niedopłatę w kwocie X zł na Twoim koncie. Aby nie utracić dostępu do energii elektrycznej przejdź na stronę Y. W przeciwnym razie skierujemy sprawę do sądu.”

czy podszywające się pod instytucje, które darzymy pewnym zaufaniem – np. banki.

Te cechy, sprawiają, że ataki biorące za swój cel człowieka są tak skuteczne (nazywamy je „atakami socjotechnicznymi”). Statystyki pokazują, że około 90% naruszeń bezpieczeństwa rozpoczęły się od socjotechniki i phishing’u (o phishing’u i jego odmianach opowiemy Państwu w kolejnych artykułach)! Ponadto, z badań firmy ESET wynika, że w samym pierwszym kwartale 2022 r. odnotowano o 40% więcej e-maili phishing’owych niż w ciągu ostatniego kwartału 2021 r!

Jak się chronić przed socjotechniką?

Dobrze, skoro już wiemy, że przestępcy wykorzystują naszą ludzką naturę do przełamania zabezpieczeń, to w jaki sposób możemy się chronić? Bez względu na to czy jesteśmy kierownikami podmiotów publicznych, dyrektorami podmiotów leczniczych, członkami zarządów spółek giełdowych, pracownikami stanowiskowymi, lekarzami, prawnikami, konsumentami czy zwykłymi użytkownikami Internetu – powinniśmy być świadomi. Świadomość, to klucz do bezpieczeństwa danych, w tym danych osobowych.

Pracodawco:

• szkól systematycznie swoich pracowników z cyberzagrożeń,
• buduj świadomość pracowników w zakresie istotności informacji na których codziennie pracują,
• testuj rozwiązania z zakresu bezpieczeństwa również pod kątem czynnika ludzkiego,
• wdrażaj politykę „zero trust”.

Użytkowniku/pracowniku:

• śledź ataki i kampanie phishing’owe,
• czytaj dokładnie e-maile i wiadomości SMS, które dostajesz,
• zwracaj uwagę na linki, które klikasz,
• stosuj się do polityk bezpieczeństwa w swoim środowisku pracy (i poza nim),
• nie ufaj wszystkiemu, co widzisz w Internecie, w komputerze czy smartfonie.

To tylko kilka wskazówek, do których warto się stosować. Nie tylko dlatego aby zaoszczędzić pieniądze, ale przede wszystkim aby zapewnić sobie, pracownikom, pracodawcom, dzieciom czy rodzicom – spokój i bezpieczeństwo przed kradzieżą tożsamości, przed kradzieżą danych lub innymi konsekwencjami wycieku danych.

Na zakończenie, pamiętaj również, że jeżeli zarządzasz podmiotem (publicznym lub prywatnym), to przetwarzasz dane osobowe i jako administrator możesz być za nie odpowiedzialny. Jeżeli zatem dojdzie do wycieku danych wskutek np. ataku socjotechnicznego, to tą sytuacją może się zainteresować m.in. Prezes Urzędu Ochrony Danych Osobowych będący organem monitorującym prawidłowość przetwarzania danych.