Socjotechnika – bezpieczeństwo w firmie

Kevin Mitnick był jednym z najgroźniejszych ludzi w sieci. Łamał ludzi nie hasła. Kevina Mitnicka jako superhakera obawiało się tysiące Amerykanów. Był jedną z najintensywniej poszukiwanych osób w historii FBI. Po aresztowaniu groziła mu kara kilkuset lat pozbawienia wolności, mimo że nigdy nie oskarżono go o czerpanie korzyści finansowych z hakerstwa. Wyrokiem sądu zakazano mu jakiegokolwiek dostępu do komputera. Sąd uzasadnił wyrok: „Uzbrojony w klawiaturę jest groźny dla społeczeństwa”.

Po zwolnieniu Mitnick zupełnie odmienił swoje życie. Stał się najbardziej poszukiwanym ekspertem w Stanach od spraw bezpieczeństwa systemów komputerowych. W „Sztuce podstępu” odkrywa tajemnice swojego „sukcesu”, opisuje jak łatwo jest pokonać bariery w uzyskiwaniu ściśle tajnych informacji, jak łatwo dokonać sabotażu przedsiębiorstwa, urzędu czy jakiejkolwiek innej instytucji. Robił to setki razy wykorzystując przemyślne techniki wywierania wpływu na ludzi. Mitnick udowadnia, jak złudna jest opinia o bezpieczeństwie danych prywatnych i służbMitnick Kevinowych, pokazuje jak ominąć systemy warte miliony dolarów, wykorzystując do tego celu ludzi je obsługujących.

W książce „Sztuka podstępu” zawarł informacje dotyczące bezpieczeństwa informacji, które wzbogacają ich świadomość, podnoszą kwalifikacje personelu. Przedstawia również zalecenia, które powinny być wprowadzane w celu bezpiecznego przekazywania informacji. Żadne szkolenie zasad bezpieczeństwa nie jest doskonałe, dlatego należy stosować zabezpieczenia technologiczne , gdzie tylko jest to możliwe, aby stworzyć nieprzenikalny system obronny. Oznacza to, że wyznacznikiem bezpieczeństwa jest raczej czynnik technologiczny niż czynnik ludzki – na przykład wtedy, gdy system operacyjny jest skonfigurowany tak, aby uniemożliwić pracownikom pobieranie programów z Internetu lub wybieranie krótkich, łatwych do odgadnięcia haseł. Personel firm powinien stosować się do najważniejszych wytycznych dotyczących systemów bezpieczeństwa, lecz i to nie gwarantuje 100% skuteczności działania.

Wszystkie ataki socjotechniczne mają jeden wspólny element i jest nim mianowicie oszustwo. ZazwyczKevin Mitnickaj ofiara zostaje przekonana, że napastnik to kolega z pracy lub inna osoba uprawniona do udzielania poufnych informacji.

Socjotechnika – metody:

– Udawanie pracownika tej samej firmy, często stosując żargon firmowy.
– Udawanie przedstawiciela dostawcy, firmy partnerskiej lub agencji państwowej.
– Udawanie przedstawiciela producenta systemy operacyjnego zalecającego pilna aktualizację.
– Oferowanie pomocy w razie wystąpienia jakiegoś problemu, sprawienie, by problem wystąpił, i manipulacja ofiarą w taki sposób, aby sama zadzwoniła z prośbą o pomoc.
– Wysyłanie darmowego programu do aktualizacji lub zainstalowania.
– Wysyłanie wirusa lub konia trojańskiego w załączniku do poczty.
– Użycie fałszywego okna dialogowego wyświetlającego prośbę o powtórzenie hasła.
– Podrzucanie w okolicach stanowiska pracy ofiary płyty CD- ROM zawierającej niebezpieczny kod.
– Oferowanie nagrody za rejestrację, poprzez wprowadzenie nazwy użytkownika i hasła.
– Prośba do recepcjonistki o odebranie i o przesłanie faksu dalej.

W celu unikania takich sytuacji należy stosować następujące zasady:
– Weryfikacja tożsamości osoby, która o coś prosi (czy jest tą, za którą się podaje?)
– Weryfikacja, czy osoba jest uprawniona ( czy rzeczywiście jest uprawniona do otrzymania tej informacji?)

Praktyczny program szkolenia w zakresie bezpieczeństwa informacji, powinien zawierać takie zagadnienia jak:
– Opis, w jaki sposób napastnicy używają socjotechniki w celu uzyskania informacji.
– Sposoby rozpoznawania ataku socjotechnicznego.
– Metody jakimi posługują się socjotechnicy.
– Informacje o tym, gdzie należy zgłaszać podejrzenia próby socjotechnicznej.
– Uświadomienie pracownikom o obowiązku kontrolowania i weryfikacji tożsamości każdej osoby, która kieruje do nas prośbę.
– Procedury ochrony poufnych informacji.
– Każdy pracownik powinien być poinformowany, w jaki sposób tworzyć bezpieczne hasło.

Kolejnym elementem szkolenia powinno być podtrzymanie świadomości, ze względu na to że każdy ma tendencję do zapominania, a zatem konieczne jest nieustanne podtrzymywanie w świadomości bezpieczeństwa informacji. Każdy pracownik musi mieć świadomość, że poufność informacji jest jego obowiązkiem.

Kilka sposobów podtrzymania świadomości:– Zawarcie elementów informacyjnych w wewnętrznych publikacjach firmy (krótkie w treści przykuwające uwagę).
– Wieszanie plakatów w miejscu wykonywania pracy.
– Przesyłanie informacji przez wewnętrzne fora firmy.
– Dołączanie ulotek do kopert zawierających np. premię.
– Wysyłanie przypominających e-maili.
– Stosowanie wygaszaczy związanych z bezpieczeństwem.
– Wpojenie bezpieczeństwa informacji jako standardowego elementu pracy.

Zagrożenie jest nieustanne, dlatego należy przypominać o konsekwencjach zaniedbania.

Znakami ostrzegawczymi ataku socjotechnicznego dla pracowników mogą być:
– Odmowa podania numeru zwrotnego.
– Nietypowa prośba.
– Nadmierne okazywanie posiadania władzy.
– Podkreślanie pilności sprawy.
– Grożenie konsekwencjami niepodporządkowania się prośbie.
– Okazywanie niechęci w przypadku zadawania pytań.
– Komplementy lub pochlebstwa.

Należy pamiętać, że przeszkolony personel lepiej poradzi sobie z wykryciem ataku socjotechnicznego, dlatego należy inwestować w szkolenia dla pracowników. Materiały szkoleniowe powinny być dostosowane do poszczególnych grup pracowników, ze względu na zajmowane stanowisko w organizacji.

Autor: Monika Boratyn

Tagi: ,

2 Komentarzy

  1. Agnieszka on 19 lutego 2011 at 15:31

    Otrzymałam informacjęmże byłam inwigilowana>pracowałam w redakcjii gazety lobbingowej Elita.Na naszej klasie ktos ponad rok temu umieścił zdi ęcie Stirlitza i odwiedził mój profil.Gdzie mogłabym sie z ta sprawą zgłosić,czuje sie trochę niepewnie.Prosze o odpowiedź.A.Wieniarska

  2. zdrowie on 17 maja 2011 at 09:44

    Bardzo ciekawy post. Czytałem książkę Mitnika max mnie zainteresowała.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *