Mõtisklused ja märkmed

“Teie süsteemi on sisse murtud, palun vahetage kohe parool!”

Kirjutas

IllimarR

teemas

Foto: ChatGPT

Sotsiaalne manipulatsioon IT-turvariskina – kuidas kaitsta end Mitnicki valemi abil?

Üks suurimaid ja levinumaid IT-turvariske pole mitte tehnoloogiline haavatavus, vaid inimlik – sotsiaalne manipulatsioon (ingl social engineering). Ründajad kasutavad ära inimeste usaldust, teadmatusest tulenevaid vigu või stressiolukordi, et pääseda ligi tundlikele süsteemidele või andmetele.

“Teie süsteemi on sisse murtud, palun vahetage kohe parool!”

Kujutleme järgmist olukorda: töötaja saab kõne IT-osakonnast (väidetavalt). Kõneleja räägib kiirelt, tõsisel toonil: “Me näeme, et teie kontole on tehtud volitamata sisselogimisi. Palun andke kohe oma parool, me peame selle süsteemis ära muutma.”

Töötaja, olles ehmunud ja tundes vastutust (ja hirmu), ütleb oma parooli telefoni teel. Mõni tund hiljem – kontole on tõepoolest sisse murtud. Aga seekord tänu sellele, et inimene usaldas valesid inimesi – see on klassikaline sotsiaalse manipulatsiooni juhtum.

Kevin Mitnick, kunagine tuntud häkker, kes hiljem sai turvanõustajaks, on sõnastanud turbevalemi, mille järgi turvalisus koosneb tehnoloogiast, koolitusest ja reeglitest. Ainult nende kolme koosmõju suudab tagada tõelise kaitse. Analüüsime ülaltoodud näidet nende kolme komponendi kaudu.

1. Tehnoloogia – kas meil on õiged tööriistad?

  • Kas kontole pääsemiseks on kasutusel kahefaktoriline autentimine (2FA)?
  • Kas süsteemis on logitud kõik tundlikud tegevused (nt paroolimuutused)?
  • Kas töötajad saavad parooli muuta ainult läbi ametliku turvalise portaali, mitte kellegi käsul telefoni teel?

2. Koolitus – kas inimesed teavad, mida teha?

  • Kas töötaja on koolitatud tundma ära sotsiaalse manipulatsiooni võtteid?
  • Kas talle on selgitatud, et IT-osakond ei küsi kunagi paroole telefoni teel?
  • Kas on läbi viidud simulatsioone, et testida töötajate valmisolekut sellisteks olukordadeks?

3. Reeglid – kas organisatsioonil on selged juhised?

  • Kas on ametlikult kirjas, et paroole ei tohi jagada isegi IT-osakonnaga?
  • Kas on olemas reeglid, kuidas paroolivahetusi käsitletakse?
  • Kas rikkumise korral järgnevad selged protseduurid ja tagajärjed?

Manipulatsiooni vastu aitab mõtteviis, mitte tulemüür.

Turvalisus ei ole vaid tulemüüride, viirusetõrjete või logimissüsteemide küsimus. Kui inimene suudab avada ukse ründajale usalduse, stressi või teadmatusest, siis ei päästa meid isegi parim tehnoloogia.

Selleks, et kaitsta end sotsiaalse manipulatsiooni eest, peab organisatsioon töötama kolmel tasandil:

  • Tehnoloogia: kasutusel turvalised ja läbipaistvad süsteemid.
  • Koolitus: inimesed on teadlikud, millised ohud neid varitsevad.
  • Reeglid: mänguväli on paigas ja sellest ei astuta üle, ka kriisisituatsioonis.

Kokkuvõttes – ole tähelepanelik, telefoni teel andmeid ei edasta ja kahtluse korral küsi abi IT osakonnast või mõnelt sõbralt või tuttavalt!

VEEL MÕTISKLUSI JA MÄRKMEID