Piše: Nikola Sever Principal Consultant, Syntio
Kompanija može kupiti najbolje i najskuplje uređaje kako bi povećala razinu sigurnosti, istrenirati zaposlenike da sigurno skladište svoje ili poslovne tajne, uvesti najsofisticiraniji sustav videozaštite, ali i dalje ostati potpuno ranjiva. Sigurnost, a ovdje govorimo o IT sigurnosti, najčešće je samo iluzija. Iluzija stvorena lažnom sigurnosti temeljenoj na tome da kompanija primjenjuje fizičke vatrozide (engl. firewalls), najsuvremenije antivirusne softvere, automatska ažuriranja, politike zabrane korištenja npr. memorijskih štapića (engl. USB sticks), pristupa pojedinim vrstama mrežnih stranica i slično.
Oni koji smatraju da upotrebom isključivo sigurnosnih sustava, uređaja i/ili aplikacija kreiraju ‘sigurnosno‘ okružje, samo produbljuju iluziju sigurnosti. Kao što renomirani sigurnosni stručnjak Bruce Schneier kaže: ‘Sigurnost nije produkt, sigurnost je proces‘. Ali više od toga, sigurnost nije tehnički problem, ona je problem ljudi i menadžmenta.
Sjetite se koliko su nas puta kao djecu izmanipulirali veliki stručnjaci za društveni inženjering, naši roditelji. Svaki put našli su način da ‘za svoje dobro‘ ipak napravimo ono što su oni mislili da je najbolje za nas u tom trenutku. Roditelji, silom prilika, postaju manipulatori jednako kao što društveni inženjeri manipuliraju nesretnim pojedincima/skupinama za radnje kojih nisu ni svjesni.
Što je društveni inženjering
Društveni inženjering (engl. social engineering) obuhvaća širok raspon aktivnosti za iskorištavanje ljudske pogreške ili neke ljudske namjene da bi se dobio pristup informacijama ili uslugama. Služi se raznim oblicima manipulacije kako bi namamio žrtve da naprave pogrešku ili predaju osjetljive informacije. U kibernetičkoj sigurnosti društveni inženjering mami korisnike na otvaranje dokumenata, datoteka ili e-pošte, posjećivanje mrežnih stranica ili davanje neovlaštenog pristupa servisima i sustavima zlonamjernim osobama. Iako takvi trikovi mogu zloupotrebljavati tehnološke propuste, najčešće se oslanjaju na ljudski element kako bi bili uspješni.
Stoga se zaključak nameće sâm po sebi zašto je baš ta metoda jedna od najzastupljenijih. Glavna je prednost to što za relativno malen napor potencijalni dobitak može biti velik. Da biste ‘zaradili‘ neki ransomware, odnosno malware općenito, jer sâm po sebi neće se pojaviti, netko vam ga mora nekako ‘uvaliti‘.
Zašto je toliko uspješan
Kako programeri neprekidno poboljšavaju sigurnosne tehnologije i smanjuju vektore napada, otežavajući situaciju za iskorištavanje napada, zlonamjerni napadači okreću se iskorištavanju ljudskog elementa. To nije moguće zato što su ljudi glupi ili zato što nemaju malo zdrava razuma, nego zato što smo kao ljudska bića ranjivi ako se na neke načine izmanipulira naše povjerenje. Društveni inženjer upravo predviđa početnu sumnju i otpor, ali isto je tako uvijek spreman na njih.
Dobar društveni inženjer uvijek planira napad, baš kao u šahu, pri čemu ima spremno nekoliko poteza unaprijed. Najčešća tehnika uključuje zadobivanje povjerenja žrtve, u čemu je vrlo vješt. U ljudsku prirodu ugrađen je osjećaj sigurnosti i mišljenje da je malo vjerojatno da nas netko želi prevariti, barem u civiliziranom dijelu svijeta i ondje gdje ljudi prije nisu bili izmanipulirani i prevareni. Kao male učili su nas da nikad ne otvaramo vrata nepoznatima. Možda bismo se svi trebali držati toga starog načela i u današnjem digitalnom svijetu bez lica i glasa.
Siva zona brojeva
Valja napomenuti da nijedno sigurnosno izvješće ne daje pravu sliku i ne prikazuje stvaran broj incidenata u nekom razdoblju. Više je razloga za to, a najčešći je taj da se sigurnosni incidenti ne prijavljuju da bi se izbjegle financijske nedaće, neovisno o tome jesu li nastale gubitkom tržišta zbog negativna dojma u javnosti ili jednostavno kako bi se to sve maskiralo i slika izgledala ljepša nego što je u stvarnosti.
Napadi su najviše fokusirani na javne ustanove i pružatelje digitalnih usluga. To je i očekivano zato što pružatelji digitalnih usluga opskrbljuju javne ustanove novim softverom. S druge strane, vrlo je zanimljivo što je na trećemu mjestu sveopća kategorija opće populacije. To znači da je samo pitanje vremena kad će svatko od nas biti meta neke vrste napada.
Najpopularnija tehnika
Društveni inženjering, posebno phishing, ostaje popularna tehnika koju upotrebljavaju napadači za maliciozne aktivnosti. Prema Verizon Data Breach Investigations Reportu (DBIR), oko 82 posto propusta u Europi uključuje ljudski element, a 60-ak posto propusta neku od komponenata društvenog inženjeringa. Razlog tomu vrlo je jednostavan. Servis e-pošte najlakši je i najpristupačniji servis s pomoću kojega je moguće ‘upecati‘ potencijalnu metu jer, osim što plaćate internetsku pretplatu, slanje e-poruka ne stoji vas ništa. Također, prema DBIR-u, napadači se nastavljaju koristiti ukradenim lozinkama kako bi prikupili više informacija o meti koristeći se tvrtkinom e-poštom.
Konačni je cilj, koristeći se informacijama prikupljenima na poslovnom računu, stvaranje realnih scenarija i kreiranje još sofisticiranijih oblika napada na tvrtku, npr. BEC-a. BEC je jedan od financijski najdestruktivnijih tipova kibernetičkog kriminala. Toliko je destruktivan jer napadači, osim što ne moraju rješavati sve probleme višestupanjskog oblika napada i pronalaziti put u nepoznatim tvrtkinim okolinama, mogu samo ‘tražiti‘ izvršenje npr. financijske transakcije e-porukom osobe visokog ranga čija je e-adresa prikupljena u prvoj fazi phishing-kampanje.
Prijetnje koje mogu povrijediti našu privatnost ili tvrtkine informacijske sustave možda se neće činiti stvarnima dok se ne dogode, no realnost je da je samo pitanje vremena kad će se dogoditi. Da bismo izbjegli tako skupu stvarnost, svi moramo postati svjesni opasnosti, biti budni i agresivno štititi informacijsku imovinu i osobne podatke. Te mjere opreza moramo provesti već danas.
Edukacija i samo edukacija
Kako biste područje napada sveli na što manji opseg, nužno je naglašavati važnost edukacije, ali edukacije za sve: od tajnica, administrativnog osoblja, financijskih službenika pa sve do tvrtkinih čelnika. Čak bih naglasio da svi oni moraju prolaziti specijalne treninge zato što se ubrajaju u kategoriju ljudi koja je najčešće na meti napadača zbog toga što imaju pristup najosjetljivijim informacijama koje se iskorištavaju pri napadu. Važno je shvatiti da nemaju samo šefovi pristup informacijama koje napadač može iskoristiti.
Danas se za napad može ciljati osoblje svih razina i ovlasti. Naglasak neka bude i na periodičkom ponavljanju edukacija jer podaci su pokazali da ono naučeno s vremenom izblijedi i da, kako vrijeme odmiče, korisnici sve manje pridaju pozornost sigurnosnim elementima naglašenima na edukaciji. Stoga je ponavljanje majka učenja.
Korporacijska sigurnosna politika mora jasno definirati dopušteno i nedopušteno ponašanje. Što to znači? Ako se u vašoj kompaniji brojevi mobitela upotrebljavaju za identifikaciju, ti se brojevi moraju tretirati kao osjetljivi dio informacije i ne smiju se dijeliti, nego se moraju pomno čuvati. To vrijedi i za bilo koji drugi oblik identifikacije, pa čak i e-adrese, a o lozinkama da i ne govorimo.
Moja dragocjena lozinka
Ah, te lozinke, tko će ih sve popamtiti? Budući da se hardverska snaga povećava iz godine u godinu, doduše ne više prema Mooreovu zakonu, probijanje lozinki brute forceom (metoda uzastopnih pokušaja ukucavanja svih kombinacija slova, brojeva i posebnih znakova kako bi se pogodila lozinka) iznenađujuće je brzo. Za brigu o svojim lozinkama upotrebljavajte neki od alata za njihovo spremanje, npr. Bitwarden (https://bitwarden.com); radi i na internetskim preglednicima i na mobilnim uređajima i sve je povezano na jedan korisnički račun. Tada pamtite i dalje samo jednu lozinku, ali je ona mnogo sigurnija.
Kako imati sigurnu lozinku koja je istodobno dugačka i lako pamtljiva te ima sva obilježja kompleksnosti? Koristite se uzrečicama, omiljenim stihovima i citatima koje samo vi pamtite; nemojte upotrebljavati imena uže obitelji ili ljubimaca.
Primjeri: Noc1je2pun@Zvij3zda! Stih u kojem su umjesto znakova razmaka stavljena prva dva broja, umjesto slova ‘a‘ znak ‘@‘ i umjesto slova ‘e‘ broj 3 te na kraju uskličnik. Ili: 0tisao1sam2na#TrgPtica; ili: The-Phantom-Of-The-Oper@. Dobili ste ideju? Sjajno, ali nemojte iskoristiti ove primjere. Vaš posao ne može si priuštiti ni trenutka da spusti gard i postane ranjiv. Nemojte se oslanjati na mrežne zaštite i vatrozid za zaštitu svojih informacija. Uvijek gledajte najranjiviji dio u lancu, što su najčešće ljudi.