Lidské pochybení je zodpovědné až za 90 % kybernetických incidentů. Hackeři a útočníci, kteří ovládají sociální inženýrství, jsou hrozbou pro citlivá firemní data.
Manipulaci zaměstnanců se dá předejít pouze pravidelným školením a správným nastavením technologických pravidel a opatření. Věnujete jim dostatečnou pozornost?
Se sociálním inženýrstvím se setkáváme každý den. Jde o manipulativní proces s cílem provedení nějaké akce nebo zisku dat. Můžeme ho najít například v marketingu a není to nic, co by nám mělo působit starosti. Odlišné je to v případě kyberbezpečnosti. Sociální inženýrství je totiž jedním z nejčastějších způsobů, jakým se útočníci zmocňují citlivých firemních dat.
Důmyslnými způsoby manipulují lidi, kteří jim pak nevědomě zpřístupňují cestu k útoku. Spíše než vyspělých technik využívají důvěry, naivity a neznalosti. Sází na emoce a psychologický nátlak. V dnešní době home officů tato hrozba ještě stoupá. Těmto útokům zcela logicky nejde zcela zabránit ani softwarovým, ani hardwarovým opatřením. Základem je vzdělávání, přezkoušení a neustálá obezřetnost.
Útok cílený přes lidi nevyžaduje tolik finančních ani hackerských schopností. Je to však druhý nejvyužívanější způsob ataku a ročně okrade firmy o miliardy dolarů. Bránit se proti němu je nesmírně obtížné a vyžaduje to komplexní přípravu, která obsahuje lidi i technologie. Jak vysvětluje manažer dohledového centra O2 Jiří Sedlák: „Otázka není, co si zvolit. Ke kybernetické bezpečnosti je nutné přistupovat komplexně. Moje doporučení je školit, ale zároveň nasazovat další technologická a procesní pravidla a opatření.“
Druhy útoků s využitím sociálního inženýrství
Útočníci využívají mnoho způsobů, jak se k datům dostat. Od těch nejprimitivnějších, kdy koukají přes rameno na hesla, až po sofistikované, kdy využívají získané důvěry ke zjištění citlivých údajů přes email, číslo nebo sociální sítě.
Ten největší strašák je tzv. phishing, při kterém se útočník vydává za důvěryhodné organizace, banky, přepravní společnosti nebo obchodní partnery a snaží se z obětí vylákat nejrůznější informace. Může to dělat přes email, SMS, sociální sítě nebo přes hovor (pak se používá výraz vishing). Útočník se snaží vyvolat dojem, že protistrana něco chce nebo potřebuje. Reporty z roku 2019 uvádějí, že jedna třetina všech zaznamenaných bezpečnostních porušení zahrnovala phishing. Ten je snadno dostupný, velmi přesně cílený a tedy i úspěšný. Lidé obvykle nemají čas se problémem zabývat hlouběji a informace protistraně zkrátka předají. Nutno podotknout, že škůdci bývají dobře informovaní a využívají originální grafické prvky, úplné informace o společnosti nebo osobní údaje odesílatele.
Mezi další útoky patří třeba USB dropping, kdy se na zaměstnance nastraží zavirované nebo upravené USB. Hackeři také při tzv. dumpster divingu prohrabují vyhozené desky, telefony a snaží se z nich získat potřebná data a využívá se také shoulder surfing, při kterém jsou informace obyčejně ukradeny koukáním přes rameno, třeba ve frontě nebo autobusu. Hrozby nejsou ušetřeni ani vysoce postavení manažeři. Na ty cílí tzv. CFO fraud útoky, které z nich sofistikovaně mámí peníze.
Jak se útokům bránit
Útočníci vždy začínají pečlivým shromaždováním informací a budováním důvěry, kterou následně zneužijí a na závěr z obětí vylákají peníze, nebo ukradnou informace, které následně prodají. Je proto nezbytné neustále opakovat základní pravidla:
- neotvírejte emaily z neznámých adres a v žádném případě neotevírejte podezřelé přílohy
- používejte silná hesla a dvoufázová ověření
- nepoužívejte neznámé USB disky nebo nezaheslovaná úložiště
Pravidel je samozřsejmě daleko více a bude velmi dobré, pokud je vašim zaměstnancům nebo kolegům předá odborník. Ten je individuálně připraví na možné hrozby, prozkouší je např. pomocí interních phishingových kampaní a navrhne, jak vhodně postupovat. Zároveň nabídne nasazení technologií, které lidské chyby eliminují. Což mohou být různé emailové antispamy, které lidi k případné chybě vůbec nepustí.
Jak vysvětluje ředitel útvaru bezpečnosti O2 Radek Šichtanc, pouhé vyškolení obvykle nestačí: „I zkušený a vzdělaný uživatel může udělat chybu. Včetně admina po 20 letech v IT bezpečnosti. O to horší ta chyba může být. Proto je důležitá ta záchranná brzda v podobě bezpečnostních nástrojů, automatizovaných technologií, bezpečnostního monitoringu atp.“
Tematický speciál Kybernetická bezpečnost připravuje Živě ve spolupráci s O2.
