Kybernetická bezpečnosť: Najslabším článkom je ľudský faktor

Nám sa to nemôže stať, phishing je metóda, ktorú možno použiť  na neskúsených a ľahkovážnych užívateľov, vo firme, v ktorej sa všetci riadia aspoň základnými bezpečnostnými pravidlami, je to prakticky nemožné. To je pomerne častý argument, zaznievajúci z úst manažérov.  Skúsme preto pripomenúť aspoň jeden prípad, kedy naň naleteli skutoční profesionáli a dôsledky boli ďalekosiahle a katastrofálne.

Kľúčové slová sú: Fancy Bear, Podesta, spear-phishing. To posledné je asi najmenej známe. Slovným spojením spear-phising sa označuje cielený útok, zameraný na konkrétnu osobu alebo osoby, pri ktorom útočníci využijú techniky sociálneho inžinierstva na to, aby od obete získali citlivé informácie. V našom prípade prístup k e-mailovému kontu Johna Podestu, ktorý v roku 2016 šéfoval predvolebnej kampani Hillary Clintonovej, vtedajšej americkej prezidentskej kandidátky s reálnymi šancami vo voľbách uspieť.

V marci 2016 poslala hekerská skupina Fancy Bear, podľa všetkého napojená na ruské tajné služby, Johnovi Podestovi email, ktorý sa tváril ako oficiálny mail spoločnosti Google, upozorňujúci na bezpečnostný incident, súvisiaci s Podestovým gmailom.  Mail spĺňal všetky atribúty štandardného bezpečnostného upozornenia, pričom aj pracovník IT oddelenia ho vyhodnotil ako štandardný a Podestovi odporučil urýchlenie zmeniť jeho prihlasovacie heslo do Gmailu postupom, ktorý bol v maile opísaný.

V ňom sa nachádzala skrátená URL adresa (BitLy), ktorá podestu presmerovala do bezpečnostného rozhrania služby Gmail – samozrejme falošného. Tam zmenil svoje prihlasovacie údaje – a od toho momentu mala hekerská skupina plný prístup k jeho e-mailovému kontu. A následne začali na verejnosť prenikať presne načasované informácie, ukradnuté z jeho mailov, ktorá napokon pomohli americkú prezidentskú kandidátku a jej tím zdiskreditovať tak, že vo voľbách neuspela a 45. americkým prezidentom sa stal Donald Trump.

Keď sa pri vyšetrovaní pýtali pracovníka IT oddelenia na základe čoho odporučil Johnovi Podestovi zmeniť email a verifikoval falošný ako pravý, odpovedal, že vlastne išlo o preklep a šéfovi volebnej kampane chcel pôvodne napísať, že predmetný mail je „nelegitímny“, avšak namiesto toho ho verifikoval ako „legitímny“.  Samozrejme, celý podvod bol po technologickej stránke o niečo sofistikovanejší, no bez série individuálnych ľudských zlyhaní a nedôsledností by sa nemohol podariť. Napriek tomu bol úspešný – a to v prostredí, kde sa s podobnými útokmi rátalo a ľudia boli cielene školení na to, aby ich dokázali odhaliť a vyhnúť sa im. Stať sa to teda môže naozaj každému.

Len pre zaujímavosť, podľa spoločnosti Kaspersky v roku 2016 až 46 percent bezpečnostných incidentov, respektíve prienikov do infraštruktúry spoločností zavinili zamestnanci neúmyselne práve podcenením základných bezpečnostných pravidiel. Takmer v štyridsiatich percentách prípadov boli pri útočníci úspešní vďaka metódam sociálneho inžinierstva, pomocou ktorých obete presvedčili o svojej dôveryhodnosti, pri analýze incidentov spoločnosti konštatovali, že k viac, než polovici z nich prišlo kvôli individuálnym ľudským zlyhaniam. Ešte dôležitejšie však je, že v štyridsiatich percentách prípadov sa zamestnanci pokúsili po zistení bezpečnostného incidentu ho utajiť, čím ešte viac zvýšili spôsobené škody.

Čo teda robiť, aby sa takéto zlyhania podarilo firmám čo najviac obmedziť? Analýzy takýchto incidentov ukazujú jednu zaujímavú vec – diali sa aj vo firmách s veľmi prísne nastavenými bezpečnostnými pravidlami. Ako je to možné? Základnou chybou bolo, že pravidlá boli nastavované direktívne, formou príkazov.  Vo väčšine prípadov boli zamestnanci informovaní o prísnych pravidlách svojimi manažérmi alebo pracovníkmi pre informačnú bezpečnosť, ale ich zmysel, opodstatnenosť a možné dôsledky im nikto v skutočnosti názorne nevysvetlil. Tým pádom to mnohí brali iba ako ďalší z formálnych obťažujúcich príkazov.

A ukázala sa aj ďalšia zaujímavá vec – v mnohých prípadoch ani samotní manažéri a pracovníci IT oddelení nemali dostatočné komunikačné zručnosti na to, aby tieto pravidlá dokázali primeraným spôsobom vysvetliť.  Pre spoločnosti je preto nevyhnutné nielen bezpečnostné pravidlá zaviesť a na školeniach  o nich informovať zamestnancov, ale aj samotní bezpečnostní pracovníci by mali absolvovať školenia, zamerané na to, akou formou ich ostatnám spolupracovníkom čo najefektívnejšie vysvetliť – a práve túto vec v mnohých spoločnostiach zásadným spôsobom podceňujú.

Na rôznych stupňoch riadenia pracovníci totiž pracujú s rôznymi typmi online nástrojov a prichádzajú do kontaktu s rôzne citllivými informáciami. Školenie pre ľudí, ktorí pracujú iba s bežnými kancelárskymi nástrojmi musí byť iné, než školenie pre riadiacich pracovníkov a školenie pre členov IT oddelení. Ako jedna z najefektívnejších foriem sa pritom ukazujú interaktívne školenia, ktorých súčasťou sú aj rôzne moderované hry a tréningy.

 

(mk)