Social engineering – mittetehnoloogiline turvarisk tehnoloogiavaldkonnas

Social engineering on manipuleerimistehnika, mille abil on võimalik kurjategijatel saavutada näiteks juurdepääs tundlikele andmetele ilma tehnoloogiat kasutamata. Seda tüüpi rünnakud hõlmavadki endas ründajale huvipakkuva inimesega manipuleerimist nii, et ohver annaks pahaaimamatult üle vajaliku informatsiooni või juurdepääsu sellele.[1] Näiteks esitletakse end kellegi teisena või luuakse stsenaarium, milles ründaja tundub usaldusväärse isikuna. Kuid see võib vabalt olla ka kaudne rünnak ehk siis inimene ise ei teagi, et ta on juurdepääsu millelegi taganud. Nii võib ründaja avalikus kohas näiteks jälgida sinu ekraanil toimuvat (shoulder surfing) või leida äravisatud prügist sensitiivse sisuga dokumente (dumpster diving).[2]

Sellist tüüpi rünnakud on olulised ja efektiivsed seetõttu, et ründevektor ei tundu esmapilgul loomulik. IT-valdkonnas on tegu omapärase ohuga, sest tehniliselt ei mängi siin olulist rolli tehnoloogia ise – kasutatav süsteem võib olla hästi kaitstud, võrk turvatud, seade krüpteeritud, kuid otsustava manöövri rünnaku edukuse tagamisel võib teha neid vahendeid kasutav inimene hoopis oma käitumisega.

Kuidas saaks selliseid rünnakuid ära hoida? Turvaekspert Kevin Mitnicki „valemi“ järgi on küberturvalisuse tagamisel kolm olulist komponenti – tehnoloogia, koolitus ja reeglid.[2] Kõige olulisemad viisid social engineering rünnakuid vältida on kindlasti koolitamine ja reeglite sätestamine. Inimeste teadlikkuse kasvatamine selle osas on esmakohal. Elementaarne küberhügieen peaks endas hõlmama ka seda, kuidas näiteks avalikus kohas oma isiklikke, või veel enam, tööalaseid seadmeid kasutada ning kuidas suhelda täiesti võõraste inimestega, kes on järsku väga huvitatud mõnest sinu töö aspektist. Näiteks tuleks sensitiivset infot omavatele töötajatele teha selgeks, millised võivad olla erinevad lähenemiskatsed või kompromiteeritavad aspektid. Kindlasti pööratakse sellele palju rõhku riigikaitsega seotud ametikohtadel, kui sama tüüpi rünnakute alla võivad sattuda ka teiste suuremate infosüsteemidega töötavad inimesed.

Oluline on luua ka vastav reeglistik iga ettevõtte poolt, kelle jaoks on oluline kaitsta informatsiooni ning kes käsitlevad sensitiivseid andmeid. Näiteks ei tohiks uksekaarti kasutatavast välisuksest lasta sisse võõraid isikuid. Asutusesiseseks kasutamiseks mõeldud dokumentide käsitlemisel ei tohiks neid kuhugi avalikku ruumi ripakile jätta ning äraviskamisel tuleks need näiteks kas paberipurustajast läbi lasta või sootuks põletada.

Kolmandaks komponendiks oli tehnoloogia, mis on selle ohu valguses huvitaval kohal. Nagu algselt mainitud, võivad tehnoloogilised lahendused olla heal tasemel, kuid sellegipoolest aitab ründe õnnestumisele kaasa hoopiski inimlik faktor. Kuid võimalikest ohtudest märku andmiseks saab näiteks ettevõte märgistada sisevõrgust väljastpoolt tulevad kirjad, piirata ametiruumidele juurdepääsu läbi kaartide või sensorite või keelata näiteks tööseadmes sotsiaalmeedia või ebaturvaliste suhtlusplatvormide kasutamise, samuti aktiveerida näiteks seadmete automaatset lukustamist sellest eemaloleku korral.





[1] https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering

[2] https://wiki.itcollege.ee/index.php/E-ITSPEA_14:_Andmeturve%CB%90_tehnoloogia,_koolitus_ja_reeglid

 

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Copyleft litsentsid ja nende klauslid

Kujutis
Copyleft on termin, mis kirjeldab litsentse ja tähistab, et tarkvara levitamisel peab sellele kehtima sama vabadus seda kasutada, mis algselt. Kui keegi otsustab modifitseerida näiteks olemasolevat vaba tarkvara ja anda sellest välja täiendatud versioon, ei tohi selle autor kasutamist piirata ning uue toote kasutamiseks peavad kehtima samad tingimused, mis esialgsel tarkvaral. [1] Siia kuuluvad sellised litsentsid, nagu näiteks GNU GPL litsents ning Creative Commons. Copylefti põhiprintsiibiks on vabadus ja selle 4 variatsiooni – vabadus kasutada, vabadus õppida, vabadus jagada ning vabadus muuta ning neid muudatusi jagada. [2] Copyleft tüüpi litsentside edasikandumine jaguneb aga ka veel oma korda neljaks – tugev, väga tugev ning nõrk copyleft või puuduvad kohustustused üldse. Tugevad copyleft litsentsid – siia alla käivad sellised litsentsid, nagu näiteks GNU GPL või Sleepycat License (tugevad) ja AGPL (väga tugev). Tugevate litsentside puhul on eristavaks see, et kõikide or
Lisateave

Hacker-HOWTO - arvustus

How to Become A Hacker on Eric S. Raymondi poolt kirjutatud juhend häkkeriks saamiseks, mida lugedes on võimalik päris hästi aru saada, kes on häkker (ja kes ei ole häkker!) ning kuidas siis ikkagi ise ka häkkeriks saada. Kirjatükk on hästi struktureeritud ning kirjutatud sujuva stiiliga, mis teeb selle jälgimise ning sisust arusaamise lihtsaks (mis tõestab ka seda, et häkkerid oskavad ilmselt hästi kirjutada). Häkkerid on nagu iga teinegi subkultuur, kuid erinevalt teistest levinud gruppidest, ei ole ma veel kohanud sellist grupisiseselt laialt aktsepteeritud HOWTO juhendit sellesse subkultuuri kuulumiseks. See muudab selle grupi minu jaoks justkui veel elitaarsemaks – häkkeriks olemiseks pead sa vastama kindlatele kriteeriumitele ning lisaks saama veel heakskiidu mõnelt teiselt samasse gruppi kuuluvalt liikmelt, et sul oleks õigus ikka ennast häkkeriks kutsuda. Nagu see juhend välja toob, on häkkeriks olemise puhul kindlad omadused inimeses olulised (näiteks soov pidevalt problee
Lisateave

Rühmatöö arvustus – Low-code ja no-code programmeerimine

Valisin arvustamiseks rühmatöö teemal „Low-code ja no-code programmeerimine“ ( https://wiki.itcollege.ee/index.php/Low-code_ja_no-code_programmeerimine ), sest see tundus minu jaoks põnev teema, mille kohta rohkem teada saada. Teema valik oli minu arvates asjakohane antud õppeaine raames, sest see on suur osa tänapäevasest IT-maailmast ja antud lahendustega võib kokku puutuda iga arendaja või IT-ga tegelev inimene. Töö on oma ülesehituselt üldiselt hästi lahendatud – tutvustatakse mõlemat teemat, võrreldakse neid traditsioonilise programmeerimisega, tuuakse välja plussid ja miinused ning samuti tuuakse näiteid kasutusvaldkondadest. Nende tehnoloogiate kujunemist käsitleva ajaloo peatüki oleks minu meelest võinud tuua töö esimesse poolde, sest see oleks esmalt andnud ülevaate low-code ja no-code programmeerimise tekkest. Samuti jäi töö keskosas kohati mulje, et mingeid aspekte korratakse. Näiteks võrdluses traditsioonilise programmeerimisega korrati muidu hästi kavandatud tabelis palj
Lisateave