Social engineering – mittetehnoloogiline turvarisk tehnoloogiavaldkonnas
Social engineering on manipuleerimistehnika,
mille abil on võimalik kurjategijatel saavutada näiteks juurdepääs tundlikele andmetele ilma tehnoloogiat kasutamata. Seda tüüpi rünnakud hõlmavadki endas ründajale
huvipakkuva inimesega manipuleerimist nii, et ohver annaks pahaaimamatult üle vajaliku informatsiooni või juurdepääsu sellele.
Sellist tüüpi rünnakud on olulised ja
efektiivsed seetõttu, et ründevektor ei tundu esmapilgul loomulik.
IT-valdkonnas on tegu omapärase ohuga, sest tehniliselt ei mängi siin olulist
rolli tehnoloogia ise – kasutatav süsteem võib olla hästi kaitstud, võrk
turvatud, seade krüpteeritud, kuid otsustava manöövri rünnaku edukuse tagamisel
võib teha neid vahendeid kasutav inimene hoopis oma käitumisega.
Kuidas saaks selliseid rünnakuid ära hoida? Turvaekspert
Kevin Mitnicki „valemi“ järgi on küberturvalisuse tagamisel kolm olulist
komponenti – tehnoloogia, koolitus ja reeglid.
Oluline on luua ka vastav reeglistik iga
ettevõtte poolt, kelle jaoks on oluline kaitsta informatsiooni ning kes
käsitlevad sensitiivseid andmeid. Näiteks ei tohiks uksekaarti kasutatavast
välisuksest lasta sisse võõraid isikuid. Asutusesiseseks kasutamiseks mõeldud
dokumentide käsitlemisel ei tohiks neid kuhugi avalikku ruumi ripakile jätta
ning äraviskamisel tuleks need näiteks kas paberipurustajast läbi lasta või
sootuks põletada.
Kolmandaks komponendiks oli tehnoloogia, mis
on selle ohu valguses huvitaval kohal. Nagu algselt mainitud, võivad
tehnoloogilised lahendused olla heal tasemel, kuid sellegipoolest aitab ründe
õnnestumisele kaasa hoopiski inimlik faktor. Kuid võimalikest ohtudest märku andmiseks saab näiteks ettevõte märgistada sisevõrgust väljastpoolt tulevad
kirjad, piirata ametiruumidele juurdepääsu läbi kaartide või sensorite või
keelata näiteks tööseadmes sotsiaalmeedia või ebaturvaliste suhtlusplatvormide
kasutamise, samuti aktiveerida näiteks seadmete automaatset lukustamist sellest eemaloleku korral.
[1] https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering
[2] https://wiki.itcollege.ee/index.php/E-ITSPEA_14:_Andmeturve%CB%90_tehnoloogia,_koolitus_ja_reeglid
Kommentaarid
Postita kommentaar