Social engineering – mittetehnoloogiline turvarisk tehnoloogiavaldkonnas

Social engineering on manipuleerimistehnika, mille abil on võimalik kurjategijatel saavutada näiteks juurdepääs tundlikele andmetele ilma tehnoloogiat kasutamata. Seda tüüpi rünnakud hõlmavadki endas ründajale huvipakkuva inimesega manipuleerimist nii, et ohver annaks pahaaimamatult üle vajaliku informatsiooni või juurdepääsu sellele.[1] Näiteks esitletakse end kellegi teisena või luuakse stsenaarium, milles ründaja tundub usaldusväärse isikuna. Kuid see võib vabalt olla ka kaudne rünnak ehk siis inimene ise ei teagi, et ta on juurdepääsu millelegi taganud. Nii võib ründaja avalikus kohas näiteks jälgida sinu ekraanil toimuvat (shoulder surfing) või leida äravisatud prügist sensitiivse sisuga dokumente (dumpster diving).[2]

Sellist tüüpi rünnakud on olulised ja efektiivsed seetõttu, et ründevektor ei tundu esmapilgul loomulik. IT-valdkonnas on tegu omapärase ohuga, sest tehniliselt ei mängi siin olulist rolli tehnoloogia ise – kasutatav süsteem võib olla hästi kaitstud, võrk turvatud, seade krüpteeritud, kuid otsustava manöövri rünnaku edukuse tagamisel võib teha neid vahendeid kasutav inimene hoopis oma käitumisega.

Kuidas saaks selliseid rünnakuid ära hoida? Turvaekspert Kevin Mitnicki „valemi“ järgi on küberturvalisuse tagamisel kolm olulist komponenti – tehnoloogia, koolitus ja reeglid.[2] Kõige olulisemad viisid social engineering rünnakuid vältida on kindlasti koolitamine ja reeglite sätestamine. Inimeste teadlikkuse kasvatamine selle osas on esmakohal. Elementaarne küberhügieen peaks endas hõlmama ka seda, kuidas näiteks avalikus kohas oma isiklikke, või veel enam, tööalaseid seadmeid kasutada ning kuidas suhelda täiesti võõraste inimestega, kes on järsku väga huvitatud mõnest sinu töö aspektist. Näiteks tuleks sensitiivset infot omavatele töötajatele teha selgeks, millised võivad olla erinevad lähenemiskatsed või kompromiteeritavad aspektid. Kindlasti pööratakse sellele palju rõhku riigikaitsega seotud ametikohtadel, kui sama tüüpi rünnakute alla võivad sattuda ka teiste suuremate infosüsteemidega töötavad inimesed.

Oluline on luua ka vastav reeglistik iga ettevõtte poolt, kelle jaoks on oluline kaitsta informatsiooni ning kes käsitlevad sensitiivseid andmeid. Näiteks ei tohiks uksekaarti kasutatavast välisuksest lasta sisse võõraid isikuid. Asutusesiseseks kasutamiseks mõeldud dokumentide käsitlemisel ei tohiks neid kuhugi avalikku ruumi ripakile jätta ning äraviskamisel tuleks need näiteks kas paberipurustajast läbi lasta või sootuks põletada.

Kolmandaks komponendiks oli tehnoloogia, mis on selle ohu valguses huvitaval kohal. Nagu algselt mainitud, võivad tehnoloogilised lahendused olla heal tasemel, kuid sellegipoolest aitab ründe õnnestumisele kaasa hoopiski inimlik faktor. Kuid võimalikest ohtudest märku andmiseks saab näiteks ettevõte märgistada sisevõrgust väljastpoolt tulevad kirjad, piirata ametiruumidele juurdepääsu läbi kaartide või sensorite või keelata näiteks tööseadmes sotsiaalmeedia või ebaturvaliste suhtlusplatvormide kasutamise, samuti aktiveerida näiteks seadmete automaatset lukustamist sellest eemaloleku korral.





[1] https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering

[2] https://wiki.itcollege.ee/index.php/E-ITSPEA_14:_Andmeturve%CB%90_tehnoloogia,_koolitus_ja_reeglid

 

Kommentaarid

Populaarsed postitused sellest blogist

Copyleft litsentsid ja nende klauslid

Üks arendus- ja ärimudel

Autoriõiguste reform - kuidas saaks paremini?