Ochrona przed atakami socjotechnicznymi

Ataki socjotechniczne są szczególnie groźne, ponieważ wyjątkowo trudno je wykryć. Najczęściej zaatakowana osoba pozostaje kompletnie nieświadoma, że za pomocą manipulacji ktoś skłonił ją do określonego działania. Bardzo często celem ataków socjotechnicznych jest zdobycie jednego z najcenniejszych zasobów biznesowych - informacji. Podstawą do obrony jest świadomość naturalnych procesów psychologicznych oraz zasad bezpieczeństwa.

Podłoże psychologiczne do ataków socjotechnicznych

Większość bodźców zewnętrznych odbierana jest przez człowieka zupełnie automatycznie. Statystycznie bardzo rzadko ludzie dogłębnie zastanawiają się nad powodami konkretnego działania. Na tej podstawie umiejętność wytworzenia w człowieku odpowiedniego pragnienia lub wyobrażenia (bodziec zewnętrzny) prowadzi do osiągnięcia określonych zachowań. Im większa wiedza i doświadczenie socjotechnika, tym łatwiej może on wykorzystywać ludzką nieświadomość do własnych celów – planując działania, które wywołają konkretne reakcje.

W tym zakresie wykorzystywanych jest przede wszystkim sześć określonych już dawno przez naukę reguł psychologicznych

  1. Reguła wzajemności - mówi o tym, że człowiek czuje się zobowiązany odwdzięczyć, jeśli coś od kogoś otrzyma za darmo.
  2. Reguła zaangażowania i konsekwencji - w jej myśl niechętnie zmieniamy pogląd na konkretną sprawę, często konsekwentnie obstając przy swoim zdaniu tylko dlatego, że wyraziliśmy je w przeszłości (np. zgodziliśmy się z czymś) - nawet jeśli jest to pogląd błędny.
  3. Reguła społecznego dowodu słuszności - według tej zasady, zdanie ogółu wpływa na poglądy jednostki. Jeśli więc powszechnie uznaje się określone działanie za słuszne lub niewłaściwe, łatwiej jest przekonać do tego konkretną osobę. Stąd biorą się zachowania konformistyczne.
  4. Reguła sympatii – głosi, że osoby, które się zna, lubi i postrzega jako sympatyczne mogą wywierać silniejszy wpływ niż osoby zupełnie obce, ponieważ ufamy im bardziej. Na tej podstawie niektórzy próbują sztucznie pozyskać sympatię innych, by się do nich zbliżyć.
  5. Reguła autorytetu - jeśli konkretna osoba posiada w oczach ludzi innych autorytet, np. ze względu na stanowisko lub wiedzę, może ich łatwiej przekonać. Co ważne, autorytet można łatwo zbudować za pomocą pewności siebie, szczególnie u osób z niską samooceną.
  6. Reguła niedostępności - powszechnie większą wartość przypisuje się rzeczom, zjawiskom i możliwościom, które są trudno dostępne, rzadkie lub unikatowe.

Czynniki zwiększające ryzyko

Atak najłatwiej przeprowadzić w dużych firmach, posiadających różne oddziały, szczególnie jeśli system komunikacji wewnętrznej jest niedostateczny - ponieważ nie sposób znać wszystkich ludzi pracujących w tej samej firmie. Z tego względu manipulator może się podszyć pod pracownika innego działu. Jednak podstawowym czynnikiem ryzyka jest niska świadomość zagrożenia. Może to dotyczyć zarówno firm większych, jak i małych i obejmuje np. upublicznianie danych poufnych w internecie, niedostateczne systemy kontroli lub niewiedzę na temat informacji, które powinny "pozostać w firmie".

Schemat działania ataku socjotechnicznego

Atak socjotechniczny, mający na celu pozyskanie informacji, najczęściej uderza w trzy typy pracowników: nieświadomych zagrożenia, posiadających specjalne przywileje, pracujących w kluczowych działach.

Wykorzystując powyższe reguły i szereg technik, manipulator najpierw rozpoznaje cel ataku, potem zdobywa sympatię i zaufanie konkretnej osoby, następnie skłania do określonego działania (przekazanie informacji). Na koniec informacje są wykorzystywane. Jako typowe przykłady można przedstawić m.in.: udawanie pracownika tego samego przedsiębiorstwa, udawanie osoby posiadającej władzę, udawanie nowoprzyjętego pracownika, który potrzebuje pomocy lub udawanie przedstawiciela firmy, z którą realizowana jest stała współpraca.

Ochrona przed atakami socjotechnicznymi

Biorąc pod uwagę fakt, że najczęściej osoba zaatakowana przez socjotechnika pozostaje tego zupełnie nieświadoma, kluczowym elementem ochrony jest wytworzenie świadomości potencjalnego zagrożenia a także rozwinięcie systemu ochrony danych poufnych.

W pierwszym przypadku, należy zadbać o to, by pracownicy wszystkich szczebli zdawali sobie sprawę, że potencjalnie może wystąpić sytuacja, kiedy ktoś będzie chciał za pomocą manipulacji wydobyć z nich informacje. Świadomi procesów psychologicznych oraz najczęstszego schematu działania socjotechniki pracownicy łatwiej rozpoznają atak.

Pod względem systemu ochrony danych, kluczowe jest określenie segmentów informacji, które są do wyłącznej wiedzy uprawnionych pracowników, oraz zabezpieczenie ich przed nieautoryzowanym dostępem. Należy również podkreślić straty (finansowe, moralne, przewagi konkurencyjnej), jakie mogą płynąć z "wycieku" tych informacji.

Oba cele można realizować poprzez okresowe szkolenia pracowników, obejmujące materiał teoretyczny i umiejętności praktyczne. Zalecane jest również przeprowadzanie okresowych audytów bezpieczeństwa informatycznego, które sprawdzą stopień zabezpieczenia firmy przed atakami socjotechnicznymi.

Jeśli są Państwo zainteresowani Ochroną przed atakami socjotechnicznymi, Audytami Bezpieczeństwa Informatycznego, czy też Bezpłatnym doradztwem dotyczącym audytów, zapraszamy do kontaktu, telefonicznego bądź mailowego