14: Andmeturveː tehnoloogia, koolitus ja reeglid

 

Kuidas häkker pääseb kontorisse uksekella vajutamata? - Sotsiaalne manipulatsioon ja kuidas end kaitsta

Tänapäeva küberrünnakud pole ainult keerulised koodid ja tarkvara. Vahel piisab lihtsalt veenvast häälest telefonis või sõbralikust e-mailist. Just nii lihtne on üks suurimaid IT-turvariske - sotsiaalne manipulatsioon (social engineering).

Mis see täpsemalt on?

Kujuta ette: sulle helistab “IT-osakonnast” keegi, kes ütleb, et on su parooli süsteemist kustutanud ja peab selle kohe taastama. Kõlab ametlikult, eks? Aga tegelikult on see hoopis ründaja, kes üritab sind ära rääkida ja infot välja meelitada.

See ongi sotsiaalne manipulatsioon - ründaja mõjutab inimest, mitte tehnoloogiat. Võib tunduda süütu, aga nii on pääsetud haiglaandmetele, krediitkaartide infole ja isegi sotsiaalmeedia kontodele.

Näide päriselust

  1. aastal suutis üks BBC ajakirjanik ühe päevaga saada kuulsate poliitikute telefoninumbrid lihtsalt valides paar kõnet ja teeseldes, et on assistent. Inimesed usaldavad rohkem, kui arvavad.

Kuidas end kaitsta? - Mitnicki valem

IT-turbe ekspert Kevin Mitnick rõhutas, et kaitse ei saa tugineda ainult tehnoloogiale. Tema valemi kolm osa on:

tehnoloogia + koolitus + reeglid. Vaatame nüüd, kuidas see aitab sotsiaalse manipuleerimise vastu.

1. Tehnoloogia - esimene filter

Tehnoloogia on nagu esimene kaitseliin, mis aitab peatada rünnakud enne, kui need üldse inimeseni jõuavad. Üks olulisemaid lahendusi on kaheastmeline autentimine (2FA) - see tähendab, et isegi kui keegi saab teada su parooli, ei pääse ta süsteemi ilma lisakinnitust saamata, näiteks telefonile saadetud koodi abil.

Lisaks on oluline ligipääsu piiramine - kõigil töötajatel ei pea olema ligipääs kõikidele andmetele ja süsteemidele. Mida väiksem juurdepääs, seda väiksem risk. Kui praktikandil pole vaja kliendiandmeid näha, siis ei tohiks ta neile ka ligi pääseda.

Samuti peaksid süsteemid jälgima kasutusmustrid - kui keegi logib kontole sisse kell 3 öösel, teiselt kontinendilt või tundmatust seadmest, võiks see automaatselt tekitada hoiatussignaali. Tark tehnoloogia aitab märgata, kui midagi tundub “valesti”.

2. Koolitus - inimene on kõige nõrgem lüli

Ükskõik kui hea tehnoloogia sul on, kui töötaja annab oma parooli võõrale või klikib ohtlikule lingile, siis on süsteem endiselt haavatav. Seepärast on koolitus võtmetähtsusega.

Inimesi tuleb õpetada tundma ära petukirju, küsitavaid telefonikõnesid ja muid manipulatsiooni võtteid. Hea viis selleks on phishingu simulatsioonid - näiteks saadetakse töötajatele testkirju, mis näevad välja nagu petukirjad. Nii saab kontrollida, kes suudab kahtlust märgata ja kes vajaks veel tuge.

Ka lihtsad meeldetuletused ja plakatisõnumid stiilis „Ära jaga oma parooli, ka mitte juhatajaga“ või „Kontrolli alati saatja aadressi“ võivad olla üllatavalt tõhusad. Koolitus ei pea olema kuiv ega pikk - oluline on, et see jõuaks inimesteni regulaarselt ja praktilisel moel.

3. Reeglid - et kõik teaks, mida teha

Isegi kui tehnoloogia ja teadmised on paigas, võivad inimesed siiski eksida, kui reeglid on segased või puuduvad. Selged juhised on vajalikud selleks, et iga töötaja teaks, kuidas käituda kahtlase olukorra korral.

Näiteks peaks ettevõttes olema kirjas, kuhu pöörduda, kui töötaja saab kahtlase e-kirja või kõne - kas infoturbe kontakt, spetsiaalne e-posti aadress või turvaosakond. Samuti tuleks igale uuele töötajale anda turvaalane sissejuhatus - mitte ainult süsteemi kasutamine, vaid ka see, kuidas vältida andmelekkeid.

Ja väga oluline - kui töötaja lahkub ettevõttest, tuleb tema kontod ja ligipääsud kohe sulgeda. On olnud juhtumeid, kus endised töötajad on kas pahatahtlikult või kogemata pääsenud veel kuude pärast süsteemidele ligi.

Kokkuvõte

Turvalisus ei ole ainult tulemüürid ja keerulised paroolid. Kui inimene avab ukse, ei aita ka 10 viirustõrjet.

Sotsiaalne manipulatsioon on ohtlik, sest see kasutab meie loomulikku usaldust. Aga kui ühendada tark tehnoloogia, regulaarne koolitus ja selged reeglid, siis on palju väiksem tõenäosus, et keegi petab su salasõna välja.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

1. Noppeid IT ajaloost

Изображение
  💡 Revolutsiooniline IT-lahendus: ARPANET – interneti eelkäija 1969. aastal käivitati ARPANET, esimene arvutivõrk, mis kasutas pakettkommutatsiooni revolutsioonilist tehnoloogiat, mis pani aluse tänapäeva internetile. Selle loomist rahastas USA kaitseministeeriumi Advanced Research Projects Agency (ARPA), eesmärgiga luua vastupidav ja hajutatud sidevõrk, mis suudaks töötada ka tuumasõja tingimustes. Esialgu oli ARPANET ühendatud vaid nelja ülikooli vahel, kuid see kasvas kiiresti. 1971. aastal saadeti esimesed e-kirjad, 1983. aastal võeti kasutusele TCP/IP protokollid, mis on tänapäeva interneti selgrooks. ARPANET-i edust said inspiratsiooni mitmed järgmise põlvkonna tehnoloogiad, sealhulgas World Wide Web, e-kaubandus, sotsiaalmeedia ja pilveteenused. Tänapäeval tundub internet iseenesestmõistetavana, kuid ilma ARPANET-i kui innovatsiooni alustalana poleks meie digitaalne maailm kujunenud selliseks, nagu see praegu on.     🚀 Oma ajast ees: Apple Newton – nu...
Далее...

2: Arpanetist Facebookini - Interneti kujunemislugu

Изображение
Enne 1991. aastat, kui maailmavõrk (WWW) ilmus, oli internet hoopis teistsugune. Paljud tehnoloogiad ja harjumused, mida tol ajal kasutati, on täna kas kadunud või asendatud uute lahendustega. Siin on kaks näidet : 1.  Endiselt kasutuses olev tehnoloogia: Usenet oli üks esimesi veebifoorumeid, kus kasutajad arutlesid erinevatel teemadel, postitades sõnumeid uudistegruppidesse, mida jagati teistega. Kuigi tänapäeva sotsiaalmeedia ja foorumid on muutnud meie suhtlemisviise internetis, eksisteerib Usenet endiselt – tänu aktiivsetele osalejatele ja erinevatele gruppidele, mis säilitavad vanu arhiive. Algselt loodi see 1980. aastatel Põhja-Carolina ülikooli teadlaste Thomas Turneri ja Jim Ericksoni poolt teadusliku teabe jagamiseks, kuid kiiresti leiti, et süsteemil on palju suurem potentsiaal. 1983. aastal loodi esimesed uudistegrupid, näiteks  alt  (alternatiivsete teemade jaoks) ja  comp  (arvutitehnoloogia jaoks). Erinevalt tsentraliseeritud süsteemidest, nagu e...
Далее...

11. Arendus- ja ärimudelid

LibreOffice - kuidas tehakse ja jagatakse tasuta tarkvara (ja miks see töötab) Kui keegi mainib kontoritarkvara, siis enamik inimesi mõtleb kohe Microsoft Office’i peale. Aga olemas on ka LibreOffice - selle tasuta vend, mida kasutavad miljonid inimesed üle maailma. Veel huvitavam on see, et selle taga ei ole suurt korporatsiooni. See projekt töötab täiesti teistmoodi. Arendusmudel LibreOffice’i ei juhi mingi boss, kes käsib, vaid projekt toimib nagu suur avatud köök - kes tahab, see tuleb ja aitab. Keegi kirjutab koodi, keegi teeb kujundust, keegi tõlgib. Otsuseid tehakse mitte positsiooni järgi, vaid selle põhjal, kes ja kui palju panustab. Seda nimetatakse meritokraatiaks. Kõike seda koordineerib The Document Foundation , mittetulundusühing, mis pigem juhendab kui käsutab. Lisaks vabatahtlikele annavad oma panuse ka reaalsed ettevõtted. Näiteks Collabora Productivity - nad aitavad arendada, testida, pakkuda tuge ja teha oma versioone LibreOffice’ist. See tähendab, et projekt ei ela...
Далее...