Cyber sigurnost je vruća tema u sastancima u većini firmi, bez obzira na industriju. U tom kontekstu, glavni rizici su odgovornost i uloga zaposlenika u osiguravanju sigurnosti podataka i informacija. Zato, kada govorimo o cyber sigurnosti, nailazimo na pojmove kao što su ljudski faktor, ljudska pogreška i unutarnja prijetnja. Nije nimalo pretjerano reći da jedan zaposlenik može ugroziti cijelu tvrtku.
Ljudska pogreška još uvijek uzrokuje veliku većinu kršenja cyber sigurnosti
Istraživači sa Sveučilišta Stanford otkrili su da je otprilike 88% svih povreda podataka uzrokovano pogreškom zaposlenika. Odnosno od strane nepripremljenih zaposlenika. To je visok postotak. Više puta ponavljamo da tvrtke moraju značajno ulagati u napredne alate za zaštitu i svijest o sigurnosti, uključujući pristup Zero Trust.
Podaci istraživanja Verizona potvrđuju da ‘ljudski faktor’ ukazuje na to da su donositelji odluka glavne mete napada tvrtki. Prema drugom istraživanju kibernetičke sigurnosti koje je proveo Verizon, rukovoditelji na C razini imaju devet puta veću vjerojatnost da će biti meta proboja. U praksi, učinci napada mogu uzrokovati još značajniju štetu.
Ljudski element u kibernetičkoj sigurnosti manje se odnosi na namjerne zločine koje su počinili zaposlenici nego na nedužne pogreške koje čine ljudi koji postanu žrtve naizgled legitimnih e-poruka sa zlonamjernim poveznicama. Isti ljudi neće uspjeti primijeniti osnovne sigurnosne mjere kao što je ograničavanje dopuštenja za baze podataka u oblaku.
Nedavni napadi
Ljudi stoje iza nekih od najznačajnijih kršenja kibernetičke sigurnosti podataka u posljednje vrijeme.
SolarWinds
U ožujku 2020. hakeri iz nacionalne države za koje se vjeruje da su iz Rusije kompromitirali su DLL datoteku povezanu s ažuriranjem softvera za platformu Orion od strane SolarWinds. Napad na opskrbni lanac utjecao je na do 18.000 kupaca SolarWindsa, uključujući šest odjela američke vlade. Napad je otkriven tek u prosincu 2020. Ovaj je incident bio poticaj za Izvršnu uredbu Joea Bidena o cybersigurnosti koja sada nalaže svim organizacijama da ojačaju svoje napore u pogledu sigurnosti lanca opskrbe.
Toyota Boshoku Corporation
Europska podružnica Toyota Grupe, Toyota Boshoku Corporation, pretrpjela je veliki BEC napad u kolovozu 2019. koji je tvrtku koštao 37,3 milijuna dolara. Dana 14. kolovoza 2019. dobavljač autodijelova je prevaren da izvrši veliki prijenos sredstava na bankovni račun hakera. Akteri prijetnje predstavljali su se kao jedan od poslovnih partnera podružnice i slali pažljivo osmišljene e-poruke članovima odjela računovodstva i financija. Ovi e-mailovi zahtijevali su da se sredstva pošalju na određeni bankovni račun, koji su hakeri kontrolirali. Ubrzo nakon što je transfer obavljen, sigurnosni stručnjaci tvrtke shvatili su da su prevareni. Međutim, tada je već bilo prekasno da se transfer zaustavi.
Sequoia Capital
Poznata kao jedna od najstarijih i najznačajnijih tvrtki rizičnog kapitala u Silicijskoj dolini, Sequoia Capital hakirana je u veljači 2021. Ovo hakiranje izložilo je neke osobne i financijske podatke njegovih ulagača trećoj strani. Cyber napad je uspio kada je jedan od zaposlenika Sequoie postao žrtva phishing napada. Usmjerena na energetiku, poduzeća, financije, zdravstvo, mobilne i internetske start-upove, ova VC tvrtka ima više od 1100 korporativnih klijenata i više od 200 međunarodnih klijenata.
Sina Weibo
S više od 600 milijuna korisnika, Sina Weibo jedna je od najvećih kineskih platformi društvenih medija. U ožujku 2020. tvrtka je objavila da je napadač došao do dijela njezine baze podataka, utječući na 538 milijuna korisnika Weiba i njihove podatke, uključujući prava imena, korisnička imena stranica, spol, lokaciju i telefonske brojeve. Napadač je navodno prodao bazu podataka na mračnom webu za 250 dolara.
Pogreške temeljene na vještinama i pogreške temeljene na odlukama
Dok su prilike za ljudske pogreške gotovo beskonačne, one se mogu kategorizirati u dvije različite vrste: pogreške temeljene na vještinama i pogreške temeljene na odlukama. Razlika između to dvoje u biti se svodi na to je li osoba imala potrebno znanje da izvrši ispravnu radnju.
Četiri metode hakiranja u nastavku najčešće se koriste za pristup zaštićenim podacima.
Socijalni inženjering
Društveni inženjering je metoda napada u kojoj zlonamjerna osoba koristi psihološku manipulaciju kako bi potaknula određene radnje. Za razliku od drugih hakerskih napada, ova metoda ne koristi projektirane sustave ili najsuvremeniji softver. Uspjeh ove tehnike temelji se na odnosu između hakera i žrtve, koja pokušava zadobiti njihovo povjerenje. Obično se kriminalac služi lažnom identifikacijom, lažno predstavljajući institucije, poznate robne marke ili čak osobe u koje žrtva ima povjerenje kako bi je uvjerio da da svoje osobne podatke, preuzme aplikacije s virusima ili otvori zlonamjerne poveznice.
Phishing, Spear-Phishing, Vishing i Smishing
Phishing i spear-phishing vrste su prijevara. Događaju se kada se kriminalac lažno predstavlja kao državna agencija, osoba ili tvrtka s namjerom da nekoga prevari. U tipičnom spear-phishing napadu, posebno izrađena e-pošta šalje se određenim pojedincima iz ciljane organizacije. Putem pametnih i relevantnih taktika društvenog inženjeringa, primatelji su uvjereni da preuzmu privitak zlonamjerne datoteke ili kliknu na poveznicu na web mjesto krcato zlonamjernim softverom ili iskorištavanjem, čime započinje kompromis. To se događa u svim industrijama; dogodilo se i nama u Irdetu kada je prevarant lažno predstavljao našeg predsjednika uprave i pokušao se povezati s našim zaposlenicima. Zahvaljujući našim budnim kolegama, nije bilo štete.
Smishing i vishing druge su vrste prijevare koje koriste SMS (smishing) i glas (vishing) kako bi prevarili ljude da daju novac ili osobne podatke.
Lažiranje domene
Spoofing se sastoji od stvaranja lažnih adresa e-pošte i web stranica kako bi se ljudi zavarali. Spoofing se široko koristi u phishing prijevarama, spear phishingu i neželjenim kampanjama poput društvenog inženjeringa. U praksi hakeri koriste lažiranje domene na različite načine. To može biti, na primjer, dodavanjem pisma na adresu e-pošte ili stvaranjem lažne web stranice s adresom vrlo sličnom legitimnoj. U užurbanoj svakodnevici ovi mališani mnogima prolaze nezapaženo.
BEC (Obveza poslovne e-pošte)
Ugrožavanje poslovne e-pošte ili BEC je phishing i jedna je od najvećih prijetnji poduzećima. BEC se događa kada napadač kompromitira korporativni račun e-pošte i lažno se predstavlja kao vlasnik e-pošte kako bi prevario druge. Prema Izvješću FBI-a o internetskom kriminalu za 2020., BEC napadi uzrokuju gubitke koji su 64 puta veći od ransomwarea.
Okvir nultog povjerenja
Zero Trust je sigurnosni okvir koji zahtijeva da svi korisnici, bilo unutar ili izvan mreže organizacije, budu autentificirani, autorizirani i kontinuirano provjeravani za sigurnosnu konfiguraciju i položaj prije nego što im se odobri ili zadrži pristup aplikacijama i podacima. Za sve što korisnik želi učiniti ili komunicirati, prvo mora uspostaviti razinu povjerenja. Jedinstveno se bavi modernim izazovima današnjeg poslovanja, uključujući osiguranje udaljenih radnika, hibridna okruženja u oblaku i prijetnje ransomwareom.
Primjena okvira Zero Trust također može pomoći braniteljima da steknu uvid u svoje sigurnosno poslovanje. Oni mogu dosljedno provoditi sigurnosne politike te brže i preciznije otkrivati i odgovoriti na prijetnje.
Okvir nultog povjerenja također bi trebao uključivati pristup kibernetičkoj sigurnosti temeljen na ponašanju. Može uključivati nadzor mreže i razvijanje temelja onoga što se smatra “normalnim” ponašanjem, što olakšava prepoznavanje bilo čega nenormalnog.
Korištenjem ovog pristupa – koji može uključivati strojno učenje i specijalizirane algoritme – IT odjeli mogu bolje razumjeti što se redovito događa na njihovim mrežama. U konačnici, definiranjem onoga što je tipično, čudna ponašanja i anomalije postaju lakše otkriti, a vjerojatnost lažnih pozitivnih rezultata se smanjuje.
Uspostavom osnovne linije tipičnog ponašanja, moguće je pokrenuti sigurnosne postupke kada se ponašanje proširi izvan definiranog raspona. Na primjer, ako zaposlenik uvijek pristupa svom prijenosnom računalu iz Nizozemske, obično od 9 do 18 sati, a jednog dana postoji pokušaj prijave u Chicagu u 5 ujutro, to bi mogao biti kriminalac koji pokušava pristupiti mreži.
Naravno, ta osoba jednostavno može putovati. Stoga bi odgovor mogao biti traženje dodatne provjere autentičnosti, a ne trenutačno zaključavanje. Ako korisnik ne može dati druge vjerodajnice, sustav će ih zaključati, ali ovlašteni korisnik može pristupiti sustavu bez daljnjih problema.
Ljudski faktor: Vaša najslabija karika, vaša najveća vrijednost
Kao ljudska bića, skloni smo griješiti, ali kada je u pitanju sigurnost, mala greška može dovesti do značajne povrede podataka, što se često događa. Studije pokazuju da je 46% hakerskih napada i kibersigurnosnih incidenata rezultat nepažnje ili nedostatka obuke. To je iznenađujuća brojka, ali možda je samo vrh ledenog brijega, jer je također objavljeno da 21% tvrtki u svijetu ima zaposlenike koji su priznali da nisu prijavili sigurnosni incident kad se dogodi.
Trenutačno se većina tvrtki bori s istom dilemom: ljudi su često najslabija karika u sigurnosnom lancu. Ponekad je ta poveznica putem e-pošte za provjeru nagrade koju ste upravo osvojili ili ‘posebna ponuda’ koja je previše primamljiva da joj se odoli. Iako im intuicija možda govori da zvuči predobro da bi bilo istinito, mnogi si ljudi jednostavno ne mogu pomoći: moraju kliknuti i vidjeti.
Ovdje su u igri dva važna psihološka čimbenika: nedostatak razumijevanja i desenzibilizacija. Mete kibersigurnosnih napada često su ranjive jednostavno zbog nedostatka znanja, a neke završe u istom čamcu jer postanu desenzibilizirane na prijetnju.
Oslanjanje na strojno učenje može ići tako daleko samo zbog svojih determinističkih ishoda. Ako se dogodi situacija A, ishod bi trebao biti B. Tehnologija nikada neće moći ponoviti našu intuiciju i intuiciju koju imamo da nešto nije u redu. A taj intrinzično ljudski ‘osjećaj’ također može biti najveća prednost tvrtke. Uz stalnu obuku i politike nultog povjerenja, zaposlenici će biti još oprezniji i sumnjičavi prema svemu što izgleda pomalo neuobičajeno. Kada smo bolje upoznati s prijetnjama koje će nas najvjerojatnije pogoditi, možemo ih bolje spriječiti i otkriti.
Edukacija krajnjeg korisnika
Ublažavanje ljudske pogreške mora doći iz dva kuta: smanjenje mogućnosti i obrazovanje krajnjih korisnika. Na poslu zaposlenici moraju biti svjesni rizika.
IZVOR: Cybersecurity Insiders