facebook
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

Partneři webu
CVIS Consulting
IT SYSTEMS 9/2018 , IT Security

Co je horší: hloupý uživatel, nebo chytrý útočník?

Aleš Mahdal


ANECT„Lidé, kteří nevědí, nevědí, že nevědí…,“ je závěr výzkumníků z Cornellovy univerzity z výzkumu o lidském chování. Co tento závěr znamená v praxi? A jaký může mít dopad na kybernetickou bezpečnost? Jak školit koncové uživatele, kteří mají tendenci přeceňovat své vlastní schopnosti a ani po konfrontaci s realitou své hodnocení ani chování nezmění?


Lidé, kteří se chovají podle výše zmíněného schématu, v běžném životě obvykle zařadíme do kategorie „hloupí“. Hloupost je ale dávána také do souvislosti s nevědomostí a nedbalostí. Ponechme ale stranou nedostatek intelektu, který se týká jen minority „koncových uživatelů“. Zaměřme se na faktory ovlivňující většinu z nich – neznalost, nevědomost a nedbalost – a které, dle autorů výše uvedeného výzkumu, je možné do značné míry eliminovat.

Formulace tzv. Dunning-Krugerova efektu „Lidé, kteří nevědí, nevědí, že nevědí…“ vzešla z výzkumu Cornellovy univerzity o lidském chování. Jinými slovy říká, že neschopní lidé mají tendenci přeceňovat své vlastní schopnosti a ani po konfrontaci s realitou,své hodnocení ani chování nezmění.

Je ovšem neznalost to samé co hloupost, nebo je hloupost pouze projevem nezkušenosti nebo nedostatku vědomostí? Může se z „hlupáka“ stát člověk moudrý a zkušený? K zodpovězení uvedených otázek by nám mohla pomoci hypotéza výzkumníků z výše zmíněné studie: „Hloupost člověku zabraňuje uvědomit si, že je hloupý.“

Dá se s tím něco dělat? Snad ano, sami autoři studie totiž dospěli, mimo jiné, k závěru, že jediná cesta, jak Dunning-Krugerův syndrom překonat, je rozvoj dovedností formou vzdělávání a tréninku.

Proč je člověk slabým článkem?

Problém „hloupý uživatel“ jsme rozebrali v úvodu článku a měli bychom být schopni jej řešit. Víme, že lékem na hloupost (tedy alespoň částečně) je školení a vzdělávání. Zbývá zjistit, jak se můžeme bránit chytrým útočníkům. A získat nejen odpověď na otázku v nadpisu článku, ale zejména zvolit tu strategii obrany, která nás bude stát menší úsilí a prostředky.

Proti kybernetickým útočníkům se pochopitelně bránit můžeme, ALE… Vždy musíme zvážit efektivitu a účinnost použitých opatření. Proces budování kybernetické bezpečnosti je dlouhý a obvykle začíná analýzou hrozeb, detekcí zranitelností, ohodnocením aktiv a stanovením míry akceptovatelného rizika.

Vhodnou volbou strategie obrany a zacílením na největší hrozby můžeme relativně snadno zvednout míru kybernetické bezpečnosti v organizaci. Ale jaké jsou ty největší hrozby? Jaká opatření nasadit pro dosažení rychlého zlepšení? Ze statistik a zkušeností z praxe vychází jako velmi účinné opatření: zacílení pozornosti na koncového uživatele a zlepšení jeho povědomí v oblasti kybernetické bezpečnosti.

Uživatel jako součást perimetru organizace

S rozvojem mobilních technologií došlo k výrazné změně využití IT technologií koncovými uživateli. Stolní počítače, dříve pevně „připojené“ do interní sítě organizace, byly nahrazeny mobilními zařízeními. Ta však tento interní prostor běžně opouští a jsou používána přímo ve veřejném prostoru internetu. Logicky se tak stávají nedílnou součásti perimetru a je nutné se k nim podle toho chovat a přizpůsobit je strategii kybernetické obrany dané organizace.

Ohrožení souvisejí s lidskými faktory a chováním zaměstnanců spadá do kategorie „vnitřních“ hrozeb. Mezi hlavní hrozby tohoto typu pocházející od koncových uživatelů patří:

  • Nesprávná reakce na phishing
  • Ztráta mobilního zařízení s citlivými daty
  • Sdílení nebo kompromitace dat

Správci IT systémů, tzv. privilegovaní uživatelé, k tomu pak přidávají:

  • Nedůslednost při aplikaci oprav a aktualizací aplikací a systémů
  • Chyby při konfiguraci

Starý dobrý e-mail…, ale to riziko!

Při volbě strategie kybernetické obrany se můžeme inspirovat také z analytických reportů o aktuálně používaných kybernetických hrozbách a útocích. Jeden takový „Internet SecurityThreat Report 2017“ je od společnosti Symantec. Mimo jiné uvádí statistiku o typech (infekčních) vektorů kybernetických útoků – způsobech a postupech, které útočníci využívají pro proniknutí do sítí svých obětí. Obrana „místa vstupu“ útočníka do naší sítě je totiž nejúčinnějším způsobem, jak bojovat s cílenými útoky.

V loňském roce byly jako zdaleka nejrozšířenější infekční vektor využívány phishing e-maily. Tato cesta průniku byla využita v 71 % evidovaných útoků. Phishing se spoléhá na to, že příjemce otevře škodlivou přílohu nebo klikne na odkaz pro přesměrování na škodlivou stránku. Jeho popularita ilustruje, jak často je osoba, která sedí za počítačem, nejslabším článkem zabezpečení organizace.

Tuto skutečnost potvrzuje praktický test, provedený společností KnowBe4 v loňském roce. Společnost poslala testovací phishing e-maily zhruba na 6 miliónů uživatelů. Z vyhodnocení testu vyplývají zajímavé závěry:

  • Uživatelé nejčastěji klikli na „slepé“ (neadresné) phishingové e-maily, když dostali příslib získání nebo výhrůžku ztráty peněz
  • Lidé se často chytli také na zprávy, které jim podněcovaly chuť k jídlu a nabízely bezplatné jídlo nebo nápoje
  • V neposlední řadě reagovali také na e-maily, které vyvolaly strach z promeškání nepeněžní příležitosti, a útoky, které se odvolávaly na základní zvědavost, jako jsou nové žádosti o kontakt nebo fotografické odkazy

Ze závěrů vyplývá, že ke klíčovým faktorům ovlivňujícím úspěšnost útoku patří emoce. Vždyť 54 % uživatelů kliklo na odkaz v phishingové zprávě do 60 minut od jejího odeslání. Naučíme-li uživatele lépe zvládat emoce, zlepšíme jejich odolnost vůči phishingu? Je nasnadě, že tím bychom také zvýšili odolnost kybernetické obrany organizace. Jak ale zvládat emoce? Pro odpověď musíme zabrousit do oblasti psychologie a psychoanalýzy. Tématu vlivu lidského faktoru v kybernetické bezpečnosti, zkoumání vazby mezi závislostí na internetu, impulzivitou, postoji ke kybernetické bezpečnosti a rizikovým chování se věnoval článek autora Lee Hadlingtona. Ten uvádí, že míra reakce na kybernetické hrozby, zejména pak phishing, souvisí s osobnostními rysy člověka. Konkrétně identifikuje tří lidské vlastnosti a chování:

  • Impulzivní jednání a ochota riskovat
  • Závislost na hrách a internetu
  • Postoj k problematice kybernetické bezpečnosti

Nutno podotknout, že studie označila některé otázky dosud za málo probádané a ponechala je bez jednoznačných závěrů s doporučením další analýzy. Kdybychom závěry studie promítli do profilu uživatele, který by měl být „ideálním cílem“, stálo by v něm např. „Je ochoten se zúčastnit hry »Ruská ruleta«. Špatně navazuje kontakty s ostatními lidmi. Provozuje parkour v zakázaných zónách, jako jsou střechy výškových budov. Má tendence zachránit svět a pomáhat všem slabým. Zanedbává stravovací návyky díky neustálé přítomnosti ve virtuálním prostoru.“

Valná většina reálných uživatelů je sice od tohoto „ideálu“ dost značně vzdálena, ale přesto to útočníkům stačí ke stále četnějšímu pronikání do vnitřních sítí organizací. Otázkami psychologie uživatelů je proto potřeba se zabývat a měli bychom na ně, při zajišťování kybernetické bezpečnosti organizace, myslet např. osvětou ve formě sdělení, že ochrana na perimetru je sice účinná, ale uživatelé by měli být přesto na pozoru a neměli by na ni slepě spoléhat.

Závěr

Už Jan Werich věděl, že „hloupost je největší zlo“. Škoda jen, že nefunguje jiné rčení. Třeba to od Gustava Flauberta, že „hloupost je něco neochvějného. Všechno, co na ni zaútočí, také na ní ztroskotá“. Nezbývá nám tedy nic jiného než přijmout skutečnost, že koncový uživatel je nejslabší článek kybernetické obrany organizace, a věnovat mu patřičnou pozornost v podobě pečlivě promyšleného a kontinuálního systému vzdělávání. Pokud máte pocit, že uživatelé ve vaší organizaci jsou hloupí, není tomu tak. Jsou pouze neznalí a nezkušení, což je stav, s nímž se dá něco dělat.

Aleš Mahdal Aleš Mahdal
Autor článku je bezpečnostní konzultant ve společnosti ANECT.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

I malé a střední firmy mohou těžit z technologických inovací

Konica MinoltaInovace jsou aktuální trend snad ve všech oblastech. S nimi spojené nezbytné moderní technologie jsou však téměř vždy zpočátku finančně náročnější, a jako takové k dispozici zejména velkým společnostem. Vzhledem ke stále rychlejšímu vývoji zejména v oblasti IT se však i moderní produkty stávají dříve dostupnými i pro segment malých a středních firem. Ty tak z boomu inovací „profitují“ v podobě sofistikovaných technologických řešení, která jim pomáhají k dalšímu růstu. Tento trend můžeme sledovat i v prostředí kancelářské infrastruktury.

Časopis IT Systems / Odborná příloha Archiv časopisu IT Systems
IT Systems 9/
IT Systems 7-8/
IT Systems 6/
IT Systems 5/
Oborové a tematické přílohy
příloha #1 9/
příloha #1 7-8/
příloha #1 6/
příloha #1 5/
Siemens - CAM webinar
Kalendář akcí