Lidé, kteří se chovají podle výše zmíněného schématu, v běžném životě obvykle zařadíme do kategorie „hloupí“. Hloupost je ale dávána také do souvislosti s nevědomostí a nedbalostí. Ponechme ale stranou nedostatek intelektu, který se týká jen minority „koncových uživatelů“. Zaměřme se na faktory ovlivňující většinu z nich – neznalost, nevědomost a nedbalost – a které, dle autorů výše uvedeného výzkumu, je možné do značné míry eliminovat.

Proč je člověk slabým článkem?

Problém „hloupý uživatel“ jsme rozebrali v úvodu článku a měli bychom být schopni jej řešit. Víme, že lékem na hloupost (tedy alespoň částečně) je školení a vzdělávání. Zbývá zjistit, jak se můžeme bránit chytrým útočníkům. A získat nejen odpověď na otázku v nadpisu článku, ale zejména zvolit tu strategii obrany, která nás bude stát menší úsilí a prostředky.

Proti kybernetickým útočníkům se pochopitelně bránit můžeme, ALE… Vždy musíme zvážit efektivitu a účinnost použitých opatření. Proces budování kybernetické bezpečnosti je dlouhý a obvykle začíná analýzou hrozeb, detekcí zranitelností, ohodnocením aktiv a stanovením míry akceptovatelného rizika.

Vhodnou volbou strategie obrany a zacílením na největší hrozby můžeme relativně snadno zvednout míru kybernetické bezpečnosti v organizaci. Ale jaké jsou ty největší hrozby? Jaká opatření nasadit pro dosažení rychlého zlepšení? Ze statistik a zkušeností z praxe vychází jako velmi účinné opatření: zacílení pozornosti na koncového uživatele a zlepšení jeho povědomí v oblasti kybernetické bezpečnosti.

Uživatel jako součást perimetru organizace

S rozvojem mobilních technologií došlo k výrazné změně využití IT technologií koncovými uživateli. Stolní počítače, dříve pevně „připojené“ do interní sítě organizace, byly nahrazeny mobilními zařízeními. Ta však tento interní prostor běžně opouští a jsou používána přímo ve veřejném prostoru internetu. Logicky se tak stávají nedílnou součásti perimetru a je nutné se k nim podle toho chovat a přizpůsobit je strategii kybernetické obrany dané organizace.

Ohrožení souvisejí s lidskými faktory a chováním zaměstnanců spadá do kategorie „vnitřních“ hrozeb. Mezi hlavní hrozby tohoto typu pocházející od koncových uživatelů patří:

• Nesprávná reakce na phishing
• Ztráta mobilního zařízení s citlivými daty
• Sdílení nebo kompromitace dat

Správci IT systémů, tzv. privilegovaní uživatelé, k tomu pak přidávají:

• Nedůslednost při aplikaci oprav a aktualizací aplikací a systémů
• Chyby při konfiguraci

Starý dobrý e-mail…, ale to riziko!

Při volbě strategie kybernetické obrany se můžeme inspirovat také z analytických reportů o aktuálně používaných kybernetických hrozbách a útocích. Jeden takový „Internet SecurityThreat Report 2017“ je od společnosti Symantec. Mimo jiné uvádí statistiku o typech (infekčních) vektorů kybernetických útoků – způsobech a postupech, které útočníci využívají pro proniknutí do sítí svých obětí. Obrana „místa vstupu“ útočníka do naší sítě je totiž nejúčinnějším způsobem, jak bojovat s cílenými útoky.

V loňském roce byly jako zdaleka nejrozšířenější infekční vektor využívány phishing e-maily. Tato cesta průniku byla využita v 71 % evidovaných útoků. Phishing se spoléhá na to, že příjemce otevře škodlivou přílohu nebo klikne na odkaz pro přesměrování na škodlivou stránku. Jeho popularita ilustruje, jak často je osoba, která sedí za počítačem, nejslabším článkem zabezpečení organizace.

Tuto skutečnost potvrzuje praktický test, provedený společností KnowBe4 v loňském roce. Společnost poslala testovací phishing e-maily zhruba na 6 miliónů uživatelů. Z vyhodnocení testu vyplývají zajímavé závěry:

• Uživatelé nejčastěji klikli na „slepé“ (neadresné) phishingové e-maily, když dostali příslib získání nebo výhrůžku ztráty peněz
• Lidé se často chytli také na zprávy, které jim podněcovaly chuť k jídlu a nabízely bezplatné jídlo nebo nápoje
• V neposlední řadě reagovali také na e-maily, které vyvolaly strach z promeškání nepeněžní příležitosti, a útoky, které se odvolávaly na základní zvědavost, jako jsou nové žádosti o kontakt nebo fotografické odkazy

Ze závěrů vyplývá, že ke klíčovým faktorům ovlivňujícím úspěšnost útoku patří emoce. Vždyť 54 % uživatelů kliklo na odkaz v phishingové zprávě do 60 minut od jejího odeslání. Naučíme-li uživatele lépe zvládat emoce, zlepšíme jejich odolnost vůči phishingu? Je nasnadě, že tím bychom také zvýšili odolnost kybernetické obrany organizace. Jak ale zvládat emoce? Pro odpověď musíme zabrousit do oblasti psychologie a psychoanalýzy. Tématu vlivu lidského faktoru v kybernetické bezpečnosti, zkoumání vazby mezi závislostí na internetu, impulzivitou, postoji ke kybernetické bezpečnosti a rizikovým chování se věnoval článek autora Lee Hadlingtona. Ten uvádí, že míra reakce na kybernetické hrozby, zejména pak phishing, souvisí s osobnostními rysy člověka. Konkrétně identifikuje tří lidské vlastnosti a chování:

• Impulzivní jednání a ochota riskovat
• Závislost na hrách a internetu
• Postoj k problematice kybernetické bezpečnosti

Nutno podotknout, že studie označila některé otázky dosud za málo probádané a ponechala je bez jednoznačných závěrů s doporučením další analýzy. Kdybychom závěry studie promítli do profilu uživatele, který by měl být „ideálním cílem“, stálo by v něm např. „Je ochoten se zúčastnit hry »Ruská ruleta«. Špatně navazuje kontakty s ostatními lidmi. Provozuje parkour v zakázaných zónách, jako jsou střechy výškových budov. Má tendence zachránit svět a pomáhat všem slabým. Zanedbává stravovací návyky díky neustálé přítomnosti ve virtuálním prostoru.“

Valná většina reálných uživatelů je sice od tohoto „ideálu“ dost značně vzdálena, ale přesto to útočníkům stačí ke stále četnějšímu pronikání do vnitřních sítí organizací. Otázkami psychologie uživatelů je proto potřeba se zabývat a měli bychom na ně, při zajišťování kybernetické bezpečnosti organizace, myslet např. osvětou ve formě sdělení, že ochrana na perimetru je sice účinná, ale uživatelé by měli být přesto na pozoru a neměli by na ni slepě spoléhat.

Závěr

Už Jan Werich věděl, že „hloupost je největší zlo“. Škoda jen, že nefunguje jiné rčení. Třeba to od Gustava Flauberta, že „hloupost je něco neochvějného. Všechno, co na ni zaútočí, také na ní ztroskotá“. Nezbývá nám tedy nic jiného než přijmout skutečnost, že koncový uživatel je nejslabší článek kybernetické obrany organizace, a věnovat mu patřičnou pozornost v podobě pečlivě promyšleného a kontinuálního systému vzdělávání. Pokud máte pocit, že uživatelé ve vaší organizaci jsou hloupí, není tomu tak. Jsou pouze neznalí a nezkušení, což je stav, s nímž se dá něco dělat.

Aleš Mahdal Autor článku je bezpečnostní konzultant ve společnosti ANECT.