Prokrastinace je v případě bezpečnosti v dnešním IT světě velmi častá praxe. Její následky se často projeví tehdy, kdy je nejméně očekáváme. Zpravidla až po nějakém incidentu začínáme řešit problémy zabezpečení z pohledu různých aspektů. Proto je důležité předvídat, předcházet a vyvarovat se možných reálných rizik.

Dejme si na začátek příklad z praxe. Zakoupili jsme kvalitní a výkonný hardware s výbornou podporou, máme k tomu skvěle zabezpečenou síť, koncové stanice jsou ochráněny antivirovým softwarem a neustále aktualizované systémy se zdají být v té nejlepší kondici. Čas od času si necháme otestovat webové aplikace. Pak už jen stačí splnit pár formalit, které po nás vyžadují „ti shora“. Takto to možná vypadá v mnoha firmách. Jaké jsou však skutečné hrozby, hrozby za hranicemi toho, co je nám známé?

Neuvědomujeme si, že vhodně připravený scénář tzv. sociotechnika, či chcete-li zjednodušeně podvodníka, vytvořený v rekordně krátkém čase a s minimálními náklady, může uškodit naší firmě mnohem více než sofistikovaný útok na náš web, jehož důsledkem bývá nejčastěji „jen“ několikahodinový výpadek služeb. Položme si otázku: co je pro útočníka komplikovanější a méně nákladné? Sociotechniky, které se používají v různých formách od pradávna, či zneužití slabin zabezpečených IT systémů? Odpověď je nasnadě, ale málokdo si hrozbu sociálního inženýrství reálně připouští. Často se setkáváme i s názorem, že je nemožné chránit se před těmito útoky, že je nereálné zajistit společnost tak, aby odolala a odrazila šikovně připravené scénáře kombinované s praktikami a technikami, jako je například často zmiňovaný spoofing.

S prevencí začněte u zaměstnanců

Právě ti jsou obvykle nejslabším článkem řetězce bezpečnostních opatření v dané společnosti. Tak jako si zaměstnanci prochází školením bezpečnosti práce, měli bychom je vzdělávat i s ohledem na bezpečnost informací ve firmě. Je tedy důležité, aby zaměstnanci znali základní techniky a praktiky sociálního inženýrství ještě před tím, než dostanou přístupová práva do sítě a ke svým uživatelským účtům. Ucelený systém vzdělávání v této oblasti je základním předpokladem důkladného zabezpečení dat a informací ve firmě.

Druhým krokem je testování zaměstnanců, přičemž to můžeme rozdělit do dvou oblastí:

• testování nabytých vědomostí z pohledu teorie sociotechnik, prostřednictvím znalostních testů,
• samotné otestování techniky sociálního inženýrství na zaměstnancích, respektive na skupině zaměstnanců, popřípadě na společnosti jako celek.

Samotné testování a jeho následná analýza je účinným nástrojem pro identifikaci nezbytných opatření. Jeho výsledky však v žádném případě nemají sloužit k exemplárnímu trestání jednotlivců, kteří neuspěli. Naopak je důležité chápat testy jako impulz, pomocí kterého se posuneme do úrovně reálného chápání bezpečnosti při znalosti míry rizik spojených s bodyhackingem, sociotechnikami a dalšími metodami, které se pro nekalé získávání informací používají. Při testech doporučujeme spolupráci s odborníky v dané oblasti. Testování je totiž poměrně náročné z pohledu sociologického, psychologického i technického. Součástí těchto testů bývá také kombinace různých technik, za pomoci moderních technologií a ověřených sociotechnických metod.

Odhalte procesní chyby

Jak to vypadá ve firmě po uskutečnění testu sociálního inženýrství? První dva až tři měsíce, v závislosti na výsledcích zkoušek, vidí zaměstnanci v každém subjektu potenciální hrozbu. Důvod je jednoduchý. Byli otestováni bez jejich vědomí, a proto mají pocit, že byli určitým způsobem podvedeni a oklamáni. A to je velmi důležitý fakt. Sami ze zkušenosti víme, že pokud jsme byli jednou podvedeni, stali jsme se obětí, někdo zneužil naši důvěru, ochotu pomáhat, náš respekt vůči nadřízenému a autoritám, zůstane v nás tento pocit dlouho. Tyto nepříjemné zážitky se zarývají hluboko do naší paměti z důvodu sebeobranného mechanismu, který nám brání udělat tutéž chybu vícekrát. Ostražitost, opatrnost, preciznost a určitým způsobem i odstup – to jsou sekundární dopady, které dále posunou chápání bezpečnosti v kontextu širších souvislostí. Po provedení testů se změní pohled na bezpečnost jako takovou, a to nejen z pohledu IT, ale napříč celou firmou.

Cílem však není perzekvovat inkriminovanou osobu, která se zjevně dopustila chyby, ale podívat se na společnost jako na celek. Podívat se na ni jako na organismus, na společnost složenou z entit, které jsou nositelem určitého rizika. Primárním úkolem je poukázat na procesní chyby vznikající kvůli zanedbání vzdělávání zaměstnanců.

Pojďme se podívat na další příklad. Společnost prošla fúzí, ve firmě se najednou projevily různé společenské a firemní kultury se specifickými návyky. Právě při integraci jsou firmy extrémně zranitelné z pohledu sociálního inženýrství. Útočník se velmi jednoduše ztratí v davu. Může pracovat na různých úrovních, v principu nikdo nikoho nezná, nebyla stanovena žádná pravidla a na místo jedné společnosti se může zaměřit rovnou na dvě, které se právě propojují. Spojená firma je často finančně silná, zároveň ale velmi slabá z pohledu zabezpečení. Hlavně při spojování se v rámci budovatelského entuziasmu kácejí lesy a létají třísky. Z jednotlivých firem odcházejí demotivovaní zaměstnanci s pocitem ztráty kolegů, známých, sociálních skupin, návyků a zvyklostí. Sociální agrese je většinou důsledkem osobnostní frustrace, která je často násobená společenským tlakem a pomstychtivostí. Útočníkem pak zdaleka nemusí být zkušený bodyhacker využívající kombinaci moderních technologií, ale zhrzený bývalý zaměstnanec ovládající obyčejné umění klamu.

K předejití problémů stačí málo

Jiným typickým příkladem je pracovník údržby, který má klíč od archivu. V něm je uloženo veškeré know-how firmy, patenty, důležité dokumenty a nákresy. Jak by v tomto případě zafungovalo morální dilema, když se tyto dokumenty dají tak výhodně zpeněžit u konkurence? Jakým rizikem je asi pro firmu extrovertní recepční, která každému na potkání vypráví, kde je generální ředitel s rodinou na dovolené a kdy se vrátí, popřípadě že máte příští týden v pátek firemní akci a ve firmě nezůstane ani noha. Ověřují si vaši zaměstnanci identitu revizních techniků? Víme přesně, kdo se nám potuluje v prostorách firmy? Máte nainstalovány kamery nad vstupy do objektů a vyhodnocujete chování zaměstnanců, kteří čas od času pustí dovnitř někoho jen proto, že jim chtějí ze zdvořilosti přidržet dveře? Takových příkladů je nespočet. Stačí mnohokrát velmi málo, abychom zamezili fatálním následkům. Zhodnoťme si skutkový stav, zjistíme tím, kde jsou slabá místa, stanovíme na základě toho pravidla, a pak už jen stačí ověřit jejich funkčnost v praxi.

Postarejte se o to, aby pojmům jako baiting, pre-texting, sex sells, spoofing nebo trashing rozuměli i vaši zaměstnanci, uměli se nad nimi zamyslet, a to nejen z hlediska profesního, ale i z hlediska každodenního života.

Maroš Mihalič
Autor pracuje jako bezpečnostní konzultant v oddělení Services společnosti Eset.