Co je horší pro vaši bezpečnost: hloupý uživatel nebo chytrý útočník?



„Lidé, kteří neví, neví, že neví…“ Tímto způsobem shrnuli výzkumníci z Cornellovy University svůj výzkum o lidském chování a formulovali jej do tzv. Dunning-Krugerova efektu (DK). Z výzkumu dále vyplynulo, že neschopní lidé mají tendenci přeceňovat své vlastní schopnosti a ani po konfrontaci s realitou nezmění své hodnocení, ani své chování. Jaký dopad mají tato fakto na bezpečnost vašich dat?

Lidé, kteří se chovají podle výše zmíněného schématu, pak v běžném životě obvykle zařadíme do kategorie „hloupí“. Je tomu tak ale skutečně? Wikipedie k tomuto tématu uvádí: „Hloupost či stupidita je opakem chytrosti či moudrosti. Hlupák je člověk, jenž má nedostatek inteligence, pochopení, rozumu, vědomostí, důvtipu i poznání. … Hloupost je ale dávána také do souvislosti s nevědomostí a nedbalostí.

Proč je člověk slabým článkem?

Je tedy neznalý člověk skutečně hloupý? Je neznalost to samé co hloupost nebo je hloupost pouze projevem nezkušenostinebo nedostatku vědomostí? A může se z „hlupáka“ stát člověk moudrý a zkušený?K zodpovězení těchto otázek by nám mohla pomoci hypotéza výzkumníků z výše zmíněné studie: „Hloupost člověku zabraňuje uvědomit si, že je hloupý.“

Dá se s tím něco dělat? Snad ano, autoři studie dospěli, mimo jiné, k závěru, že jediná cesta, jak syndrom DK překonat je rozvoj dovedností formou vzdělávání a tréninku.

Tento delší úvod a úvaha o hlouposti byly nutné pro zodpovězení otázky v nadpisu tohoto článku. Už tedy víme, že lékem na hloupost (tedy alespoň částečně) je školení a vzdělávání. Zbývá zjistit, jak se můžeme bránit chytrým útočníkům. A pak už jen zvolit tu strategii obrany, která nás bude stát menší úsilí a prostředky.

Můžeme se bránit proti kybernetickým útočníkům? Odpovědí je jednoznačné „ANO“. Nicméně, musíme doplnit také velmi důležité „ALE“. Naše obrana nebude nikdy stoprocentně efektivní a účinná. ANO, bránit se proti kybernetickým útokům můžeme, ALE musíme zvážit efektivitu a účinnost použitých opatření. Proces to je dlouhý a obvykle začíná analýzou hrozeb a zranitelností, ohodnocením aktiv, stanovením míry akceptovatelného rizika.

Vhodným výběrem typů útoků a zranitelností můžeme relativně snadno výrazně zvednout míru kybernetické bezpečnosti v organizaci. Které to jsou? Jaká opatření nasadit pro dosažení rychlého zlepšení? …zacílením pozornosti na koncového uživatele.

Uživatel jako součást perimetru organizace

S rozvojem mobilních technologií došlo k výrazné změně využití IT technologií koncovými uživateli. Stolní počítače, dříve pevně „připojené“ do interní sítě organizace, byly nahrazeny mobilními zařízeními. Ty však tento interní prostor běžně opouští a jsou používány přímo ve veřejném prostoru Internetu. Logicky se tak stávají nedílnou součásti perimetru a je nutné se k nim podle toho chovat a přizpůsobit je strategii kybernetické obrany dané organizace.

Ohrožení souvisejí s lidskými faktory a chováním zaměstnanců spadá do kategorie „vnitřních“ hrozeb. Mezi hlavní hrozby tohoto typu, pocházející od koncových uživatelů patří:

  • Nesprávná reakce na phishing
  • Ztráta mobilního zařízení s citlivými daty
  • Sdílení nebo kompromitace dat
  • Správci IT systémů, tzv. privilegovaní uživatelé k tomu pak přidávají:
  • Nedůslednost při aplikaci oprav a aktualizací aplikací a systémů
  • Chyby při konfiguraci

Starý dobrý e-mail…, ale to riziko!

Při volbě strategie kybernetické obrany se můžeme inspirovat také z analytických reportů o aktuálně používaných kybernetických hrozbách a útocích. Jeden takový, Internet SecurityThreat Report 2017, je od společnosti Symantec. Mimo jiné uvádí statistiku o typech (infekčních) vektorů kybernetických útoků – způsobech a postupech, které útočníci využívají pro proniknutí do sítí svých obětí. Obrana „místa vstupu“ útočníka do naší sítě je totiž nejúčinnějším způsobem, jak bojovat s cílenými útoky.

V loňském roce byly jako zdaleka nejrozšířenější infekční vektor využívány phishing e-maily. Tato cesta průniku byla využita v 71% evidovaných útoků. Phishing se spoléhá na to, že příjemce otevře škodlivou přílohu nebo klikne na odkaz pro přesměrování na škodlivou stránku. Jeho popularita ilustruje, jak často je osoba, která sedí za počítačem, nejslabším článkem zabezpečení organizace.

Tuto skutečnost potvrzuje praktický test, provedený společností KnowBe4 v loňském roce. Společnost poslala testovací phishing e-maily zhruba na 6 milionu uživatelů. Z vyhodnocení testu vyplývají zajímavé závěry:

  • Uživatelé nejčastěji klikli na „slepé“ (neadresné) phishingové e-maily, když dostali příslib získání nebo výhrůžku ztráty peněz
  • Lidé se často chytli také na zprávy, které jim podněcovaly chuť k jídlu a nabízely bezplatné jídlo nebo nápoje
  • V neposlední řadě reagovali také na e-maily, které vyvolaly strach z promeškání nepeněžní příležitosti, a útoky, které se odvolávaly na základní zvědavost jako jsou nové žádosti o kontakt nebo fotografické odkazy

Ze závěrů vyplývá, že ke klíčovým faktorům ovlivňujícím úspěšnost útoku patří emoce. Vždyť 54% uživatelů kliklo na odkaz ve phishingové zprávě do 60 minut od jejího odeslání.

Naučíme-li uživatele lépe zvládat emoce, zlepšíme jejich odolnost vůči phishingu? Je nasnadě, že tím bychom také zvýšili odolnost kybernetické obrany organizace. Jak ale zvládat emoce? Pro odpověď musíme zabrousit do oblasti psychologie a psychoanalýzy.

Tématu vlivu lidského faktoru v kybernetické bezpečnosti, zkoumání vazby mezi závislostí na internetu, impulzivitou, postoji ke kybernetické bezpečnosti a rizikovým chování se věnoval článek autora Lee Hadlingtona. Ten uvádí, že míra reakce na kybernetické hrozby, zejména pak phishing, souvisí s osobnostními rysy člověka. Konkrétně identifikuje tří lidské vlastnosti a chování:

  • Impulsivní jednání a ochota riskovat
  • Závislost na hrách a Internetu
  • Postoj k problematice kybernetické bezpečnosti

Nutno podotknout, že studie označila některé otázky dosud za málo probádané a ponechala je bez jednoznačných závěrů s doporučením další analýzy. Kdybychom závěry studie promítli do profilu uživatele, který by měl být „ideálním cílem“, stálo by v něm např. „Je ochoten se zúčastnit hry ,Ruská ruleta´. Špatně navazuje kontakty s ostatními lidmi. Provozuje parkour v zakázaných zónách jako jsou střechy výškových budov. Má tendence zachránit svět a pomáhat všem slabým. Zanedbává stravovací návyky díky neustálé přítomnosti ve virtuálním prostoru.“

Valná většina reálných uživatelů je sice od tohoto „ideálu“ dost značně vzdálena, ale přesto to útočníkům stačí ke stále četnějšímu pronikání do vnitřních sítí organizací. Otázkami psychologie uživatelů je proto potřeba se zabývat a měli bychom na ně, při zajišťování kybernetické bezpečnosti organizace, myslet např. osvětou ve formě sdělení, že ochrana na perimetru je sice účinná, ale uživatelé by měli být přesto na pozoru a neměli by na ni slepě spoléhat.

Závěr

Už Jan Werich věděl, že„hloupost je největší zlo“. Škoda jen, že nefunguje jiné rčení. Třeba to od Gustava Flauberta, že„hloupost je něco neochvějného. Všechno, co na ni zaútočí, také na ní ztroskotá“. Nezbývá nám tedy nic jiného než přijmout skutečnost, že koncový uživatel je nejslabší článek kybernetické obrany organizace a věnovat mu patřičnou pozornost v podobě pečlivě promyšleného a kontinuálního systému vzdělávání.

Pokud máte pocit, že uživatelé ve vaší organizaci jsou hloupí, není tomu tak. Jsou pouze neznalí a nezkušení, což je stav, s nímž se dá něco dělat.

Aleš Mahdal, bezpečnostní konzultant ve společnosti ANECT


(10. 8. 2018 | redakce2)


Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Nepřehlédněte nové odborné speciály

Reality v ČR, Zabezpečení dat, Formuláře - podnikání



Články čtenářů

Autobusové nádraží Zličín – kde je c...


Můžete jet soukromě, nebo třeba služebně, každopádně když cestujete z Prahy na západ, jihozápad nebo severozápad, pojedete možná z autobusového nádraží Zličín. Pokud...

Jak vypnout zprávy webů v prohlížeči


Rozmohl se nám tady takový nešvar - lecjaký zpravodajský web teď v prohlížeči stále dokola otravuje s tím, abyste si zapnuli jeho zprávy do prohlížeče. A vy musíte s...

Komentáře čtenářů

Přiruční zavazadla Ryanair
Už dříve vznikla u nás diskuse na Facebooku, jaký je rozdíl v politice kabinových zavazadel Wizz Air a R...>>
Děkuji
To byl nepříjemný překlep, opraveno. V obou případech jde o předpověď do roku 2020. Děkujeme za upozorně...>>
Konkrétněji, prosím
My ale nikde nepíšeme, že jinde se to neděje. Pokud máte informace o konkrétních větších výpadcích, ocen...>>

©2013-2018 OnBusiness.cz, ISSN 2336-1999 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu OnBusiness.cz a ochrana soukromí | pg(4178)