Human firewall má své limity
V boji s phishingem soustavně prohráváme a nic na tom nemění ani probíhající bezpečnostní osvěta zaměstnanců.
Snažíme se dostat pod kontrolu rozhodování zaměstnance, které on sám má pod kontrolou jen v jednotkách procent, protože ve většině případů jej zcela ovládají emoce.
Z výzkumu realizovaného jako opakovaný experiment v posledních několika letech v organizacích čítajících několik tisíc zaměstnanců vyplynulo, že se nám sice daří zvyšovat bezpečnostní povědomí, a spolu s ním dochází i k žádoucí změně chování, avšak ani to nemusí zdaleka stačit.
Byť s každou další iterací dochází ke snížení počtu těch, kteří špatně zareagují na zaslaný testovací phishingový e-mail, tedy že kliknou na odkaz anebo že otevřou přílohu, tak je nutné konstatovat, že tolik opěvovaný human firewall má bohužel jisté limity a snaha přiblížit se 0, tak může i s kvalitním bezpečnostním programem představovat značně ambiciózní cíl.
Rovněž poměr rozeslaných testovacích e-mailů k počtu nakažených pak může sloužit jen jako jedna ze zajímavých bezpečnostních metrik a rostoucí trend pak může poukazovat na vysokou úspěšnost zvoleného bezpečnostního programu a dobře vypadat i v předkládaném bezpečnostním reportu.
Nicméně v praxi se počet nakažených stále bude pohybovat v jednotkách procent, obzvlášť v organizacích zaměstnávajících několik tisíc zaměstnanců, ve kterých se běžná míra fluktuace pohybuje kolem 10 %, a kde i bezpečnostní povědomí v zásadě odpovídá Gaussovu rozdělení a najdeme zde jak extrémně paranoidní, tak i zcela lehkovážné jedince.
Je třeba si uvědomit, že stačí jeden jediný zaměstnanec, který se nezachová tak, jak by měl a na přílohu nebo link v e-mailu klikne a nakazí pak celou organizaci. V praxi samozřejmě nedojde k rozeslání škodlivého e-mailu na všechny zaměstnance, to by zafungoval antispamový filtr, ale je třeba si uvědomit, jak phishing funguje, a že vůči němu nejsou imunní ani bezpečnostní experti.
Musíme totiž připustit, že příjemce e-mailu, byť absolvoval nejrůznější bezpečnostní školení, se nezachová vždy racionálně. Dokonce se dá i říci, že čím více bude e-mail působit na jeho e-moce, tím nižší je pravděpodobnost, že chladné logické uvažování ustoupí zcela do pozadí a emoce pak příjemce e-mailu naprosto ovládnou. Ostatně tato skutečnost již byla opakovaně prokázána i v jiných oborech a není důvod, aby tomu zde bylo jinak.
Dále si musíme uvědomit, že v každé organizaci bude vždy existovat určitá skupina zaměstnanců, kteří z povahy své práce budou muset otevírat e-maily a klikat na přílohy a odkazy od neznámých odesílatelů. Např. personalisté a vedoucí pracovníci, kterým jsou zasílány životopisy a motivační dopisy, nákupčí a manažeři, kterým jsou zasílány obchodní nabídky od firem reagujících na vypsané výběrové řízení, obchodníci, na které se obrací s reklamacemi a požadavky stávající i potenciální zákazníci apod.
A o moc lépe na tom nejsou ani ostatní zaměstnanci, kteří mohou dostat e-mail od provozovatele informačního systému, který používají, od libovolného dodavatele, od agentury provádějící výzkum spokojenosti, a vůbec od jakékoliv organizace, se kterou v minulosti něco řešili anebo také ne.
Běžní zaměstnanci nemají vůbec tušení, s jakými všemi společnostmi jejich zaměstnavatel uzavřel smlouvu a tak v okamžiku, kdy jim přijde e-mail ohledně zaměstnaneckého průzkumu, nevyplněné docházky, absolvování kurzu bezpečnosti práce, školení řidičů, povinné zdravotní prohlídce, podání daňového přiznání, objednávky stravenek či možnosti čerpání nějakého benefitu, zvítězí jejich smysl pro povinnost a na odkaz nebo přílohu v e-mailu kliknou.
A nejinak je tomu i v případě emailu týkajícího se rozhovoru člena představenstva v nějakých novinách, úspěch firmy v soutěži a získání ocenění, informace o charitě a společenské odpovědnosti apod. Zde dochází ke značnému rozporu v přání managementu, kdy firma na jednu stranu chce, aby zaměstnanci neklikali na neznámé odkazy, a na stranu druhou chce, aby její úspěchy a ocenění v nejrůznějších soutěžích podpořili, lajkovali, sdíleli a komentovali.
Problém také je, že dost často ani zaměstnavatel neví, jaké všechny domény firma, se kterou uzavřel smlouvu o poskytování určité služby, využívá. A mnohdy to neví ani poskytovatel této služby, který využívá služeb dalších společností. Nelze si nepovšimnout, že při konzumaci služby dochází k řadě přesměrování a dost často legitimní e-mail přichází z adresy na zcela jiné doméně, než kam vede odkaz v e-mailu.
Kromě toho zde dochází již několik let k tzv. vícefázovému útoku, kdy útočník nejprve získá přístup k e-mailové schránce nějaké osoby v organizaci a teprve z ní pak osloví konkrétní osobu, o kterou má zájem. V takovém případě e-mail přichází z naprosto důvěryhodné adresy a v některých případech se může jednat i odpověď na e-mail, dané osobě.
V neposlední řadě pak dochází ke zneužití zranitelností nultého dne, kdy ani není nutné nějaká makra v dokumentech nebo spreadsheetech povolovat a stačí jejich pouhé otevření k tomu, aby došlo ke spuštění škodlivého kódu a k napadení.
Z výše uvedeného důvodu je nutné usilovat o bezpečnost v hloubce, která je založena na implementaci více bezpečnostních a to jak opatření organizační tak i technické povahy, a kde bezpečnostní osvěta představuje jen jednu z mnoha komponent.
Rovněž je nezbytné připustit i tu skutečnost, že k nákaze jednou stejně dojde, a pak bude nutné ji co nejdříve detekovat a zabránit dalšímu šíření a vzniku škod. A za tímto účelem je nutné mít zavedený nějaký cyber security incident management proces, ustanoven CSIRT tým a sepsány a otestovány tzv. incident response plány, zkr. IRP. A tomu bych se chtěl věnovat v některém dalším článku.
Štítky: phishing
K článku “Human firewall má své limity” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
