Human firewall má své limity

Publikováno: 30. 01. 2021, v rubrice: Bezpečnost, autor: , zobrazeno: 707x

V boji s phishingem soustavně prohráváme a nic na tom nemění ani probíhající bezpečnostní osvěta zaměstnanců.

Snažíme se dostat pod kontrolu rozhodování zaměstnance, které on sám má pod kontrolou jen v jednotkách procent, protože ve většině případů jej zcela ovládají emoce.

Z výzkumu realizovaného jako opakovaný experiment v posledních několika letech v organizacích čítajících několik tisíc zaměstnanců vyplynulo, že se nám sice daří zvyšovat bezpečnostní povědomí, a spolu s ním dochází i k žádoucí změně chování, avšak ani to nemusí zdaleka stačit.

Byť s každou další iterací dochází ke snížení počtu těch, kteří špatně zareagují na zaslaný testovací phishingový e-mail, tedy že kliknou na odkaz anebo že otevřou přílohu, tak je nutné konstatovat, že tolik opěvovaný human firewall má bohužel jisté limity a snaha přiblížit se 0, tak může i s kvalitním bezpečnostním programem představovat značně ambiciózní cíl.

Rovněž poměr rozeslaných testovacích e-mailů k počtu nakažených pak může sloužit jen jako jedna ze zajímavých bezpečnostních metrik a rostoucí trend pak může poukazovat na vysokou úspěšnost zvoleného bezpečnostního programu a dobře vypadat i v předkládaném bezpečnostním reportu.

Nicméně v praxi se počet nakažených stále bude pohybovat v jednotkách procent, obzvlášť v organizacích zaměstnávajících několik tisíc zaměstnanců, ve kterých se běžná míra fluktuace pohybuje kolem 10 %, a kde i bezpečnostní povědomí v zásadě odpovídá Gaussovu rozdělení a najdeme zde jak extrémně paranoidní, tak i zcela lehkovážné jedince.

Je třeba si uvědomit, že stačí jeden jediný zaměstnanec, který se nezachová tak, jak by měl a na přílohu nebo link v e-mailu klikne a nakazí pak celou organizaci. V praxi samozřejmě nedojde k rozeslání škodlivého e-mailu na všechny zaměstnance, to by zafungoval antispamový filtr, ale je třeba si uvědomit, jak phishing funguje, a že vůči němu nejsou imunní ani bezpečnostní experti.

Musíme totiž připustit, že příjemce e-mailu, byť absolvoval nejrůznější bezpečnostní školení, se nezachová vždy racionálně. Dokonce se dá i říci, že čím více bude e-mail působit na jeho e-moce, tím nižší je pravděpodobnost, že chladné logické uvažování ustoupí zcela do pozadí a emoce pak příjemce e-mailu naprosto ovládnou. Ostatně tato skutečnost již byla opakovaně prokázána i v jiných oborech a není důvod, aby tomu zde bylo jinak.

Dále si musíme uvědomit, že v každé organizaci bude vždy existovat určitá skupina zaměstnanců, kteří z povahy své práce budou muset otevírat e-maily a klikat na přílohy a odkazy od neznámých odesílatelů. Např. personalisté a vedoucí pracovníci, kterým jsou zasílány životopisy a motivační dopisy, nákupčí a manažeři, kterým jsou zasílány obchodní nabídky od firem reagujících na vypsané výběrové řízení, obchodníci, na které se obrací s reklamacemi a požadavky stávající i potenciální zákazníci apod.

A o moc lépe na tom nejsou ani ostatní zaměstnanci, kteří mohou dostat e-mail od provozovatele informačního systému, který používají, od libovolného dodavatele, od agentury provádějící výzkum spokojenosti, a vůbec od jakékoliv organizace, se kterou v minulosti něco řešili anebo také ne.

Běžní zaměstnanci nemají vůbec tušení, s jakými všemi společnostmi jejich zaměstnavatel uzavřel smlouvu a tak v okamžiku, kdy jim přijde e-mail ohledně zaměstnaneckého průzkumu, nevyplněné docházky, absolvování kurzu bezpečnosti práce, školení řidičů, povinné zdravotní prohlídce, podání daňového přiznání, objednávky stravenek či možnosti čerpání nějakého benefitu, zvítězí jejich smysl pro povinnost a na odkaz nebo přílohu v e-mailu kliknou.

A nejinak je tomu i v případě emailu týkajícího se rozhovoru člena představenstva v nějakých novinách, úspěch firmy v soutěži a získání ocenění, informace o charitě a společenské odpovědnosti apod. Zde dochází ke značnému rozporu v přání managementu, kdy firma na jednu stranu chce, aby zaměstnanci neklikali na neznámé odkazy, a na stranu druhou chce, aby její úspěchy a ocenění v nejrůznějších soutěžích podpořili, lajkovali, sdíleli a komentovali.

Problém také je, že dost často ani zaměstnavatel neví, jaké všechny domény firma, se kterou uzavřel smlouvu o poskytování určité služby, využívá. A mnohdy to neví ani poskytovatel této služby, který využívá služeb dalších společností. Nelze si nepovšimnout, že při konzumaci služby dochází k řadě přesměrování a dost často legitimní e-mail přichází z adresy na zcela jiné doméně, než kam vede odkaz v e-mailu.

Kromě toho zde dochází již několik let k tzv. vícefázovému útoku, kdy útočník nejprve získá přístup k e-mailové schránce nějaké osoby v organizaci a teprve z ní pak osloví konkrétní osobu, o kterou má zájem. V takovém případě e-mail přichází z naprosto důvěryhodné adresy a v některých případech se může jednat i odpověď na e-mail, dané osobě.

V neposlední řadě pak dochází ke zneužití zranitelností nultého dne, kdy ani není nutné nějaká makra v dokumentech nebo spreadsheetech povolovat a stačí jejich pouhé otevření k tomu, aby došlo ke spuštění škodlivého kódu a k napadení.

Z výše uvedeného důvodu je nutné usilovat o bezpečnost v hloubce, která je založena na implementaci více bezpečnostních a to jak opatření organizační tak i technické povahy, a kde bezpečnostní osvěta představuje jen jednu z mnoha komponent.

Rovněž je nezbytné připustit i tu skutečnost, že k nákaze jednou stejně dojde, a pak bude nutné ji co nejdříve detekovat a zabránit dalšímu šíření a vzniku škod. A za tímto účelem je nutné mít zavedený nějaký cyber security incident management proces, ustanoven CSIRT tým a sepsány a otestovány tzv. incident response plány, zkr. IRP. A tomu bych se chtěl věnovat v některém dalším článku.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print
Související články:
  1. NGFW neboli firewall nové generace
  2. Spear phishing je cílený phishing, kterému se lze jen těžko bránit
  3. Tento e-mail byl kontrolován antivirem a neobsahuje virus, opravdu?
  4. Spear phishing test
  5. Základní bezpečnostní pravidla pro zaměstnance

Štítky:


K článku “Human firewall má své limity” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Témata
analýza rizik Android APT autentizace bankovní malware bezpečnostní incident buzzword BYOD cloud computing cybercrime DLP Flash GDPR hodnocení zranitelností HR hrozby informační bezpečnost internetové bankovnictví internetový marketing iOS IT governance IT náklady kryptografie kybernetická bezpečnost LinkedIn lámání hesel malware n-tier nové hrozby OTP phishing ransomware rizika rozhovor SEO smartphone socialní sítě strategický management tablety Testování SW Windows zranitelnosti zákon o kybernetické bezpečnosti řízení informační bezpečnosti řízení informačních rizik