A kiberbiztonsági tudatosság nélkül nincs védekezés

A napokban levelet kaptam a bankomtól. A borítékban egy hűtőmágnes volt, amin az állt, hogy legyünk óvatosak, ha online vagy telefonon bankszámlánkkal kapcsolatban keresnének. A mutatós hűtőmágnes mellett volt még egy levél is, ami csupa átverős (rém)történetet tartalmazott. Veszélyes időket élünk.

Az ember a leggyengébb láncszem

Rég elmúltak azok az idők, amikor a hackerek még unatkozó fiatalok voltak, akik azon versengtek, ki tud nagyobb, ismertebb cég rendszereibe bejutni. Akiket ma hackereknek becézünk, jellemzően kiberbűnözők, akik kárt akarnak okozni vagy adatokat akarnak lopni, zsarolni próbálják az áldozatokat. Az IT biztonsággal foglalkozó szakemberek sokáig kizárólag az informatikai rendszerek védelmére összpontosítottak. A támadások detektálása és meghiúsítása egyre komolyabb erőforrásokat emészt fel. Hiába azonban a legkorszerűbb védekezés, ha a felhaszálókban, a vállalat dolgozóiban nincs meg a kiberbiztonsági tudatosság.

A felhasználói viselkedés gyenge pontjai

A mai csalók mindig alaposan tanulmányozzák az emberi viselkedést, és annak gyenge pontjait használják ki a támadásaikhoz. Az offline világban a hagyományos  csalások mindig is az emberek manipulálhatóságán alapultak. Amikor azonban a számítógépek is bekerültek a képbe, a csalási potenciál hatványozódott. Ahhoz, hogy a számítógépek tömegesen használhatók legyenek az emberek számára, feltalálták az ember-számítógép interakció (Human-Computer-Interface – HCI) tudományágát. Az olyan cégek, mint az SRI International – az egér feltalálója -, olyan módokat nyitottak meg a számítógépekkel való interakcióra, amelyek az emberi viselkedést szorosan összekötötték a számítógép működésével. A HCI-kutatás a számítástechnika, a kognitív tudományok és az emberi tényezők (UX) egyesítését jelentette.

A HCI létfontosságú volt a számítástechnika humanizálásában, mivel lehetővé tette, hogy a kezelő (az ember) természetesebb élményt szerezzen a számítógép használata során, ami zökkenőmentesebb működést tesz lehetővé. Idővel azonban az ember és a számítógép közötti szoros kapcsolat a kiberbűnözés nyitott kapujává vált. Ahogy a HCI fejlődött – és ahogy az UI mérnökök olyan szintre emelték a felhasználói élményt, ahol a számítógépes felülettel való interakció szinte automatikus lett -, a felhasználó rosszindulatú manipulálása is egyszerűbbé vált.

Az emberi viselkedés: mi késztet minket kattintásra?

Az informatikai eszközök használatához bizonyos viselkedésformákat is elsajátítunk. A jobb felhasználói élmény kialakítása az informatika egyik olyan területe, ami olyan rendszerek tervezésén alapul, amelyek természetes viselkedéseket használnak, vagy amelyek elkerülik az olyan interakciókat, amelyek új viselkedéseket kell, hogy létrehozzanak. A számítógépek használata bizonyos megtanult viselkedésformáktól függ, például attól, hogy egy linkre kattintva megnyílik egy új weboldal. 

A felhasználói élmény (UX), a felhasználói utak és a felhasználói felület tervezése az ilyen viselkedéses kondicionálásra épül. Célja, hogy a technológia használatát könnyebbé és intuitívabbá tegyék. A UX-tervezők a pavlovi kondicionálás módszerét használják a felhasználói viselkedésminták kialakítására. Erre példa a visszajelzési mechanizmusok használata, például a linkek és gombok színének megváltoztatása a kattintás hatására.

A legtöbb számítógépes feladat fárasztó és repetitív. A berögzült automatikus kattintások segítik  a számítógépek intuitív használatát, ugyanakkor ezt használja ki a csalások többsége is. A nagy mennyiségű  beérkező információ miatt gyakran automatikussá válik a kattintás, ami megnehezíti azok alapos ellenőrzését; az időhiánnyal küzdő alkalmazottak a rendszeres feladatokhoz kapcsolódóan gondolkodás nélküli, a tanult viselkedésminták alapján nyithatnak meg egy emailt vagy kattintanak a linkekre. Ez a kondicionált viselkedés a kiberbűnözők álma. Ők az UI tervezőkhöz hasonlóan ugyanezt a pszichológiai kondicionálást használják ki, hogy a felhasználók az adathalász emailben automatikusan rákattintsanak egy linkre.

Viselkedésalapú kiberbiztonság

Ha a kiberbűnözők a pszichológia felé fordultak, a kibervédelemnek is ezeket az eszközöket kell használnia. Az új módszer a a viselkedéstudományt ötvözi a kiberbiztonsággal. Azt az elképzelést, hogy a humán tényezőt kell a kibervédelem középpontjába állítani, visszaigazolta a kiberbűnözők gyakorlata.

A pszichológia és a viselkedéstudomány széleskörűen elismert tudományos alapelveket kínál, amelyek alkalmazhatók a kiberbiztonsági tudatossági programokban, valamint a kibertámadásokkal szembeni intézkedések megtervezésében és kidolgozásában. E tudományágak egyesítésével a viselkedésalapú kiberbiztonság új területe jött létre. A viselkedéstudomány megkönnyíti a kockázatnak a viselkedéshez való hozzárendelését, és a különböző típusú alkalmazottak kockázatértékelésének megértését. Az eredmény a kiberbiztonság emberközpontú szemlélete, a viselkedésalapú kiberbiztonság.

Viselkedésalapú kiberbiztonsági és tudatossági programok

A kiberbűnözők pszichológia módszereinek kivédéséhez feltétlenül szükséges azok felismerése.
A korszerű kiberbiztonsági képzés fontos része a kiberbiztonsági tudatossági program, ami a legfontosabb pszichológiai alapelvekre épül.

Ezeknek a tréningeknek a legfőbb feladata, hogy a résztvevők elsajátítsák a kritikai gondolkodást, felismerjék a veszélyre figyelmeztető jeleket, képesek legyenek a betanult, automatikus működést tudatos gondolkodásra váltani.

IT security képzés – nem csak informatikusoknak

A Panor IT security képzése felkészíti kollégáit a kibertámadásokra. Megismerik ezek leggyakoribb formáit:

  • a social engineeringet – a manipuláción alapuló csalásokat
  • a malewareket
  • a zsarolóvírusokat
  • a jelszólopást

A képzést elvégzők a korábbinál könnyebben, hamarabb felismerik a kiberfenyegetéseket, jobban reagálnak rájuk, így biztonságosabbá válik saját és környezetük munkája.

Hogyan növelhető az email biztonság?

leadkép e-mail higiénia

Ma már az iMesage-től a Messengerig, a WhatsApptól a Signalig rengeteg online kommunikációs csatorna áll rendelkezésünkre, de az üzleti levelezés, külső és belső információk megosztásának legfontosabb eszköze még mindig az emal. Az elektronikus levelezés meglepően régi találmány, de használata igazából csak a 21. század első éveiben vált általánossá.

Régóta tudjuk, hogy ahol sokan megfordulnak, ott hamarosan megjelennek a bűnözők is. Nincs ez másképpen az online világban sem. Mára a spamelők, adathalászok, vírusterjesztők, zsarolóvírus-gyártók tömegesen fenyegetik az emailek biztonságát.

Fontos a felhasználói kultúra

Az email megjelenése és tömeges elterjedése óta több generáció is felnőtt, de még ma is csak kevesen tudják igazán, hogyan kell ez emailt használni. Az inkább csak bosszantó, hogy sokan nem ismerik a CC vagy a BCC címzés használatát, nem képesek megkülönböztetni az email üzenetet a történelmi regénytől, de az igazán nagy bajok az alapvető biztonsági követelmények mellőzésével történnek.

képregény

Email higiénia: alapvető követelmények

Az email higiénia, vagyis az email biztonsággal kapcsolatos legfontosabb tudnivalók röviden így foglalhatók össze: biztonságos jelszó, a spammerek kerülése és a túl szépnek tűnő ígéretek fenntartásokkal való kezelése. (Az utóbbihoz kategóriához tartozik az emailekben szereplő linkekkel és csatolmányokkal kapcsolatos fokozott óvatosság is.)

Biztonságos jelszavak

Érthető törekvés, hogy az emberek egyszerű, könnyen megjegyezhető jelszóval próbálják megúszni az azonosítást. Sajnos ez nem működik. Szakértők szerint a véletlenszerűen generált (kis- és nagybetűket, számokat és speciális karaktereket tartalmazó) legalább 14 karakter hosszú jelszavak csak a biztonságosak. Ezeket azután rendszeresen frissíteni kell, a korábbi jelszavak “újrahasznosítása” tilos!

Több faktoros azonosítás

Bár az MFA, illetve a 2FA (kétfaktoros azonosítás) sokáig jó megoldásnak tűntek, a Gmail fiókok elleni legújabb tömeges hackertámadás (a 2FA védelem megkerülése) is bizonyítja, hogy még ez, a sokáig bombabiztosnak tűnő módszer sem nyújt tökéletes védelmet a kiberbűnözők ellen. 

Az adathalász levelek felismerése

Egyre gyakoribbak “hivatalosnak” tűnő, látszólag pénzintézettől, adóhatóságtól vagy futárcégtől, valójában adathalászoktól érkező levelek. Megfelelő tréninggel, kis gyakorlattal ezek könnyen felismerhetők.

Linkek és csatolmányok óvatos kezelése

Az emailekben található linkek adathalász oldalakra vezethetnek, az ismeretlen eredetű csatolmányok pedig maleware-t tartalmazhatnak. Érdemes háromszor is meggondolni, hova kattintunk. Egy felelőtlen kattintás akár egy egész vállalati rendszert is megfertőzhet.

Email biztonság gépi segítséggel

Az e-mail higiénia megfelelő szoftverekkel is támogatható. A bejövő és kimenő e-mailek ellenőrzése, szűrése és biztonságos kezelése révén minimalizáljuk a fenyegetések lehetőségét. Ennek része az emailek hitelességének ellenőrzése, az ártalmas tartalmak szűrése. A Panor a Cisco, a Fortinet és a Microsoft erre a feladatkörre szakosodott szoftverei segítségével teszi biztonságosabbá a céges emailezést. Ezek integrált védelmet nyújtó megoldások a legújabb technológiákra építenek, mint például a gépi tanulás, a mesterséges intelligencia és a felhő alapú szolgáltatások.

A biztonságos emailezés tanulható

A jól megválasztott szoftverek biztonságosabbá eszik az emailezést, de nem védenek meg minden veszélytől. Fontos felhívni a kollégák figyelmét az emailezés veszélyeire, de a tapasztalat azt mutatja, hogy ez nem elég. Meggyőződésünk, hogy a kibertámadások kivédése nem kizárólag az IT-biztonsággal foglalkozó szakemberek feladata. A dolgozók képzése, a veszélyek tudatosítása és az alapvető védekezési / elkerülési stratégiák megtanulása bizonyítottan komoly eredményekkel jár.Te melyik jelszókezelőt használod?
Feleslegesek. Egy Post-ittel kiragasztom a monitorom szélére