Przegląd mediów

luty 2017

Przezorny ubezpieczony

2017-02-16  |  12:04
Przegląd mediów

Bezpieczeństwo informacji jest kwestią zasadniczą dla każdej firmy. Dotyczy to nie tylko z firm sektora IT, ale dla każdej organizacji, która ma do czynienia choćby z gromadzeniem danych osobowych. A takie dane zgodnie z ustawą nałożoną przez prawo, muszą być odpowiednio przechowywane i chronione (Dz. U. nr 133 poz. 883). Poza tym firmy mają swoje tajemnice, takie jak dane statystyczne, patenty, informacje na temat nowych technologii.

 

 

Aby dane te były bezpieczne, często stosuje się najlepsze, najdroższe i najbardziej zaawansowane technologicznie rozwiązania informatyczne mające na celu zapewnienie odpowiedniego poziomu bezpieczeństwa. Wynajmowane są najlepsze firmy ochroniarskie, do kontroli osobowej i fizycznego zabezpieczenia obiektów. Ostatnie lata przyniosły znaczną poprawę poziomu zabezpieczeń firm i organizacji gospodarczych. Bardzo trudno jest dokonać włamania do zabezpieczonego obiektu lub systemu komputerowego. Aby taki atak mógł się odbyć, trzeba mieć dostęp do odpowiedniego sprzętu, dysponować zdeterminowanymi ludźmi zdecydowanymi na ewidentne łamanie prawa. W związku z powyższym potencjalni „złodzieje tajemnic gospodarczych” wykorzystują znacznie łatwiejszy w dostępie, nieuważny i podatny na odpowiednie manipulacje, czynnik ludzki.

 

Zmanipulowany i osaczony

 

Czynnik ludzki jest piętą achillesową wielu systemów bezpieczeństwa. W związku z niedoskonałym działaniem człowieka, bezpieczeństwo często staje się iluzją. Jeżeli uwzględnimy takie cechy ludzkie jak, łatwowierność, naiwność i ignorancję, sytuacja dodatkowo się pogarsza. Najbardziej poważany naukowiec XX wieku, Albert Einstein, podobno powiedział, że: „Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności”. Człowiek staje się jeszcze łatwiejszym celem ataku, kiedy zostaje zmanipulowany przez odpowiednio do tego przygotowanego człowieka – specjalistę z zakresu tzw. socjotechniki.

 

Socjotechnika lub inżynieria społeczna, lub inżynieria socjalna (ang. social engineering) jest to ogół metod, środków i działań praktycznych zmierzających do wywołania pożądanych przemian w postawach lub zachowaniach społecznych. Socjotechnika może być rozumiana, jako autonomiczna dziedzina kultury lub socjologii, kształtująca tę kulturę lub/i społeczeństwo, jako formę inwencji i aktywności cywilizacyjnej. Występuje we wszystkich typach cywilizacji w roli czynnika stymulującego i organizującego układy i procesy kulturowe. Jednak, jako umiejętność skutecznego oddziaływania na innych, współcześnie socjotechnika wykorzystywana jest do skutecznego uzyskiwania informacji, szczególnie informacji wrażliwych dla państw, ale również różnego rodzaju organizacji gospodarczych. W jej skład wchodzą m.in. popularne ostatnio NLP czyli programowanie neurolingwistyczne, sprytne odwracanie uwagi ofiary, rozpraszanie jej uwagi przez nadmierną gadatliwość, czy też po prostu kłamstwo. Socjotechnik swoimi działaniami potrafi manipulować zachowaniami i decyzjami człowieka, a nawet i jego uczuciami.

 

Sztuczki wykfalifikowanego socjotechnika

 

Ataki socjotechników niekiedy bardzo proste, często bywają bardzo skomplikowane. Składają się wówczas z wielu kroków poprzedzonych gruntownym planowaniem, łączącym elementy manipulacji z wiedzą technologiczną. Wiele nieszkodliwie wyglądających informacji będących w posiadaniu firmy jest niezwykle cennych dla socjotechnika, ponieważ mogą one odegrać podstawową rolę podczas wcielania się w kogoś innego. Ludzie z natury ufają innym, szczególnie, kiedy prośba jest zasadna. Socjotechnicy używają tej wiedzy, by wykorzystać ofiary i osiągnąć swoje cele. Na przykład z pozoru nic nieznacząca informacja, że pani Ania Kowalska jest szefową działu kadr w pewnej firmie, nabiera swojej wagi, kiedy socjotechnik powołując się na panią Anię prosi inną osobę z tej firmy o wypełnienie i przesłanie na konkretny adres mailowy, szczegółowe ankiety z danymi pracowników. Ludzie, posiadający dar manipulowania innymi, zwykle cechują się bardzo „magnetycznym typem osobowości”. Przeważnie są to osoby rzutkie i elokwentne. Socjotechników wyróżnia też umiejętność rozpraszania procesów myślowych swoich rozmówców, co w efekcie prowadzi do szybkiego nawiązania współpracy z ofiarą ataku. Wcielenie się w rozmowie telefonicznej w “zamotanego” kuriera zawsze skutkuje zdobyciem prywatnego adresu ofiary (na który ma zostać dostarczona nieistniejąca przesyłka). Podszycie się pod pracownika GUS-u świetnie (bo na mocy ustawy) pozwala wyciągać dane dot. konfiguracji sieci komputerowej od niczego nieświadomych kadrowych i księgowych. Za pomocą odpowiednio zmodyfikowanego pliku PDF o nazwie “raport płacowy” można przejąć kontrolę nad komputerem pracownika. Ofiary często da się zmanipulować do tego stopnia, że same z siebie, niepytane podają hasła dostępowe do “chronionych zasobów” w firmie. Przykładowo, nieporadny monter zazwyczaj wzbudza litość, a ludzie z natury lubią przychodzić z pomocą, zwłaszcza, jeśli ma to przyśpieszyć pozbycie się kogoś, ktoś będzie im wiercić nad głową przez cały dzień.

 

Wg Kevina Mytnika, znanego amerykańskiego hakera i socjotechnika, który po odsiedzeniu wyroku, stał się popularyzatorem idei ochrony firm przed atakami socjotechnicznymi: „Człowiek wymyślił wiele wspaniałych rzeczy, które zmieniły świat i nasze życie. Jednak wraz z pojawieniem się kolejnej nowej technologii, czy to telefonów, czy komputerów, czy Internetu, pojawiają się nowe sposoby jej wykorzystania w nieuczciwych zamiarach. Nie myśl, że zabezpieczenia sieci i firewalle ochronią twoje informacje. Szukaj najsłabszego ogniwa. Zwykle okazuje się nim być człowiek.”

 

Typowymi celami ataku socjotechnicznego w firmie są:

  • osoby nieświadome wartości informacji, takie jak recepcjonistka, telefonistka, pracownicy administracji, pracownicy ochrony.
  • osoby posiadające specjalne przywileje, takie jak pomoc techniczna, administratorzy systemów komputerowych, operatorzy komputerów, administratorzy systemów telefonicznych, pracownicy działów księgowości i kadr,

a także

  • producenci sprzętu, oprogramowania, systemów poczty głosowej.

 

Socjotechnik zawsze działa według planu!

 

Początkowo prowadzone jest rozpoznanie, które może zacząć się od ogólnej analizy powszechnie dostępnych informacji, jak wyniki finansowe, katalogi, zgłoszenia do urzędu patentowego, wzmianki prasowe, artykuły w prasie fachowej, zawartość strony internetowej, a także zawartości śmietników.

 

Następnie socjotechnik nawiązuje kontakt z wybranymi pracownikami firmy. Następuje wówczas budowanie więzi i zaufania poprzez użycie wewnętrznych informacji, podawanie się za kogoś innego, wspominanie nazwisk osób znanych ofierze, zgłoszenie potrzeby pomocy lub zasugerowanie posiadania władzy.

 

Dalej należy wykorzystać zdobyte zaufanie. Najczęściej odbywa się to poprzez prośbę o informację lub działanie, skierowane bezpośrednio do ofiary, lub przez zmanipulowanie ofiary tak, aby sama poprosiła o pomoc.

Jeżeli uzyskana informacja jest tylko kolejnym krokiem zbliżającym napastnika do celu, wraca on do poprzednich kroków cyklu, aż do osiągnięcia sukcesu, czyli do uzyskania informacji docelowej.

 

Aby uchronić firmę i jej pracowników przed manipulacjami socjotechników, a w konsekwencji przed utratą cennych informacji, Mytnik zaleca prowadzenie treningów bezpieczeństwa, które powinny dotyczyć wszystkich jej pracowników, a w szczególności tych, którzy mają elektroniczny lub fizyczny dostęp do zasobów informacyjnych firmy.

 

Podczas treningów i szkoleń warto zwrócić uwagę pracowników firmy na to, że socjotechnicy w swoich działaniach często wykorzystują typowe metody, do których należą m.in.: udawanie pracownika tej samej firmy; udawanie przedstawiciela dostawcy, firmy partnerskiej lub agencji rządowej; udawanie kogoś, kto ma władzę, udawanie nowego pracownika proszącego o pomoc; udawanie przedstawiciela producenta systemu operacyjnego zalecającego pilną aktualizację; oferowanie pomocy w razie wystąpienia jakiegoś problemu; wysłanie darmowego programu do aktualizacji lub zainstalowania na komputerze; wysłanie wirusa lub konia trojańskiego w załączniku do poczty; przechwytywanie naciśniętych klawiszy za pomocą specjalnego programu.

 

Warto wiedzieć…

 

Podczas wspomnianych wyżej szkoleń pracownicy powinni być uświadamiani również, w jaki sposób rozpoznawać ewentualne ataki socjotechniczne. Do znaków ostrzegawczych, które powinny obudzić czujność pracownika firmy należą m.in.:

- odmowa podania numeru zwrotnego;

- nietypowa prośba;

- okazywanie posiadania władzy;

- podkreślanie pilności sprawy;

- grożenie konsekwencjami niepodporządkowania się prośbie;

- okazywanie niechęci w przypadku zadawania pytań;

- komplementy lub pochlebstwa;

- flirtowanie;

- używanie wewnętrznej terminologii i żargonu w celu zbudowania zaufania;        

- prośba do recepcjonistki o odebranie i przesłanie faksu dalej;

- prośba o transfer pliku do lokalizacji, która wydaje się wewnętrzna.

 

Wyszkolony pracownik to dobry pracownik

 

Aby ustrzec siebie i firmę przed atakami socjotechników, pracownikom zaleca się przede wszystkim weryfikację tożsamości osoby, która o coś prosi (czy jest tą, za którą się podaje?) oraz weryfikację, czy ma do czynienia z osobą uprawnioną (czy rzeczywiście jest uprawniona do otrzymania tej informacji?). Należy pamiętać, że przeszkolony personel lepiej poradzi sobie z wykryciem ataku socjotechnicznego, dlatego należy inwestować w szkolenia dla pracowników. Materiały szkoleniowe powinny być dostosowane do poszczególnych grup pracowników, ze względu na zajmowane stanowisko w organizacji.

 

Nie bez znaczenia jest również wprowadzenie w firmie lub innej organizacji gospodarczej klasyfikacji informacji ze względu na ich dostępność. Przeszkoleni pracownicy, mający świadomość wagi informacji chronionej w firmie i są uświadomieni, co do tego, komu i na jakich warunkach, mogą przekazać określony rodzaj informacji, są trudnym celem nawet dla profesjonalnych socjotechników.

Informacje dotyczące firmy lub przechowywane w firmie zwykle dzieli się na:

 

Publiczne – ogólnie dostępne. Przy ich przekazywaniu nie ma potrzeby weryfikacji osoby pytającej.

 

Wewnętrzne – dane do użytku wewnętrznego firmy. Przed ich przekazaniem:

  • zweryfikuj tożsamość osoby pytającej, jako zatrudnionej w firmie;

  • a w przypadku osoby z zewnątrz sprawdź istnienie zobowiązania do nie ujawniania tajemnic i zgodę kierownictwa.

    Prywatne – informacje natury osobistej, przeznaczone do użytku tylko w ramach organizacji. Przed ich przekazaniem:

  • zweryfikuj tożsamość osoby pytającej, jako zatrudnionej lub uprawnionej osoby z zewnątrz;

  • Zanim udzielisz informacji prywatnej, skonsultuj się z działem kadr.

    Tajne – udzielane tylko osobom z bezwzględną potrzebą wiedzy, w ramach organizacji. Przed ich przekazaniem:

  • zweryfikuj tożsamość osoby pytającej i potrzebę wiedzy (u właściciela danej informacji);

  • udzielaj informacji tylko wtedy, gdy posiadasz pisemną zgodę szefa, właściciela informacji lub jego przedstawiciela;

  • sprawdź istnienie pisemnego zobowiązania do zachowania tajemnicy;

  • tylko kadra kierownicza może udzielać takich informacje osobom niebędącym pracownikami firmy.

     

    Firma, której zależy na bezpieczeństwie informacyjnym oprócz regularnych szkoleń pracowników z zakresu przeciwdziałania atakom socjotechnicznym powinna wprowadzić bardzo rygorystyczne procedury dotyczące m.in. wspomnianej wyżej klasyfikacji informacji, a także procedury weryfikacji tożsamości osób kontaktujących się z firmą, procedury weryfikacji statusu osoby podającej się za pracownika firmy oraz procedury weryfikacji potrzeby wiedzy. W sprawdzeniach bezpieczeństwa systemów informatycznych firmy warto również wykorzystać tzw. testy penetracyjne lub kontrolowane włamania hakerskie, w których celowo wykorzystuje się elementy socjotechniki.

     

    Autor:

    Profesjonalny Wywiad Gospodarczy „Skarbiec” Sp. z o.o.

     

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Przeglądzie mediów”, których autorami są zarejestrowani użytkownicy (media)

Informacje z dnia: 16 lutego

Medium

Kalendarium

Patronaty medialne

Obsługa konferencji prasowych i innych wydarzeń

Agencja informacyjna Newseria realizując zleconą obsługę wydarzenia przygotowuje pełny zapis konferencji, a także realizuje wywiady z gośćmi i uczestnikami wydarzenia.

> Zobacz pełne informacje o naszej ofercie.

Dziś w serwisie Innowacje

Wirtualna rzeczywistość pozwala zobaczyć Warszawę w niezwykłej wersji: nietkniętą przez zniszczenia II wojny światowej

Rzeczywistość wirtualna oferuje wiele niezwykłych możliwości, ale jedną z najbardziej pobudzających wyobraźnię jest alternatywna wersja historii świata. „Wykreślona Warszawa” to właśnie projekt z kręgu VR, który pozwala zobaczyć, jak wyglądałaby stolica Polski w latach 40. ubiegłego wieku, jeśli nie dotknęłyby jej zniszczenia związane z II wojną światową. 

Przemysł

Decyzja o zakupie okrętów podwodnych w najbliższych tygodniach. MON wybiera między trzema ofertami

W przetargu na dostawę okrętów podwodnych oferty są trzy: francuska, niemiecko-norweska i szwedzka. Każda z nich ma swoje silne strony – podkreśla Jerzy Polaczek, poseł PiS i wiceprzewodniczący sejmowej Komisji Spraw Wewnętrznych. Jego zdaniem niemiecka oferta gwarantuje partnerstwo gospodarcze i polityczne, ale pod znakiem zapytania pozostaje kompletność oferty. Okręty mają być bowiem wyposażone w rakiety manewrujące, zdolne niszczyć cele w odległości kilkuset kilometrów. Na razie gwarantuje to tylko francuska stocznia. Kontrakt z Francuzami mógłby być nowym otwarciem we wzajemnych stosunkach po sprawie z przetargiem na helikoptery.

Regionalne - Wrocław

Polska przyciąga coraz więcej zagranicznych inwestorów. Szacuje się, że w ubiegłym roku napłynęło do kraju 50 mld zł

Inwestycje zagraniczne napędzają wzrost gospodarczy Polski. Szacuje się, że w 2016 roku napływ zagranicznych inwestycji bezpośrednich do Polski przekroczył 50 mld zł. Dużym beneficjentem jest m.in. Dolny Śląsk. Nowe inwestycje budują wizerunek Polski jako atrakcyjnego miejsca do inwestycji, wpływają też na rozwój poszczególnych regionów kraju. Choć dominuje u nas kapitał francuski i niemiecki, jednym z ważniejszych inwestorów stają się także kraje skandynawskie.

Patronat Newserii

Problemy społeczne

U blisko połowy chorych agresywny nowotwór tarczycy jest diagnozowany zbyt późno. Przyczyną jest niska świadomość Polaków

Z roku na rok zwiększa się zachorowalność Polaków na raka rdzeniastego tarczycy, także wśród ludzi młodych. Jest to jeden z bardziej agresywnych nowotworów tego organu. Wcześnie wykryty może być całkowicie uleczalny, jednak blisko połowa pacjentów zgłasza się do lekarza w zaawansowanym stadium choroby. Przyczyną jest niska świadomość na temat nowotworów tarczycy – znaczna część Polaków nie zdaje sobie sprawy z ich istnienia, nie wie też, jakie badania profilaktyczne należy wykonywać.

Bankowość

Zadłużeni we frankach szwajcarskich mają szansę na chwilę oddechu. Pod koniec roku waluta może kosztować ok. 3,5 zł

W ciągu ostatniego półrocza frank szwajcarski potaniał o ponad 7 proc. Od kilku tygodni balansuje na dolnej granicy przedziału, w którym porusza się od przeszło dwóch lat, czyli ok. 3,80 zł. Zdaniem Przemysława Kwietnia, głównego ekonomisty XTB, w sprzyjających okolicznościach za pół roku może osiągnąć niewidziany od uwolnienia franka poziom 3,5 zł. To dobra wiadomość dla kredytobiorców.

Finanse

Start-upy mogą liczyć na coraz większe wsparcie finansowe. To zwiększy ich szanse na sukces rynkowy

W Polsce działa ok. 2,7 tys. start-upów. Zdecydowana większość z nich, bo aż 73 proc., znajduje się na jednym z dwóch środkowych etapów rozwoju. Tylko 15 proc. jest na etapie ekspansji rynkowej. Liczba firm, które odnoszą rynkowy sukces, może być większa głównie dzięki dynamicznemu rozwojowi instytucji wspierających start-upy i większym możliwościom finansowania innowacyjnych przedsięwzięć.