IT skyrius gali pastatyti tvirtovę. Ugniasienės, šifravimai, monitoringo sistemos – viskas pagal geriausias praktikas. O tada Jonas iš pardavimų skyriaus paspaudžia nuorodą laiške „Jūsų sąskaita faktūra” ir viskas sugriūva.
Žmogiškasis faktorius – didžiausia spraga bet kurioje saugumo sistemoje. Ne todėl, kad žmonės kvaili, o todėl, kad jie žmonės: skuba, pavargsta, pasitiki, neįtaria.
Rytas prasideda nuo kavos ir phishing
Pirmadienis, 8:47. Darbuotoja atidaro el. paštą. 127 neperskaityti laiškai po savaitgalio. Greitai skanavo, trino, atidarinėjo. Vienas laiškas – nuo „Microsoft” – prašo patvirtinti slaptažodį. Nuoroda atrodo normali. Paspaudė, įvedė duomenis, tęsė darbą.
Iki pietų įmonės sistemose jau buvo pašaliniai svečiai.
Ši istorija – ne išimtis. Apie 91% kibernetinių atakų prasideda nuo phishing laiško. Ne nuo sudėtingo įsilaužimo, ne nuo pažangių technologijų – nuo paprasto apgaulingo laiško.
Slaptažodis ant monitoriaus
„Pas mus taip niekas nedaro.”
Tikrai? Paklauskite IT administratoriaus. Arba tiesiog praeitį pro biuro stalus po darbo valandų.
Lipdukus su slaptažodžiais randa beveik kiekvienoje įmonėje. Po klaviatūra, po pelės kilimėliu, ant monitoriaus rėmo. Kartais – Excel faile pavadinimu „slaptažodžiai.xlsx” ant darbalaukio.
Žmonės tai daro ne iš kvailumo – iš nevilties. Kai reikia prisiminti 15 skirtingų slaptažodžių, kurie keičiasi kas 90 dienų, atmintis kapituliuoja.
Sprendimas – slaptažodžių valdymo programa, kurią įdiegia ir palaiko IT skyrius. Bet kol jos nėra, lapeliai po klaviatūra klesti.
„Tik minutei” prijungtas USB
Darbuotojas rado USB atmintinę parkavimo aikštelėje. Smalsumas nugalėjo – įkišo į darbo kompiuterį pažiūrėti, kas viduje. Viduje buvo kenkėjiška programa.
Kitoje įmonėje vadybininkas parsisiuntė prezentaciją iš asmeninės atmintinės – toje pačioje atmintinėje miegojo virusas, kurį namuose sugavo vaiko žaidimai.
USB įrenginiai – vienas seniausių ir vis dar veikiančių atakų metodų. Profesionali serverio priežiūra apima ir tokių grėsmių valdymą – politikas, kurios riboja, ką galima jungti ir ko ne.
Bet pirmoji gynyba – darbuotojo sąmoningumas. Jei radai atmintinę – nunešk IT, ne į savo kompiuterį.
Kavos pertrauka su nepažįstamu
Rūkymo kampelis, pietų kavinė, liftas – vietos, kur žmonės atsipalaiduoja ir kalbasi. Kartais per daug.
„Ai, vėl tos IT problemos, niekaip neprisijungiu prie serverio…” „Taip, mūsų sistema sena, dar Windows 7 kai kur…” „Žinai, klientų duomenys vis dar toje senoje bazėje…”
Kas klausosi? Kartais – niekas. Kartais – žmogus, kuris šią informaciją panaudos.
Socialinė inžinerija remiasi ne technologijomis, o pasitikėjimu. Draugiškas nepažįstamasis, kuris „irgi dirba IT”, pokalbis apie bendrą problemą – ir staiga jis žino daugiau, nei turėtų.
Darbo kompiuteris atostogose
Vasara. Darbuotojas išvyksta atostogauti, pasiima darbo laptopą – „jei kas nors skubaus”. Prisijungia viešbučio WiFi. Pasitikrina laiškus kavos bare oro uoste. Atidaro dokumentus per nemokamą tinklą paplūdimyje.
Kiekvienas viešas WiFi – potencialus pavojus. Tai, ką siunčiate ir gaunate, gali matyti bet kas tame pačiame tinkle.
VPN – būtinas. Ne pasirinktinas, ne „jei nepamiršiu įjungti” – būtinas kiekvieną kartą jungiantis iš bet kur, kas nėra biuras ar namai.
Kai „pagalba” ateina telefonu
„Laba diena, čia Petras iš IT skyriaus. Turime problemą su jūsų paskyra, ar galėtumėte patvirtinti savo slaptažodį?”
Skamba profesionaliai. Kartais netgi žino jūsų vardą, skyrių, vadovo vardą – visa tai galima rasti LinkedIn.
Tikras IT skyrius niekada neprašys slaptažodžio telefonu. Niekada. Jei kažkas prašo – tai ne IT skyrius.
Kibernetinis saugumas prasideda ne nuo technologijų, o nuo žinojimo, kada sakyti „ne” ir kam pranešti apie įtartiną kontaktą.
Viena klaida – didelės pasekmės
Visa tai skamba kaip smulkmenos. Vienas paspaudimas, vienas lipdukas, vienas pokalbis.
Bet kibernetinės atakos retai būna dramatiški įsilaužimai. Jos dažniausiai – grandinėlė mažų klaidų, kurių kiekviena atskirai atrodo nekalta.
Darbuotojas paspaudė nuorodą. Įsilaužėlis gavo prieigą prie pašto. Per paštą pasiekė vidines sistemas. Per vidines sistemas – klientų duomenis. Per klientų duomenis – teisinius ieškinius, baudas, reputacijos žlugimą.
Viena klaida. Minutė neatidumo.
Ką kiekvienas gali padaryti
Sustoti prieš paspaudžiant. Ar laukiau šio laiško? Ar siuntėjas tikras? Ar nuoroda veda ten, kur sako?
Nešnekėti apie darbo sistemas su nepažįstamais. Net jei jie atrodo draugiški, net jei „irgi dirba IT”.
Pranešti apie įtartinus dalykus. Geriau pranešti dešimt klaidingų įspėjimų nei nutylėti vieną tikrą.
Naudoti VPN viešuose tinkluose. Visada.
Tai ne IT skyriaus atsakomybė – tai kiekvieno. Nes grandinė tokia stipri, kokia stipri jos silpniausia grandis.
O silpniausia grandis dažniausiai geria kavą kitoje stalo pusėje.
