Ako by povedal kamarát ChatBot, „Výborná otázka“ 👍. Hlavne keď si uvedomíte pravdepodobný fakt, že úspešnosť testovacích kampaní osciluje okolo rovnakého čísla. Nehovoriac o tom, že pri penetračných testoch sociálneho inžinierstva to každého pol roka dopadne, no...
Je zaužívaným pojmom, že najefektívnejšou obranou proti phishingu je takzvaný ľudský firewall, teda vytrénovanie samotných používateľov predstavujúcich slabý článok bezpečnosti.
Tréningom a zvyšovaním povedomia vytvoriť zo zamestnancov internú kybernetickú armádu, nepreniknuteľnú líniu obrany!
No. Už na druhý pohľad sa to asi javí ako plán z B-čkového sci-fi filmu. Dokonca Zuzane z personálneho sa to tak javí už na prvý pohľad. V praxi tento plán totižto naráža na niektoré, možno nie úplne očividné fakty.
Ľudia nie sú stroje ani softvér
Nie sú to sériovo vyrábané homogénne jednotky. Každý je individualita či už povahou alebo prístupom k práci a bezpečnosti. Väčšina z nich sa v práci snaží len pracovať. A telefón či e-mail pre nich predstavujú len nutné nástroje na prácu, nie podstatu práce samotnej, ako to je často vnímané IT kolegami.
Je nezmyselné a zbytočné vysvetľovať kolegom koncept SPF a DKIM a požadovať po nich, aby si kontrolovali hlavičky e-mailov. Jednak je to práca mailového servera odmietať takúto očividne falošnú poštu a taktiež v prípade phishingu z falošnej alebo kompromitovanej domény budú tieto hlavičky korektné.
Podstatné však je, že ľudia pochopia závažnosť a dôležitosť problému len vtedy, ak im nebudete vysvetľovať, čo majú robiť, ale aj prečo to majú robiť. Koniec koncov, byť informovaný a vedieť rozoznať a odolať phishingu či iným formám sociálneho inžinierstva je zručnosť praktická nielen v pracovnom, ale aj súkromnom živote.
Ľudia nemajú strojové učenie
Ľudská pamäť je obmedzená a deravá. Kyberbezpečnostné školenia berú poväčšine ako nutnosť a ich vedomosti v tejto oblasti sa zriedkakedy kumulujú. S časom sa málokedy zvyšujú. Štúdie aj prax ukazujú, že vo výsledkoch v čase týždeň po školení či rok po nie je takmer žiadny rozdiel.
Šablóna, ktorá pre útočníkov fungovala v septembri, bude mať podobnú úspešnosť aj v decembri. Je len veľmi nepravdepodobné, že ak budeme bombardovať ľudí kampaňami a následne trestať školeniami tých, čo sa nechali nachytať, povedie k zlepšeniu. Skôr to povedie k zatrpknutosti voči bezpečnosti a demotivácii ľudí.
Ľudia majú rôznu náplň práce
V každej firme existujú rôzne oddelenia. A hoci generické kampane typu „musíte si zmeniť heslo“ či „kupón na kávu zdarma“ nezožnú veľký úspech, existuje dôvod, prečo útočníci cielia na konkrétne oddelenia.
Nikomu azda netreba opakovať, že „Nikdy neklikajte na prílohy v neočakávaných e-mailoch, hlavne od neznámych odosielateľov“.
Pre Zuzanu z personálneho je však presne táto definícia náplňou práce. Otvárať priložené životopisy a motivačné listy od nových kandidátov.
Od obchodníka Tomáša tiež nikto nemôže očakávať, že zrazu prestane otvárať pracovné ponuky. Alebo že na marketingu nebudú klikať na linky.
Je preto potrebné uvedomiť si tieto rozdiely už pri modelovaní hrozieb a následne podľa toho upraviť nielen prístup k školeniu, ale hlavne k protiopatreniam.
Schodným riešením pre dokumenty je napríklad konverzia do PDF formátu, v izolovanom prostredí, pred doručením do schránky (alebo s doručením mimo schránky).
Ak je z nejakého dôvodu potrebné pristúpiť k originálnemu dokumentu, tak napríklad v izolovanom či jednorazovom bezpečnom prostredí. V dnešnej dobe, keď sú virtualizácia a kontajnerizácia prítomné všade a dostupné všetkým, by bola škoda ich nevyužívať.
Ľudia sú zvedaví a emocionálni
Tak si predstavte, že váš „ľudský firewall“ ste vytrénovali na všetky tie globálne kampane a bizarné prílohy a čísla v dashboarde sú uspokojivo nízke. Vedzte, že len čo sa objaví mail s titulom Zmeny v politike dovoleniek, čísla pôjdu rapídne hore.
Emócie fungujú rýchlejšie ako logika. Keď logika dobehne emócie, býva už relatívne neskoro. Aby toho nebolo dosť, emócie sa potom ešte snažia brániť logickému kroku, ktorým je problém či podozrenie nahlásiť.
Našťastie otázka autenticity v internom prostredí ide vyriešiť relatívne jednoducho. Napríklad podpisovaním prostredníctvom S/MIME certifikátov. Nepodpísaná správa patrí ideálne rovno do koša.
Jednoduchým trikom je napríklad aj vytvorenie filtra v poštovom klientovi, ktorý vám triedi poštu na firemnú a externú. Okrem praktickosti spočíva trik v tom, že phishingové správy napodobujúce vašu firemnú doménu nikdy neskončia v schránke „firemné“.
Pre vás možno „l“ a „I“ vyzerajú rovnako, no filter „L“ a „i“ rozozná bez zaváhania. A pre domáce použitie je toto aj dobrý a praktický trik pre najpoužívanejšie e-shopy.
Ľudia sú rôzni
Spoločné však majú to, že na pozitívnu motiváciu väčšinou reagujú ľudia omnoho lepšie ako na negatívnu. Je preto dôležité vytvoriť v otázke phishingu a bezpečnosti celkovo pozitívnu atmosféru.
Ak je to možné, podporte zvedavosť a záujem ľudí. Počítačová bezpečnosť je, žiaľ, často vnímaná kolegami ako nutné zlo a prekážka v práci. A kolegovia z IT bezpečnosti majú povesť ako tí, „čo ich nikdy nevidieť a všetko len zakazujú“.
V takejto atmosfére sa nemožno čudovať, ak niekto nakoniec spustí reálny malvér v duchu s komentárom „veď čo, nech aj oni niečo konečne robia“.
Firemný bezpečák by mal byť človek, u ktorého máte istotu, že sa na neho môžete obrátiť s otázkami. Dokonca mu nahlásiť podozrivú aktivitu či mail a dostať „ľudskú“ odpoveď v rozumnom čase. A ešte vám za pomoc poďakuje.
Samozrejme, keďže nie všetci sme rovnakí, budú aj takí, ktorí nebudú spolupracovať nikdy. Chcú sa len sústrediť na prácu. Tí však pravdepodobne nebudú namietať, keď budú presunutí do špeciálnej skupiny s omnoho prísnejšími obmedzeniami.
Určite sa dá aj namietať, že existujú jedinci či dokonca celé tímy, na ktorých nebude fungovať iné ako „bič a hrôzovláda“. Otázka však je, či je naozaj potrebné takýchto ľudí v tíme mať.
Ľudia nie sú z cukru
Treba ich zoceliť. Školiť ľudí dokola na kampane typu 1,000,000 USD!!! a následne ich testovať scenárom Získaj hotdog zdarma! môže byť síce v zhode s reguláciami a legislatívnymi požiadavkami, ale pokojné spanie vám to určite nezaručí.
Ak by etickí hackeri dostali 10 centov vždy, keď pri dohadovaní scenárov zaznie fráza ako: „Ale nech to nie je príliš sofistikované, lebo to by určite nefungovalo“ alebo „Nech tam nie je veľký nátlak, aby z toho nemali stres“, mohli by si kúpiť minimálne ten hotdog.
Ako každé školenie či tréning, oboje je bez realistických scenárov iba taká detská hra na vojakov. Nie reálny ozbrojený konflikt. Rovnako je to s používaním časovej tiesne či iných foriem psychologického nátlaku, ako efektívnejšie adresáta donútiť konať. Objasnite im tieto techniky a následne ich vystavte takejto simulácii. Ak to neurobíte vy, urobí to za vás niekto iný. A nemyslím tým ľudí z telemarketingu.
Ľudia nie sú vždy ľudia
Útočníci neberú ohľad na duševné zdravie zamestnancov či ich pohodu. Ide im o výsledky. Použijú každú fintu, trik či techniku, ktorá im pomôže k úspechu. Phishingových kampaní bude časom iba pribúdať a budú sofistikovanejšie a dôveryhodnejšie. Budú omnoho viac cielené až personalizované na úzke skupiny a jednotlivcov.
Podvodné texty už nepíšu ľudia so zlou angličtinou a s automatickým prekladom do slovenčiny. Žijeme v dobe generatívnych AI. Vytvoriť cielený profil obete na základe verejne dostupných informácií, cielený e-mail v lokálnom jazyku a vo vašom profesijnom žargóne či falošný a naozaj funkčný portál nikdy nebolo jednoduchšie.
To isté však platí aj pre generovanie hlasu. Ten sympatický hlas, čo vám volá, je už len zriedkakedy ľudský. Stroje dnes dokážu byť presvedčivejšie ako ľudia. A hlavne umožňujú kampane omnoho viac škálovať, keďže vedia realizovať veľa hovorov paralelne.
Hybridné kampane, keď vám niekto pošle e-mail a následne zavolá, alebo opačne, aby dodal svojej správe na dôveryhodnosti a rozptýlil vašu pozornosť, sa stávajú bežnou realitou. Latka sa od čias správ typu Drahoušek zákazník! zdvihla vysoko. A dvíha sa rýchlo stále. Nezostáva nám nič iné, ako držať krok. Doba už jednoduchšia nebude.
Aj bezpečáci sú ľudia
Jednou z hlavných úloh pre ľudí z bezpečnosti by malo byť, aby boli vnímaní pozitívne ako spojenci. A tí potrebujú pomoc od svojich kolegov rovnako ako všetci. Bezpečáci by mali vysvetľovať, čo je dôvod a podstata obmedzení, byť dostupní pre otázky a vysvetliť dôležitosť nahlasovania podozrení na incidenty.
Ak robíte povinné školenia na tému phishing, lepšie ako mesačných nudných 20 minút je rozhodne každotýždenných 5 minút. Krátka zábavná prezentácia s ukážkami a otázkami od vášho zástupcu miestneho šerifa, čiže Security deputy J.
Ťažké realizovať? Áno. Náročné? Áno. Dobrý nápad? Azda áno.
Martin Hanic, etický hacker