Više puta do sada smo čuli da najranjiviju komponentu određene kompanije čine ljudi. Kompanije i organizacije koje su svesne značaja koji ljudi u njihovom okruženju imaju, znaju da i pored svih atraktivnih ponuda koje nude i zbog kojih se razlikuju na tržištu od svoje konkurencije, da su upravo ljudi koji su tu zaposleni ono što će napraviti razliku. Samim tim, tu odgovornost koju zaposleni nose sa sobom prati još jedan aspekt, a to je da su upravo oni ti koji su najranjiviji i koje je potrebno zaštiti isto onako kako se trudimo da sačuvamo osetljive podatke u digitalnom svetu.
Socijalni inženjering je tema koja je poslednjih godina počela da zauzima sve više prostora u stručnoj literaturi i to sa punim pravom. Da se za početak podsetimo šta je to suština socijalnog inženjeringa.
Merriam Webster’s dictionary definiše socijalni inženjering kao “manipulacija čovekom u skladu sa njegovim mestom i funkcijom u društvu”
“Upravljanje čovekom” ili danas mnogo poznatiji izraz, manipulacija, nije nešto što datira od skora. Iako se o samom pojmu nije toliko govorilo ranije i nije bilo toliko tekstova na temu “kako prepoznati manipulatora”, smatra se da je to jedan od najstarijih načina dostizanja cilja u međuljudskim odnosima. Manipulacija je upravo ono što čini temelj socijalnog inženjeringa.
Ljudi koji se koriste ovom metodom su i te kako svesni da se od svih drugih malicioznih programa, ukoliko smo na adekvatan način razmišljali o mogućim rizicima, zaposlili stručne ljude u IT sektoru, možemo donekle zaštiti. Međutim, kad je reč o ljudima, teže je uspostaviti ono što bi u digitalnom svetu predstavljalo “antivirus”. Najbolji antivirus koji za sada imamo jeste edukacija.
Dve glavne komponente koje nas čine podložnim socijalnom inženjeringu su upravo neznanje, ali i psihosocijalni faktori. Ova metoda se oslanja na neke prirodne ljudske karakteristike koje su prisutne kod najvećeg broja ljudi, kao što su: želja da se pomogne drugima, strah od autoriteta, radoznalost, validacija, odnosno društvena potvrda, a nekada to mogu biti i razlozi kao što su loša materijalna situacija itd.
Prvi primer koji je ovde naveden, želja da se pomogne drugima, koji u svojoj osnovi ima najbolju moguću nameru, sa sobom može doneti puno posledica sa kojima nijedna kompanija ne želi da se susretne.
Zamislimo situaciju gde je poslodavac obučavao svog zaposlenog da klijentima izlazi u susret i da bude maksimalno predusretljiv, a sve naravno u cilju ostavljanja što boljeg utiska, gde se taj zaposleni susreće sa novim klijentom, to jest licem koje nad njim vrši socijalni inzenjering, a da on toga nije ni svestan, radeći ono što mu je nadređeni rekao. Nesvesno može odati informacije koje će napadaču biti od ključnog značaja da sprovede svoj napad u delo.
Kada uzmemo u obzir i činjenicu da se druga faza socijalnog inženjeringa, faza napada, sastoji od tri komponente : 1. Razvijanje odnosa; 2. Eksploatacija odnosa; 3.Ostvarivanje cilja napada, i više je nego jasno da edukacija o ovoj temi ne sme izostati ukoliko želimo u potpunosti zaštiti kako poverljive informacije u kompaniji tako i imidž poslovanja. Jer će upravo odnos između napadača i njegove provobitne mete odrediti dalji tok razvoja situacije.
Edukaciji zaposlenih svakako moraju da prethode normativne i fizičko- tehničke mere, dok edukacija zaposlenih i njihova svest o bezbednosti, koja ne sme izostati, bude nešto što će upotpuniti preventivne mere za ovu vrste pretnje.
Politika bezbednosti kao glavni dokument mora postojati i u sebi sadržati sve gorepomenute mere. Takođe, ona pruža jasnu sliku o tome koji nivo bezbednosti je potreban organizaciji.
U svrhu zastite, nema potrebe da svi zaposleni budu upoznati sa celokupnim dokumentom, već samo sa onim delovima koji se odnose na deo posla koji obavlja određeno lice.
Edukacija koja se toliko spominje je važna i zbog još jednog razloga. Napadači socijalni inženjering ne sprovode samo u okviru radnog mesta određene kompanije, već, pored digitalnog prostora, koriste i svaki drugi prostor gde mogu doći do informacija koje im mogu biti korisne, pa tako recimo koriste okupljanja firme na određenim proslavama, prostore ispred radnog mesta koje zaposleni koriste na pauzama… Zato je važno imati svest o tome i van radnog mesta jer neke od tehnika koje se koriste su: prisluškivanje na javnim mestima, gledanje preko ramena kao i pregledanje otpada. Učenje i prevencija zaposlenih je od neprocenjive važnosti kada govorimo o ovom problemu.
Čuvajte se socijalnog inženjeringa: Najopasnije moderne prevare
Za kraj – možemo ulagati u kvalitetne antivirusne programe i proaktivne mere, ali ako nismo obezbedili onu glavnu, a to su ljudi, sav trud može biti uzaludan ukoliko zaposleni svojom nepažnjom oda informaciju koju nije smeo ili olakša napadaču dolazak do nje.
Tako da bi bilo dobro pažnju posvetiti i edukaciji, koja je najbolji antivirusni program kad je reč o socijalnom inženjeringu.
Do nas je da li će naši zaposleni biti naša proaktivna mera ili prevelika cena koju ćemo platili.