Czy można rozpoznać sztuczki inżynierii społecznej

Uczestnicy konferencji Defcon 2010 (poświęconej zagadnieniom bezpieczeństwa IT) dowiedli, jak łatwo można wykraść dane korporacyjne - aby to zrobić, wystarczy o nie po prostu zapytać. Jeśli cyber-złodziej jest wystarczająco przekonujący, a na dodatek trafi mu się "zielony" pracownik, droga do poznania firmowych sekretów w zasadzie stoi otworem.

Krzysztof Kasperkiewicz, przedstawiciel firmy Dagma (dystrybutora produktów zabezpieczających IT), przypomina krążący wśród specjalistów ds. bezpieczeństwa dowcip, że inżynieria socjotechniczna nie działa wyłącznie na pracowników nieobecnych w firmie, których komputery pozostają odłączone od prądu. "Skuteczność socjotechniki nie zależy bowiem ani od systemu operacyjnego, ani od rodzaju komputera, ani nawet od liczby zastosowanych w sieci zabezpieczeń. Socjotechnika bazuje na ludzkiej naiwności, ciekawości, ignorancji, a nawet na potrzebie bycia docenianym" - ocenia. Te właśnie cechy bezlitośnie wykorzystują cyber-przestępcy, co czyni z ataków "social engineering" najgroźniejsze i najskuteczniejsze metody wyłudzenia informacji.

Pierwsze sygnały, że ktoś próbuje wobec nas zastosować socjotechniczne sztuczki, dotyczą sytuacji, w której jesteśmy pytani o sprawy nie związane bezpośrednio z naszymi kompetencjami.

"Jeśli przykładowy ankieter zapyta nas np. o typ serwera pocztowego wykorzystywanego w firmie w naszej głowie powinna zapalić się czerwona lampka" - mówi Kasperkiewicz. Przedstawiciel Dagmy radzi, że dobrze jest poinformować taką osobę o zakazie udzielania tego typu informacji i dodaje: "Jeśli w reakcji usłyszymy prośbę o odpowiedź lub kolejne pytania powiązane ze specyfiką sieci lub wykorzystywanymi aplikacji powinniśmy poprosić o imię i nazwisko naszego rozmówcy, jego stanowisko, numer telefonu i grzecznie zakończyć rozmowę obiecując kontakt zwrotny".

O całym zajściu należy następnie poinformować przełożonego.

Aby zminimalizować ryzyko skutecznego ataku socjotechnicznego, przedsiębiorstwa muszą przeprowadzać systematyczne szkolenia pracowników w zakresie obowiązujących reguł bezpieczeństwa i potencjalnych zagrożeń. Jest to jedyna skuteczna metoda ochrony przed socjotechniką - podkreśla Krzysztof Kasperkiewicz.

"Bardzo ważne, aby w takich szkoleniach brali udział wszyscy pracownicy bez wyjątku - nawet takie osoby jak portierzy, sprzątaczki czy praktykanci, którzy pozbawieni szkolenia mogą okazać się cennym źródłem informacji dla osób postronnych". Aby działania edukacyjne odniosły oczekiwany skutek, należy je regularnie powtarzać i aktualizować - przypomina przedstawiciel Dagmy.

Dobrym rozwiązaniem jest też takie zaprojektowanie architektury sieci firmowej i poziomów uprawnień, aby wrażliwe informacje niezbędne do pracy posiadała ograniczona liczba specjalnie wyszkolonych osób.