14. nädal: Inimfaktor ja sotsiaalmanipulatsioon

Inimene on sageli IT-turvalisuse kõige nõrgem lüli. See võib kõlada karmilt, aga tõsiasi on, et ükskõik kui tugev on tulemüür, krüpteeringud või autentimissüsteemid, siis kui inimene teeb vea, võib kogu süsteem hetkega kokku variseda. Ründajad teavad seda väga hästi ja just seetõttu keskenduvadki nad sageli mitte niivõrd tehnilistele turvaaukudele, vaid inimesele endale. See lähenemine kannab nime sotsiaalmanipulatsioon (ingl social engineering) ja see tähendab, et rünnaku sihtmärgiks ei ole mitte arvuti, vaid inimese psühholoogia.

 

Paljud inimesed usuvad, et nad on liiga tavalised ja keegi ei vaevuks neid ründama ning ainult suured ettevõtted vajavad kaitset. Tegelikkuses ei huvita ründajat, kes sa oled, vaid kas temal on võimalik sinult midagi saada. Piisab sellest, kui sa töötad ettevõttes, millele rünnakut kavandatakse, või kui sul on ligipääs mõnele tundlikule süsteemile. 

Üks nutikas viis pääseda kinno, hotelli või kontorisse on maskeeruda kellekski teiseks. Kui inimene kannab näiteks ohutusvesti ja hoiab käes tööriistakasti või redelit, siis eeldatakse automaatselt, et tegemist on tehnikuga ning teda lastakse üldjuhul ilma pikema jututa sisse. Sellised olukorrad näivad pealtnäha tavalised ja tekitavad vähem kahtlust. Kuidas keegi reageerib, sõltub muidugi asutuse valvsusest. Mõnes kohas kontrollitakse hoolikamalt, teises aga võib märkamatult siseneda ilma et küsitaks, kes sa oled. Just nii sotsiaalmanipulatsioon töötabki: ründaja esitab end kas kellegi tuttavana või mingi muu spetsialistina, kes justkui peaks seal olema, esitab palju küsimusi, tekitab usaldust ja kasutab väikest hetkesegadust ära.

 

Mitnicki valem

Et end selliste manipulatsioonide eest kaitsta on abiks Mitnicki valem: tehnoloogia, koolitus, reeglid. Kui ükski neist kolmest lülist on nõrk, võib kogu turbesüsteem kokku variseda.

Pildil Kevin Mitnick

Tehnoloogia aitab, kuid ei lahenda kõike. Näiteks saab ligipääsu kaitsta kahe- või mitmetasemelise autentimisega, mis nõuab lisaks paroolile ka telefonikinnitust või biomeetrilist kinnitust. Samuti saab paigaldada jälgimissüsteeme, mis registreerivad kahtlased ligipääsud või annavad häire, kui keegi siseneb süsteemi ebatavalisel ajal või asukohast. Kuid isegi need vahendid ei pruugi aidata, kui ründaja pääseb süsteemi näiteks selle kaudu, et keegi jättis ukse lahti või logis sisse kellegi teise nime alt.

Seepärast mängib koolitus küberkaitses võtmerolli. Isegi parimad tehnilised lahendused jäävad jõuetuks, kui inimene ei oska neid õigesti kasutada. Kõige olulisem on teadlikkuse kasvatamine, et inimesed julgeksid kahelda, küsimusi esitada ja vajadusel “ei” öelda.

Lõpuks on oluline, et olemas oleks selged reeglid. Need ei ole loodud karistamiseks, vaid selleks, et töötajad teaksid täpselt, kuidas erinevates olukordades käituda. Kui on kindel juhis, et võõraid ei tohi kontorisse lasta, isegi kui nad tunduvad viisakad ja usaldusväärsed, on töötajal lihtsam keelduda ja oma otsust põhjendada.

 

Kokkuvõttes ei tähenda andmeturve ainult viirustõrjet ja tulemüüre. See tähendab mõistmist, et inimene on alati osa süsteemist. Inimeses peitub sageli suurim oht, aga ka suurim kaitse. Turvalisus eeldab, et tehnoloogia, koolitus ja reeglid toimiksid ühtse tervikuna. Kui need kolm on tasakaalus, siis muutub ka inimfaktor tugevaks lüliks, mitte riskiks.


Kasutatud allikad:

https://www.standaard.be/media-en-cultuur/amerikaanse-hacker-kevin-mitnick-overleden/40694420.html

https://purplesec.us/learn/social-engineering-awareness-training/

https://advisense.com/2025/03/17/human-factor-in-cybersecurity-social-engineering/

https://www.cisco.com/c/en/us/products/security/what-is-social-engineering.html

https://www.imperva.com/learn/application-security/social-engineering-attack/

https://hoxhunt.com/blog/social-engineering-training


Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

6 nädal

Kujutis
 Tööstusdisain Kõige paremini toimivaks peaks tööstusdisaini, sest erinevalt kasulikust mudelist, mille kriteeriumid võivad olla segased, on tööstusdisain selgelt määratletud. Tööstusdisain on toote välimuse kujundus, mis hõlmab näiteks selle kuju, mustreid, värve ja materjale. Tööstusdisaini süsteem töötab hästi, sest see kaitseb disainerite loomingut. Kui keegi loob uue ja erilise kujunduse, saab ta selle registreerida, mis tähendab, et teised ei tohi seda luba küsimata kopeerida. See motiveerib disainereid looma uusi ja põnevaid tooteid, teades, et nende töö on kaitstud. ​ Lisaks on tööstusdisaini kaitse tähtajaline, tavaliselt kuni 25 aastat. See tähendab, et pärast seda perioodi võivad teised seda kujundust vabalt kasutada, mis soodustab konkurentsi ja uute ideede teket. Võrreldes näiteks patentidega on tööstusdisainilahenduste registreerimine sageli kiirem ja vähem keerukas. Eestis saab tööstusdisainilahenduse registreerimiseks esitada avalduse koos selle koopiaga, mis l...
Lisateave

ARPANET ja email

Kujutis
  Arpanet kui interneti eelkäija Esimene test ARPANET-iga.    Arpanet loodi 1969. aastal, mille eesmärk oli luua      hajutatud sidevõrk ja tegemist oli Ameerika      Ühendriikide üleriigilise arvutivõrguga. Oluline oli, et ARPA suutis  toimida ka tuumasõja tingimustes. Esialgu ühendati omavahel neli arvutit, mis asusid USA erinevates piirkondades. Sealt sai võrk endale nime ARPANET.  Iga aastaga  suurenes võrgus olevate arvutite arv. Näiteks 1972. aastal oli võrgus juba 37 arvutit.  ARPANET-i ühendamisel teiste võrkudega umbes 1977. aasta paiku alustati ARPANET-i võrgu liitmist teiste võrkudega ja võeti kasutusele ühine nimi Internet.  Sellel ajaperioodil kuulus Internet veel rangelt ARPANET-i kontrolli alla ja oli seda kuni militaarse osa võrgust eemaldamiseni.  ARPANET-i masin.                                  ...
Lisateave

Jälgimiskapitalism ja digiaedik

Kujutis
Eesti on tuntud oma digiriigi poolest, kuid samal ajal on kasvanud ka andmete kogumine ja jälgimine. Internetis, meedias ja riigi e-teenustes jääb inimeste tegevusest maha suur hulk andmeid, mida tehnoloogiafirmad ja riik kasutavad. Jälgimiskapitalism  Kujuta ette, et sa käid poes ja keegi jälgib sinu käitumismustreid ning tooteelistusi. Seejärel müüb salapärane  jälgija need andmed kellelegi, kes omakorda tahab sulle rohkem asju müüa. See toimub ka internetis. Näiteks kui sa vaatad Youtube'i, siis vaatamiste eelistuste pealt kogutakse infot, mis sulle meeldib vaadata. Lihtsamalt öeldes, see ongi jälgimiskapitalism – suured firmad teenivad raha sinu kohta info kogumise ja müümisega.  Digiaedik  Digiaedik on nagu lõks, mis hoiab sind internetis teatud kohtades kinni. Oletame, et inimene tahab minna erinevatesse poodidesse, aga sind lastakse ainult ühte kindlasse poodi, kus müüakse kindlat sorti kaupa. Täpselt sama seos kehtib ka digimaailmas. Kasutades TikToki platvor...
Lisateave