IT Professional Security - ΤΕΥΧΟΣ 32
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
I SSUE<br />
Wetware και Social Engineering<br />
κτυο του οργανισμού. Περιγράφει απλά τον άνθρωπο που χειρίζεται<br />
τον υπολογιστή ενός εσωτερικού δικτύου ο οποίος α-<br />
ποτελεί τη (νοητή) διασύνδεση με όλα τα υπόλοιπα δίκτυα (διαδίκτυο,<br />
σταθερή τηλεφωνία, κινητή τηλεφωνία, κοινωνικά μέσα,<br />
φυσικές κοινωνικές επαφές, κλπ). Το Wetware είναι αντίστοιχα<br />
κρίσιμο για την ασφάλεια του δικτύου όπως ακριβώς είναι το<br />
hardware και το software, αφού όλο το υλικό, λογισμικό, servers,<br />
συσκευές εισόδου/εξόδου, γραμμές σύνδεσης, συνδέονται α-<br />
ποκλειστικά με τους χειρισμούς και το μυαλό του χρήστη με το<br />
αντίστοιχο Username στο εσωτερικό δίκτυο. Σε γενικότερο ε-<br />
πίπεδο, το Wetware ως πληροφοριακός όρος έχει περιγραφεί<br />
«ως το management των ανθρώπων σε συσχετισμό με την θέση<br />
τους και τη λειτουργία τους στην κοινωνία».<br />
Οι πιθανότεροι στόχοι στην κοινωνική μηχανική είναι οι υπάλληλοι<br />
και τα στελέχη που βρίσκονται σε θέσεις στις οποίες διαχειρίζονται<br />
ευαίσθητες πληροφορίες. Ενώ οι ίδιοι αντιλαμβάνονται<br />
πλήρως τη συναίσθηση του καθήκοντός τους, αυτό δε<br />
σημαίνει απαραίτητα ότι κατανοούν και τους ψηφιακούς κινδύνους,<br />
αφού οι ίδιοι δεν είναι επαγγελματίες <strong>IT</strong>. Γνωρίζουν τη βάση<br />
εφαρμογής της πολιτικής ασφαλείας αλλά δεν είναι πάντα<br />
ενήμεροι για τη συνεχώς εξελίξιμη επιτυχημένη έννοια της ψηφιακής<br />
εξαπάτησης.<br />
Σημαντικός είναι επίσης ο κίνδυνος που μπορεί να προκύψει “από<br />
μέσα” από τους ίδιους τους υπαλλήλους μιας εταιρείας είτε<br />
εκούσια είτε ακούσια. Ο παράγοντας αυτός μας είναι γνωστό<br />
και από το φυσικό κόσμο, αφού μεγάλο ποσοστό κάθε ε-<br />
γκλήματος προέρχεται από τον ίδιο το γνωστό κύκλο του θύματος.<br />
Σε μελέτες που έχουν γίνει αποδεικνύεται ότι το 30% των<br />
παραβιάσεων ασφαλείας γίνεται από εξωγενείς παράγοντες.<br />
Αυτό σημαίνει ότι το υπόλοιπο 70% των παραβιάσεων ασφαλείας<br />
γίνεται από μέσα, δηλαδή τους υπαλλήλους που χειρίζονται<br />
το δίκτυο υπολογιστών της εταιρείας ή του οργανισμού ή<br />
ήταν πρώην (απογοητευμένοι και εκδικητικοί) υπάλληλοι της ε-<br />
ταιρείας στο άμεσο προηγούμενο χρονικό διάστημα.<br />
Πληροφοριακή Κουλτούρα (Απλών Χρηστών<br />
και Διαχειριστών Δικτύου)<br />
Η πληροφοριακή κουλτούρα, ένας σημαντικός παράγοντας της<br />
κοινωνικής μηχανικής, ως ένα βαθμό αντανακλά το επίπεδο εκπαίδευσης<br />
που έχει το σύνολο ενός λαού, συνόλου ή ομάδας<br />
υπαλλήλων. Αντανακλά το επίπεδο επιμόρφωσης του προσωπικού<br />
/υπαλλήλων στην φιλοσοφία της ασφάλειας του εσωτερικού<br />
δικτύου του οργανισμού καθώς και στην έννοιας της πληροφορίας<br />
για τον οργανισμό. Ο υπάλληλος ως τελικός απλός<br />
χρήστης του εσωτερικού δικτύου μεταμορφώνεται σε βασικό<br />
(δια)χειριστή της ασφάλειας του δικτύου του οργανισμού, όσον<br />
αφορά τη διαθεσιμότητα αυτής της πολύτιμης, για τον οργανισμό<br />
εγκατάστασης, χωρίς όμως, πολλές φορές να διαθέτει το<br />
απαραίτητο υπόβαθρο για την υποστήριξή της. Σε τοπικό επίπεδο<br />
χρήστη ο ανθρώπινος παράγοντας περνάει στις περισσότερες<br />
περιπτώσεις σε δεύτερη μοίρα όσον αφορά την εκπαίδευση<br />
περί ασφάλειας υπολογιστικών συστημάτων.<br />
Οι νεαρότερες ηλικίες, ακόμα και αυτοί που είναι περισσότερο<br />
εξοικειωμένοι με καθημερινές ηλεκτρονικές συναλλαγές καθώς<br />
και ηλεκτρονικά gadgets, διατηρούν στην αίσθηση τους ότι είναι<br />
ασφαλείς μόνο με ένα firewall και ένα antivirus. Ακόμα και<br />
σ’ αυτές τις ηλικίες, όπου το κινητό τους τηλέφωνο ξεπερνά τις<br />
δυνατότητες ενός διπήρυνου home pc, δεν παραλείπονται τα<br />
κενά ασφαλείας. Η ελεύθερη επικοινωνία με φίλους, γνωστούς<br />
και αγνώστους σε κοινωνικά μέσα όταν οι ίδιοι εργάζονται σε<br />
ευαίσθητους τομείς οργανισμών, ή, ακόμα και η αδυναμία τους<br />
να καλύψουν τα κενά ασφαλείας καταδεικνύουν τη χαμηλή α-<br />
ντίληψη των αρχών της πληροφοριακής ασφάλειας.<br />
Ο διαχειριστής ασφαλείας (administrator) ενός δικτύου μιας ε-<br />
πιχείρησης/οργανισμού, δεν είναι πάντα ο μόνος υπεύθυνος<br />
για την απώλεια ευαίσθητων πληροφοριών. Πιθανότατα, όμως,<br />
συγκαταλέγεται πάντα στους συνυπεύθυνους, αφού στις αρμοδιότητες<br />
του συγκαταλέγεται και η εκπαίδευση του προσωπικού<br />
και η αναβάθμιση της πληροφοριακής τους κουλτούρας που πολύ<br />
συχνά παραλείπεται. Η νοοτροπία της ομάδας διαχείρισης<br />
ασφαλείας στην συμπεριφορά ως “computers geeks υψηλού<br />
προγραμματισμού” απέναντι όλων των απλών υπαλλήλων και<br />
χρηστών είναι ασφαλώς παρωχημένη. Όπου αυτή εφαρμόζεται<br />
πιθανόν καταδεικνύει τη χαμηλή πληροφοριακή επιμόρφωση<br />
της ίδιας της ομάδας. Η ομάδα οφείλει να προστατεύει τον<br />
οργανισμό μέσω του hardware, software αλλά και του malware.<br />
Σε καμία περίπτωση δεν δρα μεμονωμένα, γιατί με τον τρόπο<br />
αυτό το προσωπικό και ο κάθε υπάλληλος μεμονωμένα καθίσταται<br />
ο πιο αδύναμος κρίκος στην ασφάλεια των υπολογιστικών<br />
συστημάτων.<br />
Για την εξέταση της πληροφοριακής κουλτούρας του ελληνικού<br />
κοινού αποτελεί ιδιαίτερη πρόκληση η μικρή ανάλυση της σημερινή<br />
τεχνολογικής διείσδυσης του ελληνικού πληθυσμού στις<br />
τεχνολογικές εφαρμογές. Η πληροφοριακή κουλτούρα με την<br />
34 | security
Change language