IT Professional Security - ΤΕΥΧΟΣ 75

ESET Hellas
www.eset.com/gr
δεδομένα και υπάρχει μια τεράστια πιθανότητα να μειωθεί ο
κίνδυνος» παροτρύνει ο ειδικός από την ESET.
Τι είναι η εκπαίδευση για την ευαισθητοποίηση
στην κυβερνοασφάλεια;
Ίσως η λέξη «ευαισθητοποίηση» να μην περιγράφει ακριβώς
όλα όσα θέλουν να πετύχουν οι υπεύθυνοι ασφαλείας πληροφορικής
με τα προγράμματα εκπαίδευσης. Στην πραγματικότητα,
ο στόχος τους είναι να αλλάξουν οι συμπεριφορές
μέσω της εκπαίδευσης για το πού κρύβονται οι βασικοί κίνδυνοι
στον κυβερνοχώρο και ποιες απλές βέλτιστες πρακτικές
μπορούν να μετριάσουν τον κίνδυνο.
Στόχος αυτής της διαδικασίας είναι να ενδυναμώσει τους
υπαλλήλους ώστε να παίρνουν τις σωστές αποφάσεις γύρω
από τους κινδύνους κυβερνοασφάλειας. Ως εκ τούτου,
μπορεί να θεωρηθεί ως ένας θεμελιώδης πυλώνας για τους
οργανισμούς που επιθυμούν να δημιουργήσουν μια εταιρική
κουλτούρα security-by-design.
Γιατί είναι απαραίτητη η εκπαίδευση
ευαισθητοποίησης σε θέματα ασφάλειας;
Όπως κάθε πρόγραμμα εκπαίδευσης, ο στόχος είναι να ενισχυθούν
οι δεξιότητες του ατόμου ώστε να γίνει καλύτερος
στη δουλειά του. Στην προκειμένη περίπτωση, η βελτίωση
σε θέματα ασφάλειας όχι μόνο θα βοηθήσει το άτομο
να ανταπεξέλθει σε διάφορους ρόλους, αλλά θα μειώσει
και τον κίνδυνο μιας δυνητικά επιζήμιας παραβίασης της
ασφάλειας.
Η αλήθεια είναι ότι οι εταιρικοί χρήστες βρίσκονται στην καρδιά
κάθε οργανισμού. Αν πέσουν θύματα παραβίασης, τότε
μπορεί να πέσει θύμα παραβίασης και ο οργανισμός. Κατά
παρόμοιο τρόπο, η πρόσβαση που έχουν σε ευαίσθητα δεδομένα
και συστήματα IT αυξάνει τον κίνδυνο να συμβούν
ατυχήματα που θα μπορούσαν επίσης να επηρεάσουν
αρνητικά την εταιρεία.
Υπάρχουν διάφορες
τάσεις που
αναδεικνύουν την
επείγουσα ανάγκη
για εκπαιδευτικά
προγράμματα
σε θέματα
ασφάλειας:
Κωδικοί πρόσβασης: Τα στατικά
διαπιστευτήρια υπάρχουν
από τότε που υπάρχουν τα συστήματα
υπολογιστών. Και παρά τις εκκλήσεις των ειδικών
σε θέματα ασφάλειας όλα αυτά τα χρόνια, παραμένουν η πιο
δημοφιλής μέθοδος πιστοποίησης ταυτότητας χρηστών. Ο
λόγος είναι απλός: οι άνθρωποι γνωρίζουν ενστικτωδώς πώς
να χρησιμοποιούν τους κωδικούς πρόσβασης. Η πρόκληση
είναι ότι αποτελούν επίσης τεράστιο στόχο για τους χάκερ.
Αν καταφέρουν να ξεγελάσουν έναν υπάλληλο ώστε να παραδώσει
τους κωδικούς του ή αν μπορέσουν να μαντέψουν
αυτούς του κωδικούς, τότε συχνά δεν υπάρχει τίποτα άλλο
που να στέκεται εμπόδιο στην πλήρη πρόσβαση στο δίκτυο
της εταιρείας.
Σύμφωνα με εκτιμήσεις, πάνω από τους μισούς υπαλλήλους
στην Αμερική έχουν γράψει τους κωδικούς πρόσβασης
σε χαρτί. Οι κακές πρακτικές χρήσης κωδικών πρόσβασης
ανοίγουν την πόρτα στους χάκερ. Και καθώς αυξάνεται
ο αριθμός των διαπιστευτηρίων που πρέπει να θυμούνται
οι εργαζόμενοι, αυξάνεται και η πιθανότητα κακής χρήσης.
Κοινωνική μηχανική: Οι άνθρωποι είμαστε κοινωνικά πλάσματα.
Αυτό μας κάνει ευάλωτους στην πειθώ. Θέλουμε να
πιστεύουμε στις ιστορίες που μας λένε και στο άτομο που τις
αφηγείται. Αυτός είναι και ο λόγος για τον οποίο έχει τόσο
καλά αποτελέσματα η κοινωνική μηχανική: η χρήση τεχνικών
πειθούς, όπως η πίεση του χρόνου και η αντιποίηση
αρχής από τους κακόβουλους δράστες για να εξαπατήσουν
το θύμα και να το αναγκάσουν να εκτελέσει τις εντολές τους.
Η μέθοδος της κοινωνικής μηχανής έχει εφαρμογή πχ σε ένα
μήνυμα ηλεκτρονικού ψαρέματος (phishing), ένα μήνυμα
κειμένου (smishing) ή ένα τηλεφώνημα
(vishing), αλλά χρησιμοποιείται
επίσης και σε επιθέσεις
παραβίασης ηλεκτρονικού
ταχυδρομείου επιχειρήσεων
(BEC) αλλά
και σε άλλες απάτες.
Η «επαγγελματοποίηση»
του κυβερνοεγκλήματος:
Σήμερα οι φορείς απειλών
διαθέτουν ένα πολύπλοκο
και εξελιγμένο υπόγειο δίκτυο
σκοτεινών δικτυακών τόπων μέ-
security
47