Az emberi tényező, mint biztonsági kockázat kardinális kérdés a szervezetekben. Ám a virtuális tér veszélyeit teljesen máshogy érzékeljük, mint a fizikai valóságét, erről pedig nem mi tehetünk, hanem a bennünk futó több millió éves program.
Az emberek az élet sok területén nem azt teszik, ami jó lenne nekik, számos esetben még az ismert kockázatokat is figyelmen kívül hagyják. A növekvő mértékű online veszélyek miatt ráadásul nem csak a fizikai, de egy virtuális világ kockázataira is figyelnünk kell. Rengetegszer kerül szóba a „tudatos internethasználat”, hogy mennyire fontos a felhasználók edukálása, de a sikeres zsarolóvírus-támadások, adathalász-akciók is mutatják, rengetegen bedőlnek a kiberbűnözők olyan pszichológiai módszereinek, amik egyébként elkerülhetők lennének. A problémát nem egyszerű megoldani, és az is nehezíti, ahogyan emberként be lettünk huzalozva.
Amikor megfelelő reakciókat keresünk egyes fenyegetésekre, egy 200 millió éves agyra támaszkodunk. A védekezési mechanizmusaink kialakulását az agyunk fejlődése során olyan veszélyek befolyásolták, amelyeket láthattunk és érezhettünk. Amikor kiberbiztonsági kockázatról és incidensek következményeiről beszélünk, már nincs látható, érezhető veszély. Emiatt a megfelelő viselkedés kiválasztása is elakadt – magyarázta Peter Coroneos, a kiberbiztonsági tanácsadók hálózatának (CyAN) nemzetközi alelnöke az Informatikai Biztonság Napja (ITBN) konferencián.
Coroneos szerint a tudatosság és a viselkedésbeli változás közötti kapcsolat a kockázati cselekvés és a kockázat következménye közötti közelség hiányának függvénye. Tényező tehát, hogy az evolúciós nyomás hogyan alakította ki a válaszunkat a különféle fenyegetésekre – ezért van, hogy az online térben kevésbé érzünk veszélyt. Sokkal nehezebben megfogható dologról van szó: míg például egy kanyarodó buszt egyértelműen elkerülünk, addig visszafogottabb reakciónk van egy vírust tartalmazó csatolmányra, ami a bankkártya-adataink ellopását teszi lehetővé.
Coroneos szerint ez is rávilágít arra, hogy amikor az online tudatosság fejlesztése kerül szóba, mélyebben mögé kell nézni a dolgoknak.A kibervilág a valódi világ analógiája, de jóval szegényesebb változatban, mivel nem érvényesül benne a kockázat/következmény dinamika, ha baj történik, az nem látható és nem egyértelmű.A szakértő szerint ez megmagyarázza azt, hogy egyesek miért adnak meg érzékeny személyes adatokat a közösségi médiában, miért használnak gyenge jelszavakat, vagy kattintanak rá adathalász levekre.
Korábban Keleti Arthur, az Informatikai Biztonság Napja (ITBN) konferencia ötletgazdája és szervezője, kiberbiztonsági szakember is hasonlóan nyilatkozott erről lapunknak adott interjújában.
„Én nem hiszek abban, hogy az emberek alapvető gondolkodását át tudjuk programozni. Vannak, akik fogékonyabbak arra, hogy észrevegyék a biztonsági problémákat, míg mások kevésbé. A fizikai térben lévő veszélyt az emberek értik, de a logikai tér, az internet olyan absztrakció, ami nem kézzelfogható, és amit nehezen tudunk elképzelni. A kibertérben más magatartást kéne tanúsítanunk, ami még nem fejlődött ki”
– mondta el akkor Keleti.
A természetünk is ellenünk van
Az internetezőket nem szabad egy homogén csoportként kezelni, figyelmeztet Coroneos. Korábban több tanulmány is rávilágított, hogy tizenéves korban például olyan átrendeződések mennek végbe az agyban, ami felelős a túlzott kockázatvállalásért és az alkalmatlan válaszreakciókért. Mivel a kockázatkereső magatartás kvázi bele van programozva a serdülőkbe, fogékonyabbak a hirtelen impulzusokra, miközben felnőtt korban könnyebben old meg az agy egyes feladatokat. A dolgot nehezíti, hogy vannak olyan emberi adottságok, amik szintén kihasználható sérülékenységeknek számítanak, ezért a kiberbűnözők is építenek rájuk elsősorban pszichológiai vonatkozású csalásokat. Coroneos az alábbiakat sorolja:
- FOMO (a kimaradás félelme),
- az idő nyomása,
- a rövid figyelem,
- az információs túltöltöttség,
- a kíváncsiság,
- az unalom.
A tényezők közül kiemeli a kibertérrel kapcsolatos fáradtságot, túlterheltséget, mint a legsúlyosabb problémát. Mivel folyamatosan összeköttetésben élünk, sok időt töltünk a kijelzők előtt, így rengeteg információ és inger bombázza az agyunkat. A koronavírus-járvány alatti bezártság, a távmunka, a fokozott mentális stressz erre csak rátett egy lapáttal. Miután az agyunk ezek feldolgozásával küzd, könnyebben hozunk rossz döntéseket, és mivel már telítődtünk a rengeteg információval, nehezebben mérlegelünk a kibertérben is.
Az emberi tényező, mint biztonsági kockázat a szervezeteknél is kardinális kérdéssé vált, mivel a kibertámadások egyre nagyobb károkat okoznak és egyre költségesebbek, ami egyenes következménye annak, hogy rohamosan nő a digitalizáció, az adatokra és az IT-rendszerekre való támaszkodás. Az Allianz 2020-as kockázati barométere szerint világszinten a kiberbiztonsági események vezetik a legjelentősebb üzleti kockázatok rangsorát, csak utána jön az üzletmenet megszakadása.
Az FBI becslései szerint csak 2018-ban az amerikai vállalatok több mint 2,7 milliárd dollár veszteséget könyvelhettek el a kibertámadások miatt, ideértve az üzleti e-mailek feltöréséhez (BEC) és e-mail fiókok feltöréséhez (EAC) kapcsolódó jogosulatlan pénzátutalásokat is, amelyek önmagukban 1,2 milliárd dollárt tesznek ki.
Ahogy a zsarolóvírusok esete is mutatja, elég egy óvatlan felhasználó, aki láncreakciót indít el a cégen belül, ezzel veszélybe sodorva a szervezet hálózatát. A hackerek tisztában vannak azzal, hogy minden védelmi rendszer leggyengébb pontja az ember, erre építenek a social engineering (pszichológiai manipuláció) támadási módszerek. A módszerrel a kiberbűnözők a felhasználókat oly módon manipulálhatják, hogy az áldozatok ne tartsák be a biztonsági vagy egyéb üzleti folyamatok protokolljait, és így teret engedjenek a káros tevékenységeknek vagy érzékeny információk kiszivárogtatásának – írja az ESET biztonsági cég.
A pszichológiai befolyásolás az a fajta támadás, amikor a kiberbűnöző nem a technológia sebezhetőségeit használja ki egy-egy támadás során, hanem az emberi befolyásolhatóság a fő fegyvere. Ezek közé tartoznak azok a tömegesen kiküldött kéretlen üzenetek, amik szintén manipulatív jellegűek. Vagy az adathalász-levelek, amelyekben a bűnelkövető megbízható személynek vagy szervezetnek adja ki magát annak érdekében, hogy bizalmas információkat csaljon ki az áldozattól. Az ilyen típusú csalások egyik jellemző eleme a sürgetés, de akár ijesztő taktikákat is alkalmaznak, hogy az áldozatot rákényszerítsék a támadó kéréseinek teljesítésére. Az adathalászkampányok célpontjában egyaránt állhatnak nagyszámú, általános felhasználói csoportok, vagy egy konkrét áldozat, esetleg áldozatok.
Coroneos szerint, mivel az eddigi módszerek, belsős tréningek nem eléggé hatékonyak, erőteljes fordulatnak kellene jönnie a kiberkockázat menedzsmentben – vissza kell térni az emberi viselkedés alapjaihoz.
„Nem azt mondom, hogy minden internet-felhasználónak MRI-re kéne kötni az agyát. Inkább azt mondom, hogy ne nézzük homogén csoportnak a népességet, és egyes csoportokat olyan módszerekkel célozzunk meg, amik tudományos alapokon nyugodva hatékonyak. Sokkal több és alaposabb kutatásra van szükségünk a kiberkockázatban.”
A vállalatoknál természetesen emellett elengedhetetlen az alkalmazottak rendszeres kiberbiztonsági képzése, a gyenge jelszavak kiszűrése, a többrétegű végpontvédelem.
Forrás: 24.hu