14: Andmeturveː tehnoloogia, koolitus ja reeglid

 Sotsiaalmanipulatsioon rakendamine?

Andmeturbe maailmas on levinud ütlus, et keti tugevuse määrab selle kõige nõrgem lüli. Kevin Mitnick, endine häkker ja praegune turvaekspert, on korduvalt rõhutanud, et selleks lüliks on peaaegu alati inimene. Kui tehnilised süsteemid muutuvad üha keerukamaks, siis ründajad tihti ei raiska aega tehnoloogias aukude otsimisele, vaid veenavad kedagi neile lihtsalt värava avama. See ongi sotsiaalmanipulatsioon (social engineering).

Mitnicki valemi järgi on turvalisusel  korrutis kolmest komponendist: tehnoloogia, koolitus ja reeglid.

Tehnoloogia ehk filtreerimine ja piiramine

Sotsiaalmanipulatsioon ründab otse inimpsühholoogiat, tehnoloogia saab pakkuda olulist toetust selle vältimaks.

  • Mitmetasemeline autentimine: Isegi kui pettur meelitab kasutajalt välja parooli, on tal ilma teise faktorita ligipääs võimatu. Kõige popularsemad on mobiiliäpi kinnitus ja/või SMS. Eestis selleks on tehtud riiklik autentimissüsteem SmartID, mida haldab RIA.
  • Nutikad filtrid: E-posti filtrid, mis tuvastavad "õngitsemise" mustreid ja hoiatavad kasutajat, kui kiri saabub väljaspoolt organisatsiooni või sarnaneb tuntud petuskeemidele. Seda kasutatakse peaaegu igas e-posti teenust pakutavas keskkonnas. Neil on ka valehäired, mille tagajärjel enamasti leiad kirju üldiselt SPAM nimekirjas.

Koolitused

See on sotsiaalmanipulatsiooni puhul kõige kriitilisem komponent. Kuna ründajad kasutavad hirmu, uudishimu või autoriteeti. Tihti tekitatakse uudishimu millegi tasuta saamisega: haigekassa tagastab raha, said päranduse, vale pakk jõudis sinuni.

  • Skeptilisuse treenimine: Töötajad peavad teadma, et ükski ametlik asutus ei küsi parooli e-posti teel. Kriitilisemõtlemisega peab vaatama tasuta asjadele: enamasti keegi ei anna tasuta midagi võõrale inimesele.
  • Simulatsioonid: Regulaarsed test-õngitsemised õpetavad inimesi olema valvsad ka siis, kui kiri tundub esmapilgul usaldusväärne.

Reeglid ehk turvaline raamistik

Reeglid võtavad inimeselt vajaduse langetada raskeid otsuseid surve all.

  • Verifitseerimise protokoll: Kui saabub palve teha kiire ülekanne, peab olema reegel, et see kinnitatakse teise kanali kaudu näiteks helistades.
  • Vähimate õiguste printsiip: Inimesel peaks olema ligipääs ainult neile andmetele, mida tal on tööks vaja. Nii on "augu" tekkimisel kahju minimaalne. Enamus ettevõtted juba kasutavad seda printsiipi, aeg kus ühel inimesel oli superadmin õigused on möödas.

Kokkuvõte

Sotsiaalmanipulatsioon on ohtlik, sest see nullib kalli tehnoloogia vaid ühe klõpsuga. Rakendades Mitnicki valemit, peame mõistma, et ainuüksi uuest tulemüürist ei piisa. Turvalisus tekib siis, kui meil on paigas selged reeglid, töötajad on saanud piisava koolituse ning tehnoloogia toetab neid mõlemaid. Kui üks neist on puudu, on tulemuseks turvaauk, mis ootab vaid sobivat hetke.

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

1: Noppeid IT ajaloost

Programmeerimine kui revolutsioon IT-maastikul. Programmeerimine tänapäeval omab äärmiselt suurt rolli - peaaegu kõik, mida me praegu kasutame, on mingil moel programmeeritud. Maailma esimeseks programmeerijaks peetakse  Ada Lovelace , kes kirjutas märkmeid  Babbage ’i analüütilise masina kohta. Väga palju sellest kasu ei olnud kuna masin, mille jaoks need programmid mõeldud olid, jäi lõplikult ehitamata. Programmeerimine muutus laialdaselt populaarseks  alates C programmeerimiskeele loomisest, mis oli  1972 teadlase  Dennis MacAlistair Ritchie poolt. Populaarseks muutus tänu oma kiirusele, riistvaralähedasusele, universaalsusele ning arusaadavale süntaksile. Tänapäeval on C keele baasil loodud või ümber kirjutatud enamik populaarseid operatsioonisüsteeme, mille hulgas on  Unix ,  Linux  ja  Windows . Samuti kasutatakse C-d mängumootorites, andmebaasides, manussüsteemides ja elektroonikas. C mõjutas paljusid järeltulijatest programmeerimiskee...
Lisateave

3: Uus meedia

Postimees, kes kasutab erinevaid edastusedastus kanaleid Postimees on üks vanemaid meediaväljundeid Eestis, mille ajalugu ulatub 19. sajandisse. Praeguseks Postimehe sõsarajalehed on Virumaa Teataja, Valgamaalane, Sakala ja muud maakonna lehed. Nagu ka konkureerimisel ettenähtud, siis on nad ajaga oma meedia levikut parendanud, kasutades erinevaid meediakanaleid. Neil on ajaleht, veebileht, sotsiaalmeedia. Kaasaarvatud on ka audiovisuaalne meedia nagu Postimees TV ja oma podcast. Ajaleht kajastab suure aktiivsusega kõik populaarsed maailmauudised. Uudised on alates kultuurist ja ilmast ja lõpetades spordi ja kultuuriga. Kuna vahel seal kritiseeritakse ka poliitikuid, siis eestimeelseks seda nimetada ei saa. Ei saa ka põhjusel, et puudub riigilt rahaline toetus. Raha tuleb enamasti lugejate tellimistelt ja reklaamidest, mida on väga palju. Konservatiivsema edastusega meedia. Kuku Raadio  on pigem konservatiivsema edastusviisiga meediakanal, mille põhikanaliks on traditsiooniline raa...
Lisateave

5. Tarzan suurlinnas

1. Austa teiste inimeste privaatsust Püsiühendused on kiiremad, vastupidavamad ja rahaliselt saadavamad kui varem, seega hoiustavad paljud inimesed aina rohkem oma isiklikke andmeid pilves. Näiteks Apple on saanud ligi 26% tulust oma online-teenuste pealt, see on üle 100 miljardi dollari aastas. Miks pilveteenused on head? Põhjuseks on pilveteenuste töökindlus, pilveseadmed on vastupidavamad kui isiklikud seadmed. Pilves hoiustamisega siiski kaasnevad riskid. Need lahendused on hästi turvatud ja varundatud, kuid isiklikult sa ei vastuta enam enda asjade eest,  vastutab võõras onuke teisest riigist, kelle jaoks sinu asjad on kõigest mälumaht. Pilves on enamasti rohkem andmeid kui seadmes endas. Sinna tulevad seadme varukoopiad, pildid, videod, sõnumid ja muud. Kurjategijatel polegi vaja enam seadmesse muukida, sest kõik ju asub serveris, mis on 24/7 saadaval. Piisab autentimisest ja andmed on ees. Oskajatel pole keeruline sisse muukida - edasi algab inimese ähvardamise skeem and...
Lisateave