Social media
#CyberMagazyn: Cyberszpiegostwo i socjotechnika. Jak państwa mogą się przed nimi obronić?
Cyfryzacja państwa w wielu aspektach jego działalności, podobnie jak coraz silniejsze uzależnienie gospodarki od procesów cyfrowych, to czynniki, które szczególnie w czasie pandemii koronawirusa - przyczyniły się do wzrostu natężenia cyberszpiegostwa. Jak się przed nim bronić, skoro wiele ataków umożliwiających takie działania ma swoje podłoże w socjotechnice?
Cyberszpiegostwo nie byłoby możliwe, gdyby nie błędy na polu cyberbezpieczeństwa. Nie jest tajemnicą, że kiedy mowa o tym ostatnim, ogromne znaczenie mają zagrożenia typu insider threat, wynikające z celowych działań, ale przede wszystkim z zaniedbań bądź uchybień pracowników firm, organizacji, a także instytucji administracji publicznej różnych szczebli.
To właśnie pracownicy mogą stać się dla cyberprzestępców bramą umożliwiającą dostęp do wrażliwych, poufnych danych i infrastruktury teleinformatycznej. Zabezpieczenia o charakterze technicznym, o których mówi się bardzo często, obecnie nie wystarczą, by poradzić sobie z zagrożeniem - cyberprzestępcy wykorzystują w swoich działaniach socjotechnikę, która ewoluuje wraz z naszymi metodami pracy i komunikacji.
Kultura zarządzania w organizacji - istotny, choć lekceważący element obrony
Jak zatem chronić się przed cyberszpiegostwem? Zrozumieć socjotechnikę i wiedzieć, jak zabezpieczyć się przed próbami wykorzystania ludzkich słabości przez atakujących.
Nie pomoże tu silosowe zarządzanie i lekceważenie zagrożeń - jak wykazało badanie brytyjskiego Centrum Ochrony Infrastruktury Narodowej (Centre for the Protection of National Infrastructure, CPNI) z 2013 roku, w krajach, gdzie kultura zarządzania nie należy do szczególnie rozwiniętych, a firmy wzajemnie darzą się nieufnością i nie komunikują się między sobą, ryzyko wiążące się z "niewiernością" pracowników i ich skłonnością do dobrowolnej kooperacji z cyberprzestępcami było wyraźnie wyższe, niż tam, gdzie kultura zarządzania jest bardziej równościowa i skoncentrowana na dobru nie tylko pracodawcy, ale i pracowników.
Cyberszpiegostwo przemysłowe - skala zjawiska
Według badaczy z brytyjskiego Uniwersytetu w Portsmouth, szpiegostwo przemysłowe obecnie kosztuje amerykańską gospodarkę nawet 600 mld dolarów rocznie. Szpiegostwo przemysłowe dokonywane z wykorzystaniem cyberataków to koszt około 400 mld dolarów, a wykradzione w ten sposób tajemnice handlowe i własność intelektualna przekłada się na 1-3 proc. amerykańskiego PKB.
Dla porównania, w Zjednoczonym Królestwie cyberprzestępstwa, które można powiązać z procederem szpiegostwa przemysłowego, można przełożyć na koszty dla gospodarki w wysokości ok. 7,6 mld funtów.
Firma z branży cyberbezpieczeństwa Verizon ocenia, że techniki inżynierii społecznej, takie jak phishing, odpowiadają obecnie za ponad 90 proc. cyberincydentów. Najpopularniejszym wektorem cyberataków prowadzących do aktów szpiegostwa przemysłowego pozostaje e-mail. Wykradanie własności intelektualnej i inne typy cyberszpiegostwa odpowiadają za około 41 proc. cyberataków z wykorzystaniem e-maili - twierdzi Verizon.
W 93 proc. przypadków cyberprzestępstw dokonują je podmioty działające na zlecenie rządów obcych państw, zainteresowanych nielegalnym umacnianiem własnej gospodarki. Grupy hakerskie działające na zlecenie rządów bardzo często pozyskują do współpracy sfrustrowanych pracowników obieranych za cel firm i instytucji, a ich celem najczęściej padają sektory takie, jak edukacja (uczelnie wyższe) i produkcja przemysłowa.
W sektorze publicznym cyberszpiegostwo to ponad połowa wszystkich incydentów cyberbezpieczeństwa - twierdzą brytyjscy badacze. Jedną trzecią incydentów umożliwiły błędy pracowników instytucji publicznych lub też świadomie podejmowane przez nich działania, wynikające z niewłaściwego wykorzystywania przyznanych przywilejów bądź też zaniedbania z zakresu bezpieczeństwa.
Brytyjscy badacze oceniają, że choć technologiczne możliwości walki z cyberatakami i cyberszpiegostwem rosną, to problemy z nimi związane wciąż pozostają ogromnym wyzwaniem dla sektora publicznego, a strategie mitygowania ryzyka i świadomość zagrożeń po stronie pracowników administracji państwowej nie nadążają.
Mądra polityka cyberbezpieczeństwa - klucz do rozwiązania problemu
Według naukowców, polityka cyberbezpieczeństwa obowiązująca w firmach i instytucjach publicznych bardzo często jest czynnikiem, który zamiast ułatwiać walkę z cyberszpiegostwem i zapobieganie incydentom, przyczynia się do wzrostu natężenia problemów.
Polityka ta faworyzuje zwykle kadrę zarządzającą oraz pracowników wyspecjalizowanych w zagadnieniach IT - oceniają eksperci z Portsmouth. Tymczasem, do ich przestrzegania i spełniania reguł zobowiązani są również inni pracownicy wszystkich szczebli i komórek. "Wielokrotnie dowiedziono, że pracownicy, próbując zwiększyć swoją wydajność, będą obchodzili wyznaczone w ramach organizacji zasady cyberbezpieczeństwa" - ocenili akademicy.
Odpowiedzią na socjotechnikę może być... socjotechnika
Brytyjscy badacze oceniają, że rozwój szpiegostwa przemysłowego sprzężonego z cyberprzestępczością to problem, którego nie można rozwiązać wyłącznie za pomocą środków technicznych - dokłada się do tego bowiem rosnąca złożoność systemów teleinformatycznych na których swoje działanie opierają zarówno cyfrowa administracja państwowa, jak i sektor przedsiębiorstw prywatnych.
Aby ochrona przed tego rodzaju zagrożeniami była skuteczna, musiałaby być wdrożona już na etapie projektu. To niemożliwe ze względu na dużą zmienność zagrożeń i ewolucję metod ataku. Działania cyberszpiegowskie - jak argumentują eksperci - koncentrują się na wykorzystaniu słabości i mechanizmach socjotechnicznych, a to, co może usprawnić walkę z tym procederem i ochronę przed wykradaniem własności intelektualnej, to przyjęcie perspektywy socjotechnicznej przez instytucje, które najczęściej stają się celem dla cyberprzestępców.
Perspektywa socjotechniczna w mitygacji ryzyka opiera się według naukowców przede wszystkim na głębokiej analizie i zrozumieniu mechanizmów decyzyjnych, działających na zlecenie rządów obcych państw i firm hakerów, a także zaangażowaniu w działania edukacyjne na wszystkich szczeblach hierarchii instytucjonalnej w ramach organizacji. Procedury wdrażane przez firmy i instytucje powinny być przyjazne użytkownikom i nie blokować ich wydajności w ramach obowiązków służbowych - wtedy pracownicy nie będą musieli obchodzić ich, a tym samym zwiększać ryzyko dla organizacji, której są częścią.
Na analizie socjotechnicznej powinna również być oparta analiza ryzyka, która - gdy będzie dobrze przeprowadzona - wskaże osobom odpowiedzialnym za zarządzanie daną instytucją czy organizacja posiada słabsze punkty oraz prawdopodobne wektory ataku, z jakich cyberprzestępcy mogą skorzystać w ramach prowadzonych przeciwko danemu podmiotowi działań.
Tekst powstał w ramach cyklu #CyberPaździernik. Cyberbezpieczeństwo dotyczy nas wszystkich – niezależnie od wykonywanego zawodu i wykształcenia czy miejsca zamieszkania. Nie zapominajmy o tym – nie tylko w październiku, który jest „Europejskim Miesiącem Cyberbezpieczeństwa”.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.