E-ITSPEA 14: Andmeturveː tehnoloogia, koolitus ja reeglid

 

Selle nädala ülesandeks on analüüsida ühte suuremat IT-turvariski, mille võib valida kursuse lehelt (aga ei pea), ning kirjeldada, mida tuleks “Mitnicki valemi” kolme komponendi (tehnoloogia, koolitus ja reeglid) kohaselt teha selle riski maandamiseks.

Mõtlesin valida sellise keerukama riski, mis on seotud rohkem inimkäitumise ja psühholoogiaga kui tulemüüride, viiruste ja muu sarnasega, kuna see tundus huvitavam ning kohati võib-olla ka liiga vähe käsitletud teema kuna hetkel on sellega just kõige rohkem probleeme ka väljaspool ettevõtteid.

Ehk siis see nädal räägime lühidalt et mis on social engineering ehk manipulatsioon (või kuidas seda eesti keeles kõige täpsemalt nimetada) ja kuidas võiks seda riski maandada.

 

Mis on Social Engineering?

Erinevalt mõnest teisest IT-turvariskist keskendub social engineering inimkäitumisele ja psühholoogilisele (tihti ka kalkuleeritud) manipulatsioonile, et võita ohvri usaldus, esitledes end sageli usaldusväärse inimesena.

Kokkuvõtvalt võib öelda, et erinevalt süsteemidele endile suunatud rünnetest on social engineering’u eesmärk mängida just inimeste usalduse ja nõrkustega, saades seeläbi ligipääsu kas andmetele või süsteemidele.

 

Erinevad ründeviisid

Tõlgitud (siin kasutasin veidi tõlke abi kuigi olen täiesti kahekeelne) ja mõned näited omapoolt lisatud [1].

**Phishing – petukirjad, sõnumid või veebilehed, mis näevad välja usaldusväärsed ning mille eesmärk on meelitada inimest avaldama paroole, pangainfot või muid tundlikke andmeid. Näiteks saab kasutaja kas “panga”, maksuameti, politsei vms nimelise e-kirja, kus proovitakse ohvrit suunata võltsitud veebilehele.

Spear phishing – suunatud phishing, kus ründaja kohandab sõnumi konkreetse inimese või organisatsiooni järgi, et see tunduks usutavam. Näiteks saadab näiliselt ettevõtte juht või koostööpartner kirja, kus palutakse jagada konfidentsiaalseid dokumente.

Baiting – kasutajale pakutakse midagi ahvatlevat (näiteks tasuta tarkvara või faili), mille kaudu püütakse saada ligipääsu süsteemile või isikuandmetele. Näiteks tasuta mängud või keygen’id, mis tegelikult sisaldavad pahavara või nuhkvara.

Pretexting – ründaja loob väljamõeldud olukorra või rolli, et ohvrilt infot välja petta, esinedes näiteks kolleegi või pangatöötajana. Näiteks n-ö IT-tugi palub sinu isiklikke paroole, et midagi kontrollida.

Vishing – phishing telefoni või häälkõne kaudu, kus ründaja üritab usaldust võita ja tundlikku infot välja meelitada. Näiteks need samad kõned n-ö politseilt või Maksu- ja Tolliametilt, kus helistatakse ja nõutakse kiiret makset või ähvardatakse kohtuasjaga.

Impersonation – teise inimese kehastamine internetis või päriselus, et võita usaldus ja mõjutada ohvrit soovitud viisil käituma. Siia alla käib ka see, kui esitletakse end mingi ametnikuna, kuid mõned sellised juhtumid on isegi personaalsemad ja julmemad – näiteks esitletakse end lapse, vanaema või muu pereliikmena.

Angler phishing – social media platvormidel toimuv petuskeem, kus kasutatakse populaarseid teemasid või võltsitud kontosid, et sõnum tunduks usaldusväärne. Näiteks pahalane vastab sinu tehtud kaebusele avalikul sotsiaalmeedia platvormil ning esineb klienditoena.

Ransomware ja extortion – ründajad ähvardavad avaldada tundlikku infot või halvata süsteemid, kui neile lunaraha ei maksta. Eesmärk on tekitada hirmu ja sundida ohvrit alluma. 

Selline asi juhtus näiteks suurel määral Ukrainas NotPetya ründe käigus. Kuigi see ei lähe võib-olla täielikult klassikalise ransomware’i alla, sest tegelikult puudus reaalne võimalus lunaraha maksmise kaudu andmeid taastada (eesmärk pigem infrastruktuuri halvamine) [2].

Siiski arvan, et tegemist on siiski ühe parima näitega sellest, mis võib juhtuda juhul, kui suur osa riigi infrastruktuurist ei tööta. Rünne levis tegelikult üle kogu Euroopa ja arvan, et see väga äärmuslik ja valus õppetund näitab ka, et selliste rünnete puhul ei ole kannatajad ainult riigiasutused või pangad.

Tegelikult halvati ka täiesti tavaliste ja pealtnäha väikeste ettevõtete töö. Ehk mõju oli väga suur kõigile. Ka neile, kes arvasid, et neid selline rünne ei puuduta, kuna nad on liiga väikesed, et sihtmärgiks sattuda. Mis on veidi veider arusaam, kuna sihtmärgiks võib olla ka täiesti tavaline koduperenaine.

Viise, kuidas proovitakse välja pressida või saada ligipääsu ohvrite olulisele informatsioonile, on tegelikult veel palju ning sageli kasutatakse korraga mitut erinevat meetodit. Pahalased muutuvad ajas ka järjest leidlikumaks ja julmemaks.

 

Miks see töötab?

Ühe üsna kentsakana tunduva näite põhjal, kus Nigeeria petukirjade ohvriks langes Viljandi Folk'i raamatupidaja, kes arvas, et kirjad tulid keskuse juhatajalt [3], oli inimeste reaktsioon sotsiaalmeedias sageli selline, et “milline rumal inimene küll sellise petuskeemiga kaasa läheb”.

Kahjuks ei arva ma isiklikult, et nende skeemide ohvriks langemiseks peab inimene ilmtingimata olema rumal või harimatu. Nende rünnete eesmärk ongi mängida inimeste usalduse ja tihti ka emotsioonide peal. 

Näiteks töötavad sageli hästi nii catfishing, pereliikme kehastamine kui ka klienditoena esinemine olukorras, kus inimene on parajasti hädas ega mõtle selle peale, et teda võidakse ära kasutada.

Kuigi sageli arvatakse, et selliste skeemide ohvriteks langevad peamiselt vanurid, lapsed või muud haavatavamad inimesed, näitab juba esimene näide, et tegelikult võivad nende õnge sattuda ka täiesti haritud ja intelligentseks peetavad inimesed.

 

Mida teha?

Kuigi tavainimeste teavitamiseks tehakse palju asju õigesti – näiteks veebipolitseinikud ja muu sotsiaalmeedias jagatav teave, mis proovib tõsta inimeste teadlikkust nii erinevate rünnete kui ka parasjagu levivate petuskeemide kohta, ei ole see kahjuks siiski piisav. Arvan, et ühtegi rünnet ei ole võimalik täielikult elimineerida, eriti kui need on üles ehitatud just inimeste emotsioonide, usalduse ja nõrkuste ärakasutamise peale.

Siiski arvan, et sellistest teemadest tuleks palju rohkem rääkida juba koolides. See aitaks inimesi ka hilisemas elus nii tööl kui ka igapäevaelus. Ehk lisaks töökohtade poolt pakutavatele koolitustele tuleks mingisugune teadlikkuse baas luua juba varasema hariduse käigus, sest ründeid ei suunata ainult ettevõtete vastu, vaid ka täiesti tavaliste inimeste vastu.

 

Mitnicki valemi kohaselt?

Esiteks, ideaalses maailmas toimuksid töötajatele regulaarsed koolitused, kuid enda kogemuse põhjal võiksin väita, et sageli neid kas ei ole üldse või piirdub teema lühikese sisseelamisprogrammiga.

Tegelikult ei puuduta see teema ainult neid inimesi, kes kasutavad arvutit või omavad otsest ligipääsu süsteemidele. Konfidentsiaalne info võib lekkida ka näiteks pealtkuuldud vestluste kaudu või olukordades, kus töötajad omavahel liiga vabalt ligipääse jagavad.

Näiteks olin ühes ettevõttes täiesti šokeeritud, kui sain teada, et teine juhataja asetäitja vastasvahetuses jagas kassapidajatele oma seifi- ja arvutisüsteemi koode ning isegi töökaarti. Sellega anti tegelikult ligipääs palju suuremale hulgale informatsioonile ja süsteemidele kui ainult näiteks ühele vajalikule Exceli tabelile või kassarahale.

Selline käitumine näitab esiteks seda, et ettevõtte siseseid turvareegleid ei võetud tõsiselt, ning teiseks seda, et koolitada tuleks ka neid töötajaid, kellel ei peaks üldse olema ligipääsu ettevõttesisesele tundlikule infole. Inimesed ei pruugi sageli mõista, miks teatud reeglid olemas on, ning seetõttu eiratakse neid mugavuse või harjumuse tõttu.

Leian, et selliseid olukordi aitaks vähendada regulaarne koolitamine nii petuskeemide äratundmise kui ka ligipääsude jagamise teemal. Näiteks peaks töötajatele olema täiesti selge, et paroole ega koode ei jagata isegi siis, kui teine inimene väidab end olevat töötaja või ütleb, et unustas oma ligipääsuandmed.

Teiseks on reeglid küll olulised, kuid ainult juhul, kui nende järgimist ka reaalselt kontrollitakse. Kahjuks juhtub sageli, et inimesed eiravad neid teadmatusest või töökoormuse tõttu. Näiteks põhjendas antud juhataja asetäitja oma ligipääsude jagamist sellega, et tal oli liiga palju tööd ning ta ei jõudnud ise tellimuste ja mahakannete kõrvalt kassapidajatele raha viia või muudatusi tegema minna. Mugavuse tõttu otsustas ta jagada oma ligipääse mitme alluvaga, kuigi see oli ettevõtte reeglite järgi keelatud.

Kogu olukord tuli välja näiteks siis, kui minu vahetuse ajal kasutas üks kassapidaja teise töötaja koodi seifi avamiseks. Kuna süsteem logis tegevuse vale inimese nime alla, tekkis IT-kontrollil küsimus, miks minu vahetuse ajal kasutati kellegi teise ligipääsu. Mina ise ei teadnud juhtunust sel hetkel midagi ning hiljem tehti olukorra uurimiseks pikaajaline videokontroll.

Pärast olukorra avastamist muutus ettevõttes ka reaalne videokontroll palju rangemaks ning hakati jälgima, kes, millal ja milliste koodidega süsteemidesse sisse logib või seifi avab. Kahjuks ei olnud see ainus näide, kus keegi kasutas teise töötaja ligipääsuandmeid. 

See näide näitab hästi, et ainult reeglitest ei piisa. Lisaks koolitustele ja tehnilistele lahendustele – nagu spämmifiltrid, mitmefaktoriline autentimine (MFA), viirusetõrje, tulemüürid ja e-posti turbelahendused – on oluline ka süsteem, mis tuvastab ebaharilikku käitumist. 

Ligipääsud ja paroolid ei tohiks jõuda inimesteni, kellel ei peaks neile ligipääsu olema, sõltumata sellest, kas tegemist on ettevõttesisese või välise inimesega.

 

KASUTATUD MATERJALID JA LISALUGEMIST:

  1. https://www.consilium.europa.eu/en/policies/cybersecurity-social-engineering/
  2. https://www.hypr.com/security-encyclopedia/notpetya
  3. https://lounaeestlane.ee/nigeeria-petukirjade-uskumine-laks-viljandi-folgi-raamatupidajale-kalliks-maksma/#google_vignette

 

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

E-ITSPEA nädal 2: Arpanetist Facebookini - Interneti kujunemislugu

Selle nädala ülesandeks oli kirjeldada kahte erinevat nähtust interneti varasemast ajaloost (enne aastat 1991): üht, mis võiks tänapäeva kasutajatele endiselt tuttav olla, ja teist, mis on tänaseks juba kadunud või asendunud uuemate tehnoloogiate/tavadega. Interneti ajalugu pakub aga palju erinevaid, kuid samas ka omavahel seotud arenguid, mistõttu ühe kindla teema valimine osutus keeruliseks. Käsitlen selles artiklis mitut omavahel haakuvat nähtust, mis näitavad, kuidas internetikultuur on ajas muutunud, kuid inimeste ühendamine on jäänud interneti keskseks rolliks. Panen põhirõhu just sellele arengule, kus internet muutus teadusvõrgust igapäevaseks suhtlus- ja kogukonnaruumiks.   Lühike Interneti Eelugu Nagu eelmise nädala postituses sai mainitud, peetakse interneti eelkäijaks ARPANET'i , mis sidus omavahel nelja sõlme Los Angeleses, Santa Barbaras, Stanfordis ja Utah’s. Tegemist oli suurte ülikoolide ja teadusasutuste arvutitega, mida kasutati teadustööks ja andmetöötluseks. ...
Lisateave

E-ITSPEA nädal 1: Noppeid IT ajaloost

Esimese nädala kodutööks on tarvis kirjeldada kolme põnevat IT-lahendust. Püüdsin valida etteantud teemade raames võimalikult üksteisega haakuvad ja huvitavad näited ning jäin rohkem tehnoloogiliste lahenduste juurde, kuna tegelikult just sealt see kõik alguse saigi.  Kuna esimese nädala materjalides oli palju noppeid IT-ajaloost, siis püüdsin ka ise jääda nn pronksi- ja rauaaja raamidesse. Lisan tekstisiseselt ka mõningaid linke, kust saab teema kohta veel uurida.    Mis tekitas tõelise revolutsiooni IT-maastikul?  Selle teema juures võib välja tuua mitmeid revolutsioonilisi leiutisi ja lahendusi, mis kujundasid tänapäevase IT-maailma selliseks, nagu me seda tunneme. Näiteks on järgmised leiutised minu valitud põhiteemadele alustalaks: Transistori leiutamine 1947. aastal William Shockley, John Bardeeni ja Walter Brattaini poolt, ilma milleta ei oleks tänapäevaseid mikroprotsessoreid, arvuteid ega telefone. Mikroskeemi leiutamine aastal 1958  Jack Kilby  p...
Lisateave

E-ITSPEA 3: Uus meedia...?

Kujutis
Uus nädal ja uus ülesanne meie ITSPEA kursusel TalTechis. Selle nädala teemaks on uus meedia. Ülesande eesmärk on lühidalt analüüsida kahte traditsioonilise meedia kanalit, millel on lisaks põhikanalile ka uue meedia väljund (näiteks veebportaal, blogi või sotsiaalmeediakonto).   Miks valisin just need kaks kanalit?   Valisin analüüsiks kanalid, mis on omavahel sarnased nii valdkonna kui ka sihtgrupi poolest, kuid esindavad mõnes mõttes erinevaid lähenemisi meedia kasutamisele. Eesmärk on näidata, et erinevad strateegiad ei pruugi olla paremad ega halvemad, vaid et uue meedia kasutus, sealhulgas sotsiaalmeedia ja YouTube’i rakendamine, võib täita teistsuguseid eesmärke. Soovisin analüüsimiseks valida midagi muud kui klassikalised uudistekanalid, seega otsustasin uurida lähemalt mänguritele suunatud ajakirju ja veebilehti nagu PC Gamer ja Edge .   Mis on uus meedia?    Enamasti mõeldakse uue meedia all mis tahes kommunikatsiooni digitaalsete vahendite abil, n...
Lisateave