[ Pobierz całość w formacie PDF ]
.Socjotechnicy potrafią to wykorzystać.Jak zapobiegać?Jednym z najbardziej skutecznych trików socjotechników jest odwracanie sytuacji.Widzieliśmy to w tym rozdziale.Socjotechnik tworzy problem, a następnie w magiczny sposóbgo rozwiązuje, wyłudzając od ofiary informacje o dostępie do najpilniej strzeżonych sekretówfirmy.Czy Twoja firma dałaby się w ten sposób podejść? Czy zadaliście sobie trud opisania iwprowadzenia w życie odpowiednich reguł bezpieczeństwa, które pozwoliłyby tego uniknąć?Edukacja, edukacja i jeszcze raz edukacjaJest taka anegdota o turyście w Nowym Jorku, który zatrzymuje przechodnia na ulicy ipyta: Jak dostać się do Carnegie Hall?.Zaczepiony odpowiada: wiczyć, ćwiczyć i jeszczeraz ćwiczyć.Każdy jest potencjalnie narażony na ataki socjotechniczne, dlatego jedynymsposobem obrony firmy jest odpowiednie szkolenie i edukacja pracowników, uczącarozpoznawania socjotechników.Potem należy stale wspominać o rzeczach, których nauczyli sięna szkoleniu, a które najczęściej są zapominane.Każdy członek organizacji musi zostać przeszkolony tak, by wyrobił w sobie odpowiednistopień podejrzliwości i ostrożności niezbędnej podczas kontaktów z osobami, których osobiścienie zna, szczególnie jeżeli ktoś prosi o informację o jakiejś formie dostępu do komputera lubsieci.Ludzka natura każe nam ufać innym, ale, jak mówią Japończycy, biznes to wojna.Waszafirma nie może pozwolić sobie na opuszczenie gardy.Firmowa polityka bezpieczeństwa musidefiniować zachowania odpowiednie i nieodpowiednie.Zasady bezpieczeństwa nie są uniwersalne.Załoga firmy ma zwykle różne zadania i zkażdym stanowiskiem pracy wiążą się inne zagrożenia.Szkolenie musi uczyć pewnychzachowań (uwzględniając rodzaj wypełnianych przez daną osobę obowiązków), które pozwolązmniejszyć prawdopodobieństwo wystąpienia problemów.Powinien być zaplanowanypodstawowy poziom szkolenia, który muszą ukończyć wszyscy pracownicy firmy.Ludzie, którzypracują z poufnymi informacjami lub którzy mają specjalne stanowiska albo obdarzani są dużymzaufaniem, powinni przejść dodatkowe, specjalistyczne szkolenie.Bezpieczeństwo poufnych informacjiKiedy obcy człowiek oferuje pomoc, tak jak miało to miejsce w historiach opisanych wtym rozdziale, pracownicy firmy muszą stosować się do zasad bezpieczeństwa ustalonychzgodnie z potrzebami, rozmiarem i sposobem działania naszej organizacji.Nigdy nie należy pomagać obcym proszącym o wyszukanie dla nich jakiejś informacji, owprowadzenie nieznanych poleceń do komputera lub zmian w ustawieniach naszegooprogramowania albo (najniebezpieczniejszy wariant) otwieranie załączników do wiadomościpocztowych i pobieranie nieznanych programów.Każdy program nawet taki, który wydaje sięnie działać może nie być taki niewinny, na jaki wygląda.Istnieją rzeczy, którymi, niezależnie od jakości szkolenia, z czasem przestajemy sięprzejmować.Potem w krytycznym momencie nie wiemy, jak właściwe zareagować.Można bysądzić, że zasada niepodawania swojej nazwy użytkownika i hasła jest dla wszystkich oczywista(a przynajmniej powinna być oczywista) i raczej nie ma potrzeby nawet o niej wspominać, bowynika ze zdrowego rozsądku.W rzeczywistości każdemu pracownikowi należy częstoprzypominać, że udostępnianie nazwy użytkownika i hasła do swojego komputera w biurze lub wdomu jest porównywalne z podaniem komuś kodu PIN karty kredytowej.Bardzo rzadko może się zdarzyć, że podanie komuś poufnej informacji jest jednakkonieczne.Z tego powodu tworzenie reguł absolutnych typu nigdy nie jest tu odpowiednie.Niemniej jednak polityka i procedury bezpieczeństwa powinny wyraznie określać okoliczności,w jakich pracownik może podać swoje hasło i, co ważniejsze, kto jest uprawniony do pytania otakie dane.Uwaga Mitnicka Osobiście uważam, że firmy nie powinny dawać żadnej możliwościwymiany haseł.O wiele łatwiej ustalić jednoznaczną zasadę, która zakazuje personelowijakiegokolwiek udostępniania tajnych haseł.Tak jest bezpiecznej. Kto pyta?W większości organizacji powinna funkcjonować reguła mówiąca, że każda informacja,której udostępnienie może zaszkodzić firmie lub jej pracownikowi, może być udzielana tylkoznanym osobom, których głos brzmi na tyle znajomo, że nie ma wątpliwości co do ichtożsamości.W sprawach o wysokim stopniu poufności uwzględniane powinny być jedynie zapytaniaprzedstawione osobiście lub z pomocą silnej formy uwierzytelniania na przykład dwóchoddzielnych zabezpieczeń, takich jak wspólna tajemnica i identyfikator generowany na podstawieczasu.Procedury klasyfikacji danych muszą wspominać o tym, że żadna informacja z częściorganizacji zajmującej się poufnymi projektami nie może być udzielona osobie nieznanejosobiście lub za którą ktoś nie poręczył.Uwaga Trudno uwierzyć, ale nawet odnalezienie nazwiska i numeru dzwoniącego wfirmowej bazie pracowników i oddzwonienie do niego nie daje żadnych gwarancji socjotechnicy znają sposoby na wprowadzanie nazwisk na listę pracowników i przekierowywanierozmów telefonicznych.Jak więc odpowiedzieć na prośbę współpracownika, która wydaje się uzasadniona idotyczy np
[ Pobierz całość w formacie PDF ]