Socijalni inženjering
Znaju li vaši zaposlenici pravila informacijske sigurnosti?
Organizaciji koja se bavi većim brojem različitih profila zaposlenika, osiguranje odgovarajuće razine informacijske sigurnosti predstavlja velik izazov. Najučinkovitiji način provjere osviještenosti i obrazovanja zaposlenika jest provedba tzv. socijalnog inženjeringa.
Socijalni inženjering je skup tehnika kojima napadač nadmudri ili uvjeri korisnika da izvede određenu aktivnost (npr. otvori zlonamjernu elektroničku poštu, upotrijebi ključ USB zaražen štetnim kodom itd.) te mu time omogući pristup povjerljivim podatcima organizacije. Pritom napadač iskoristi odaziv korisnika na određenu situaciju (npr. na privlačnu ponudu, povjerenje, spremnost na pomoć itd.).
Poznato je više oblika socijalnog inženjeringa:
- tehničke metode
- osobni kontakt
- prijetnje i prisile
Za provedbu socijalnog inženjeringa potrebno je prikupiti mnogo informacija o organizaciji i potencijalnim metama (zaposlenicima). Informacije je moguće dobiti uz pomoć javno dostupnih informacija (internetske stranice, telefonski imenici itd.), posjetom organizaciji ili uspostavom prijateljskih kontakata sa zaposlenicima.
Primjeri scenarija provjere zaposlenika:
- slanje »zlonamjernih« elektroničkih poruka
- usađivanje štetnog koda na prijenosnom mediju
- postavljanje »zlonamjerne« aplikacije na mobilni uređaj
- priključivanje neautoriziranog uređaja u internu mrežu organizacije
- dobivanje informacija putem telefona, osobno, klasičnom ili elektroničkom poštom
- ulazak u poslovne prostore bez identifikacije na ulazu
- ulazak u zaštićeno područje davanjem identiteta drugoga
Na osnovi provedenih scenarija priprema se izvješće sa statistikom uspješnosti napada i prijedlozi za poboljšanje osviještenosti zaposlenika na području informacijske sigurnosti i nadgradnju postojećih sigurnosnih mehanizama.