Kamēr par kiberdrošību virtuālajā vidē rūpējas dažādas programmatūras, sociālajai inženierijai var stāties pretī tikai ar kibermodrību, jo sociālā inženierija izmanto cilvēciskā faktora vājākos aspektus. Līdztekus finanšu audita un biznesa konsultāciju uzņēmuma KPMG veiktajam Latvijas pašvaldību mājaslapu novērtējumam, īstenots arī eksperiments, kā rezultāti liecina, ka situācija šajā jomā nav iepriecinoša – gandrīz piektā daļa sociālās inženierijas eksperimentā iesaistīto Latvijas pašvaldību darbinieku uzrāda nepietiekamu kiberhigiēnu.
Sociālā inženierija ir manipulācijas paņēmiens, ko uzbrucējs izmanto, lai liktu cilvēkam rīkoties savās interesēs. Uzbrucēja mērķis parasti ir personas dati vai piekļuve uzņēmuma resursiem vai sistēmām. Pēc starptautiskā pētījuma Oracle and KPMG Cloud Threat Report datiem pēdējo divu gadu laikā 55% uzņēmumu visā pasaulē ir piedzīvojuši pikšķerēšanas uzbrukumu – īpašu interneta krāpniecības paveidu, kurā, izmantojot e-pastu vai ziņapmaiņas programmas, tiek mēģināts apmuļķot lietotāju. Uzbrucējs cenšas panākt, lai lietotājs atvērtu kādu saiti, inficētu e-pasta pielikumu vai atklātu savus pieejas datus. paroles.
“Arī Latvijā šādi uzbrukumi nav retums – šķiet, katrs e-pasta lietotājs kaut reizi dzīvē ir saņēmis aizdomīgus sūtījumus. Mūsu eksperimenta rezultāti rāda, ka pašvaldību darbiniekiem nav pietiekami attīstīta kibermodrība, un tā diemžēl ir izplatīta situācija, kas var novest pie nevēlamām sekām. Viena no 21. gadsimta kiberinteliģences pazīmēm ir risku apzināšanās – dažreiz pat viena pāreja uz kaitīgu saiti var inficēt ne tikai atsevišķa darbinieka darbstaciju, bet izplatīties visā organizācijas tīklā,” norāda Kaspars Iesalnieks, KPMG IT konsultāciju vadītājs.
Lai novērtētu Latvijas pašvaldību darbinieku kibermodrību, KPMG eksperimenta ietvaros tika veikta sociālās inženierijas uzbrukumu simulācija: 162 darbinieki 15 dažādās Latvijas pašvaldībās saņēma e-pastu ar kaitīgas vēstules pazīmēm, kurā tika lūgts uzklikšķināt uz e-pastā norādītās saites. Saturs tika izveidots tā, lai darbinieks nepievērstu uzmanību vēstules detaļām un nospiestu pavienoto saiti. 16% darbinieku, kas piedalījās simulācijā, nepamanīja kaitīgās vēstules pazīmes un reāla uzbrukuma gadījumā būtu kļuvuši par uzbrucēja upuriem. Vēl vairāk, 4% pat atbildēja sūtītājam. Taču, uzsākot komunikāciju ar uzbrucēju, cilvēks šim uzbrucējam dod citas iespējas apiet tehniskos aizsarglīdzekļus un uzbrukt organizācijas resursiem.
Tikai divās pašvaldībās neviens darbinieks nebija atvēris e-pastam pievienoto saiti, un tikai dažu pašvaldību darbinieki ziņoja par aizdomīgiem e-pastiem organizācijas atbildīgajam personālam, kaut gan tā ir vispareizākā rīcība, saņemot aizdomīgu vēstuli.
Būtiski:
• Iedrošināt darbiniekus ziņot par aizdomīgām vēstulēm,
• Pārliecināties, vai katrs darbinieks zina, kā un kam ziņot par incidentiem virtuālajā telpā,
• Redzot aizdomīgu e-pastu, nevērt vaļā tajā ievietoto saiti, atturēties no pievienoto dokumentu lejuplādēšanas un nespiest uz vēstules saturu.
“Nevar viennozīmīgi apgalvot, ka kāda no pašvaldību grupām ir parādījusi labākus kibermodrības rezultātus salīdzinājumā ar pārējām. Piemēram, lielo pašvaldību grupā kaitīgās vēstules neatpazina vidēji 14% darbinieku, kas ir nedaudz mazāk, salīdzinot ar mazajām un vidējām pašvaldībām. Taču šajā grupā bija arī visaugstākais neidentificēto kaitīgo vēstuļu rezultāts – vienā pašvaldībā pat trešā daļa darbinieku neatpazina kaitīgas vēstules pazīmes,” stāsta KPMG IT konsultāciju vadītājs Kaspars Iesalnieks un piebilst – zināšanas par kiberhigiēnu var viegli uzlabot, regulāri organizējot praktiskas apmācības un sociālās inženierijas simulācijas, kas palīdz sagatavot darbiniekus reālam uzbrukumam.
Ko ir vērts vēlreiz atgādināt darbiniekiem jeb TOP 5 kaitīgo vēstuļu pazīmes:
• E-pasta sūtītāja vārds un uzvārds nesakrīt ar e-pasta adresi, no kuras e-pasts ir nosūtīts,
• E-pasts parakstīts ar vispārīgu sūtītāja apzīmējumu,
• Sūtītājs ir uzņēmums vai organizācija, ar kuriem saņēmējam nav nekāda sakara,
• E-pastā iekļautas saites, virs kurām turot kursoru, parādās citāda saites adrese nekā e-pasta tekstā,
• E-pastā aprakstītais piedāvājums ir pārāk labs, lai būtu patiess.
Par KPMG (kpmg.com/lv)
KPMG ir starptautisks biznesa konsultantu uzņēmumu tīkls, kas sniedz audita, revīzijas, nodokļu un konsultāciju pakalpojumus. KPMG darbojas 153 valstīs un visā pasaulē nodarbina 207 000 strādājošo. KPMG Baltijas valstīs ir viens no vadošajiem profesionālu pakalpojumu sniedzējiem reģionā.