Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Před útokem pomocí sociálního inženýrství se velmi špatně brání. Je-li útočník jen trochu schopný (což bohužel většinou bývá), pak má všechny trumfy na své straně. Může si vybrat čas útoku, způsob jeho provedení, použité metody…

Kde máme slabá místa?

Je mnoho faktorů, které nahrávají útočníkům a na které si proto musíme dát odpovídající pozor. V prvé řadě je to velký počet zaměstnanců, kdy každý nezná každého – ani osobně, ani jménem. Týká se to především velkých firem. Je nutné mít vypracované postupy, kdo, s kým a jak může komunikovat. A je nutné mít vypracované postupy pro ověřování totožnosti nebo pro komunikaci s osobami, které se (byť vedeny dobrými úmysly) snaží porušovat směrnice.

Stejně tak je pro agresory požehnáním firma nacházející se ve větším množství lokalit – platí zde totéž, co v případě vysokého počtu zaměstnanců. Nepřehlednost.

Pozor také na zanechávání a sdělování informací o tom, kde se pracovníci nacházejí. I zdánlivě nevinná informace „jsem do patnáctého tohoto měsíce mimo kancelář, v případě potřeby kontaktujte toho a toho kolegu“ napovídá o tom, že dotyčná osoba je nedostupná, že se na ni dá vymluvit („kolega mi slíbil, že... a neudělal to“) a dokonce nabízí kontakt na potenciální oběť. Stejně tak je problémem sdělování interních kontaktů – často třeba i na internetu (stránka sice není oficiálně vidět, ale „pan Google“ ji stejně dříve či později najde).

Slovním eskamontérům se pak velmi daří tam, kde chybí školení o bezpečnosti práce z hlediska používání informačních technologií. Většinu pracovníků ani nenapadne přemýšlet nad tím, že právě komunikují s útočníkem, protože prostě neví, že by mohli být takto osloveni a nedokážou si představit, že by mohli disponovat informacemi s hodnotou zlata.

Velmi vážnou slabinu v bezpečnostním systému představuje chybějící systém klasifikace dat. Tedy stav, kdy jsou data postavena na přibližně stejnou úroveň a kdy je hodnocení jejich citlivosti ponecháno na osobním hodnocení jednotlivých pracovníků. Jistě, lidé by měli mít určitou míru volnosti: ale tato by nikdy neměla zajít za hranici, kdy záměrně či nedbalostí mohou ohrozit bezpečnost organizace. Vždy zkrátka musí být určité mantinely, v nichž je bezpečné se pohybovat a které nepustí uživatele mimo prostory vyhrazeného hřiště.

Častým problémem je také neexistence místa, kam hlásit incidenty. Pracovník se třeba setká s nějakým požadavkem nebo stavem, který se mu nezdá. Rád by jej řešil, ale neví, jak. Pokud není vyhrazené telefonní číslo, e-mail či osoba, tak se s ním buď nikdo bavit nebude („to neřeš“) nebo si raději rovnou nebude zbytečně přidávat práci („nehas, co tě nepálí“). Což ale přináší krom jiného i závažný problém: neschopnost varovat před probíhajícím útokem. Co když agresor zkoušel své štěstí i někde jinde – a úspěšně? Co když ho zkusí znovu? Není zaregistrovaný a neřešený útok tou nejpromarněnější příležitostí na světě?

Dobrá organizace je základ

Existují čtyři základní pravidla boje se sociálním inženýrstvím, jejichž ošetření po organizační stránce výrazně sníží šance agresora na úspěch.

Prvním je dát zaměstnancům šanci nepodléhat nátlaku. Dát jim jasná pravidla, na která se mohou odvolat. Dát jim možnost získávat čas. Dát jim jistotu, že za nimi nadřízený bude i v případě problémů stát. Dát jim prostředky a pravomoci, s jejichž pomocí si budou schopni co nejvíce věcí ověřovat. A v neposlední řadě vytvořit podmínky pro to, aby je agresor nemohl „dostat do kouta“ (výjimkou jsou samozřejmě extrémní případy vydírání např. kompromitujícími osobními fotografiemi, ale proti nim žádná bezpečnostní opatření asi neochrání). Tedy aby se útočník nedozvídal citlivé informace, aby se nemohl odvolávat na neověřitelné skutečnosti apod.

Druhým pravidlem je vypracování bezpečnostní politiky (a to včetně výše zmíněné klasifikace dat). Bez ní je jakýkoliv pokus o systematické řešení bezpečnosti zcela bezzubý. Bezpečnostní politika vnáší řád a upravuje pravomoci. De facto je to základní kámen, se kterým celá bezpečnost stojí a padá.

Třetím pravidlem je blokování přístupu k informacím. Pracovník by měl mít značnou volnost a nebýt jakkoliv omezovaný ve svých činnostech, ale zároveň by měly existovat účinné (administrativní i technické) prvky, aby se nedostal k informacím, k nimž by se dostat neměl. Jinými slovy: pokud pracovník něco neví (a není to schopen zjistit), nemůže to prozradit – a pokud něco není schopen udělat, nemůže to udělat.

Čtvrtým pravidlem je schopnost dohledat aktivity. Praxe ukazuje, že pouhé hrozba monitoringu vede uživatele k tomu, že jsou obezřetnější, než by byli normálně. Díky schopnosti dohledání aktivit je pak snadné zjistit, kdy, kde a kdo (a proč) třeba nedodržel bezpečnostní směrnice – nebo kdy se o jejich nedodržení přinejmenším pokusil.

Raději cukr než bič

A ještě jedna drobnost: kromě toho, že se budete snažit dávat co nejmenší prostor pro možný vznik provinění a přestupků, musíte s nimi počítat. V tom případě je ale zapotřebí velmi obezřetně nastavit systém sankcí a trestů – příliš tvrdý systém znamená, že pracovníci nebudou spolupracovat a naopak se budou snažit pomáhat útočníkům zametáním stop. Jen aby se na něco nepřišlo, jen aby nebyl problém.

Odhalený bezpečnostní incident či slabina v systému by měly mít větší hodnotu, než potrestaný zaměstnanec.