Temat Numeru | Bezpieczeństwo Instytucji Finansowych | Wyrafinowane zabezpieczenia nie obronią przed człowiekiem

BANK 2020/06

Popularne powiedzenie głosi, że łańcuch zabezpieczeń jest tak silny, jak jego najsłabsze ogniwo. Równie powszechna opinia precyzuje, że jest nim zazwyczaj człowiek. O ile bankowe systemy IT są z reguły wszechstronnie testowane i poddawane regularnym audytom bezpieczeństwa, to komputery czy smartfony klientów stanowią dla cyberprzestępców znacznie łatwiejszy cel. Zwłaszcza gdy atak wsparty jest narzędziami z zakresu socjotechniki.

Fot. deagreez/stock.adobe.com

Popularne powiedzenie głosi, że łańcuch zabezpieczeń jest tak silny, jak jego najsłabsze ogniwo. Równie powszechna opinia precyzuje, że jest nim zazwyczaj człowiek. O ile bankowe systemy IT są z reguły wszechstronnie testowane i poddawane regularnym audytom bezpieczeństwa, to komputery czy smartfony klientów stanowią dla cyberprzestępców znacznie łatwiejszy cel. Zwłaszcza gdy atak wsparty jest narzędziami z zakresu socjotechniki.

Prawdopodobnie najsłynniejszy cyberprzestępca wszech czasów, a zarazem doskonały haker (w pierwotnym znaczeniu tego słowa), Kevin Mitnick, już jako ceniony ekspert od bezpieczeństwa wydał bestseller zatytułowany „Sztuka podstępu”. Wymowny podtytuł tej publikacji brzmi „Łamałem ludzi, nie hasła”.

Trudno o lepszy wstęp do rozważań o bezpieczeństwie. W forsowaniu różnego rodzaju zabezpieczeń psychologia okazuje się być równie ważna jak wiedza techniczna. Kluczowe jest odnalezienie słabego ogniwa i uderzenie w nie w taki sposób, by cały łańcuch zabezpieczeń przestał być skuteczny.

Gdy zawodzi człowiek

O skali problemu dobitnie świadczą dane zebrane przez firmę Trend Micro, zajmującą się bezpieczeństwem teleinformatycznym. Jako główne źródło incydentów bezpieczeństwa wskazała ona nie celowe działania cyberprzestępców, ale… lekkomyślność i niedbalstwo pracowników. Wśród kluczowych przyczyn znalazły się tak banalne zachowania, jak gubienie niezabezpieczonych laptopów, smartfonów i nośników danych, niezgodne z zaleceniami stosowanie tychże nośników czy też logowanie do firmowej sieci z użyciem prywatnych urządzeń.

Problemem były także podróże ze sprzętem, głównie komputerem, na których znajdowały się dane, przeznaczone do obiegu wyłącznie wewnątrz firmy. Trend Micro wskazuje także na lekceważenie tak elementarnego i zarazem tradycyjnego zabezpieczenia, jak gniazdo Kensington Lock, pozwalające na przypięcie linki utrudniającej przypadkowe strącenie lub szybką kradzież sprzętu.

Niefrasobliwe traktowanie komputerów i smartfonów to dopiero początek listy potencjalnych problemów. Poważne kłopoty zaczynają się, kiedy pracownicy lub klienci stają się celem ataku wspartego socjotechniką.

Przelew na telefon

Przykładem niezwykle prostego, a zarazem skutecznego ataku opartego na fundamencie socjotechniki, jest kradzież dokonana jesienią 2014 r. przez mieszkańca Jastrzębia-Zdroju. Oszust zadzwonił do jednej z amerykańskich firm, podał się za prezesa i zlecił wykonanie dwóch przelewów na niemal 7 mln dolarów.

Prośba – co ustalili nieco później polscy śledczy – została zrealizowana.

Nazwa na fakturze

Zbliżony mechanizm – choć inne narzędzia – wykorzystał Litwin, Evaldas Rimasauskas, który postanowił ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: