A technológia nem véd meg mindentől!
Sat, 2006.03.11 - 06:58 — müzso
[Reuters/HWSW] A világ egyik, ha nem legismertebb számítógépes bűnözője Kevin Mitnick, akit az FBI-nak három év üldözés után sikerült csak lekapcsolnia még a kilencvenes éve közepén, miközben számtalan nagyvállalat, köztük a Sun Microsystems vagy a Motorola rendszereibe is betört. Mitnick 5 évnyi börtön után azóta könyvet írt, és a világot járja, és előadásokon beszél arról, hogyan lehet a hozzá hasonló alakok ellen védekezni.
Az informatikai vezetők jelentős többsége a biztonság növelése alatt új tűzfalak, azonosítási rendszerek, stb. bevezetésére gondol. Teljes mértékben alábecsülik az ún. "social engineering" alapú támadásokat. Azt gondolják, hogy ők "okosak" és tőlük nem tudnak kritikus jelszavakat kicsikarni ilyen "telefonbetyárok". Nos: óriásit tévednek. Minden ember -még az erre felkészített is- áldozatul eshet egy hasonló átverésnek/megtévesztésnek és ezért nem az egyes emberek a felelősek, hanem azon vezetők/döntéshozók, akik nem készítették fel őket és nem dolgoztak ki megfelelő belső szabályozást az információk védelmére.
Volt szerencsém elolvasni a fenti cikkben is megnevezett K. Mitnick "The art of deception" c. könyvét és bár nem lettem tőle biztonsági szakértő
, mindenképpen hasznos volt. Rávilágított arra, hogy minden vállalatnak (még a kisebbeknek is) muszáj foglalkoznia valamilyen szinten az információk védelmével, ki kell dolgozniuk egy biztonságpolitikát és oktatniuk kell az alkalmazottakat. Ellenkező esetben komoly károk érhetik a céget és utólag már hiába sírnak ...
Egyébként a kollégák oktatása nem csak "támadások" ellen véd, hanem tetszőleges külső információ-gyűjtés ellen. Pl. mit tennél te, ha a munkahelyeden vki felhívna a rendőrségtől (tegyük fel, hogy valódi rendőr), azt állítaná, hogy XY kollégátokat őrizetbe vették valamilyen váddal és ilyen meg olyan adatokat kér tőled? Hidd el: az emberek nagy többsége a legtöbb kérdésre azonnal válaszolna ... márpedig mi képtelenek vagyunk eldönteni, hogy a kiadott információk végül segíteni v. ártani fognak-e ... mind a bajban lévő kollégának, mind a cégnek.
Ez csak egy példa volt. A lényeg az, hogy ha valaki kellő magabiztonságggal és hitelességgel lép fel velünk szemben, akkor hajlamosak vagyunk különösebb kérdezősködés nélkül elhinni, amit mond és válaszolni a kérdéseire. Ez alól senki sem kivétel, mindenkinek meg van a "gyenge pontja", amin keresztül "feltörhető" és érzékeny információkat lehet kicsikarni belőle. Ezért szükséges, hogy az ilyen helyzetekre felkészüljön mind a cég szabályozási szinten, mind a kollégák tréningeken keresztül.
Az informatikai vezetők jelentős többsége a biztonság növelése alatt új tűzfalak, azonosítási rendszerek, stb. bevezetésére gondol. Teljes mértékben alábecsülik az ún. "social engineering" alapú támadásokat. Azt gondolják, hogy ők "okosak" és tőlük nem tudnak kritikus jelszavakat kicsikarni ilyen "telefonbetyárok". Nos: óriásit tévednek. Minden ember -még az erre felkészített is- áldozatul eshet egy hasonló átverésnek/megtévesztésnek és ezért nem az egyes emberek a felelősek, hanem azon vezetők/döntéshozók, akik nem készítették fel őket és nem dolgoztak ki megfelelő belső szabályozást az információk védelmére.
Volt szerencsém elolvasni a fenti cikkben is megnevezett K. Mitnick "The art of deception" c. könyvét és bár nem lettem tőle biztonsági szakértő
, mindenképpen hasznos volt. Rávilágított arra, hogy minden vállalatnak (még a kisebbeknek is) muszáj foglalkoznia valamilyen szinten az információk védelmével, ki kell dolgozniuk egy biztonságpolitikát és oktatniuk kell az alkalmazottakat. Ellenkező esetben komoly károk érhetik a céget és utólag már hiába sírnak ...Egyébként a kollégák oktatása nem csak "támadások" ellen véd, hanem tetszőleges külső információ-gyűjtés ellen. Pl. mit tennél te, ha a munkahelyeden vki felhívna a rendőrségtől (tegyük fel, hogy valódi rendőr), azt állítaná, hogy XY kollégátokat őrizetbe vették valamilyen váddal és ilyen meg olyan adatokat kér tőled? Hidd el: az emberek nagy többsége a legtöbb kérdésre azonnal válaszolna ... márpedig mi képtelenek vagyunk eldönteni, hogy a kiadott információk végül segíteni v. ártani fognak-e ... mind a bajban lévő kollégának, mind a cégnek.
Ez csak egy példa volt. A lényeg az, hogy ha valaki kellő magabiztonságggal és hitelességgel lép fel velünk szemben, akkor hajlamosak vagyunk különösebb kérdezősködés nélkül elhinni, amit mond és válaszolni a kérdéseire. Ez alól senki sem kivétel, mindenkinek meg van a "gyenge pontja", amin keresztül "feltörhető" és érzékeny információkat lehet kicsikarni belőle. Ezért szükséges, hogy az ilyen helyzetekre felkészüljön mind a cég szabályozási szinten, mind a kollégák tréningeken keresztül.
All of my own contents here (if not noted otherwise) are licensed under the
Creative Commons Attribution-NonCommercial-ShareAlike 4.0 License. My posts reflect my personal opinion and shall not be associated with any of my employers.
Creative Commons Attribution-NonCommercial-ShareAlike 4.0 License. My posts reflect my personal opinion and shall not be associated with any of my employers.
Recent comments
1 year 43 weeks ago
3 years 12 weeks ago
3 years 12 weeks ago
3 years 14 weeks ago
3 years 15 weeks ago
3 years 22 weeks ago
3 years 22 weeks ago
3 years 22 weeks ago
3 years 22 weeks ago
3 years 22 weeks ago