Człowiek – najsłabsze ogniwo w systemie bezpieczeństwa firmy

Ciepły marcowy poranek w jednej ze stołecznych dzielnic biurowych. Do recepcji firmy wchodzi mężczyzna w średnim wieku, ubrany w garnitur, z plikiem papierów pod ręką oraz zbolałą mina. Podchodzi do blatu biurka i witając się z asystentką, kładzie na nim zalane kawą dokumenty oraz pendrive.

„Byłem umówiony w dniu dzisiejszym na rozmowę o pracę, niestety zalałem kawą swoje CV. Bardzo zależy mi, aby dobrze wypaść na rozmowie, a taka sytuacja raczej nie zwiększy moich szans, wie pani jak to jest; nie można drugi raz zrobić dobrego pierwszego wrażenia…” Mężczyzna uśmiecha się delikatnie, a jego mina przybiera błagalny wyraz.

„Czy mogłaby pani mi pomóc i wydrukować moje CV z pliku pdf na tym pendrivie?” Podaje kobiecie stick USB i wskazuje na drukarkę wielofunkcyjną ustawioną pod oknem.

Widząc wahanie na twarzy recepcjonistki, kontynuuje: „To może być moja jedyna szansa na otrzymanie tej pracy, ludzie powinni przecież sobie pomagać. Prawda?”

W rezultacie ludzki odruch decyduje o spełnieniu prośby i pendrive z plikiem zostaje umiejscowiony w porcie USB służbowego komputera, by następnie połączyć się sesją zdalną z komputerem atakującego, który siedzi wygodnie w zupełnie innym miejscu. Zanim asystentka zadzwoni do działu HR w celu zaanonsowania przemiłego człowieka w garniturze na rozmowę o pracę, ten stwierdzi, że zostawił telefon w samochodzie i opuści siedzibę firmy.

Wykorzystywanie sieci do celów prywatnych

Najsłabszym ogniwem każdego systemu teleinformatycznego jest człowiek, czyli jego użytkownik. Atakujący natomiast nie będzie wybierał żmudnej drogi pokonywania naszych zabezpieczeń, jeżeli ma alternatywę w postaci uzyskania dostępu do konta systemowego, wykorzystując do tego chociażby przytoczoną powyżej sztuczkę socjotechniczną lub wysyłając maila z zainfekowanym załącznikiem.

Dlatego też coraz większą rolę odgrywa świadomość pracowników oraz egzekwowanie wewnętrznych polityk bezpieczeństwa firmy. Aż 83 proc. przebadanych pracowników przyznaje się do korzystania z firmowego internetu w celach prywatnych, gdzie ponad 43 proc. deklaruje korzystanie z prywatnej poczty oraz portali społecznościowych (na podstawie badań Cisco 2015). Nikt nie musi przekonywać pracodawcy, na jakie ryzyko takie podejście wystawia dane firmowe oraz bezpieczeństwo struktury IT organizacji.

Niewielkie zainteresowanie bezpieczeństwem

Prywatne pamięci przenośnie, ładowanie prywatnego, nierzadko zainfekowanego telefonu przez port USB firmowego komputera czy inne nośniki danych użytkowane na firmowych stacjach roboczych niosą za sobą bardzo poważne zagrożenie zainfekowaniem całej sieci firmowej.

Zaledwie 26 proc. badanych zna i przestrzega polityki bezpieczeństwa swojej organizacji, 38 proc. wie o jej istnieniu, ale nigdy się z nią nie zapoznała, a 32 proc. uważa, że polityka bezpieczeństwa ogranicza ich w wykonywaniu codziennych obowiązków, a co za tym idzie omija jej zasady, kiedy wydaje im się to uzasadnione.

Hasła, wordlisty, personalizacja kont

Czynnikiem, który bezwzględnie powinien znaleźć się w polityce bezpieczeństwa każdej firmy jest zarządzanie hasłami. Jeżeli nie posiadamy systemu, który wymusza na użytkowniku zmianę hasła po upływie danego okresu czasu oraz nie forsuje jego odpowiedniej złożoności (wielkie oraz małe litery, znaki specjalne, cyfry i minimalna liczba znaków), to zalecane jest, aby odpowiednie wytyczne znalazły odzwierciedlenie w naszej polityce bezpieczeństwa.

Metody profilowania haseł użytkowników, dostępne w sieci tak zwane wordlisty (listy najczęściej używanych haseł) oraz rosnąca moc obliczeniowa komputerów pozwalają na efektywne i relatywnie mało czasochłonne łamanie prostych metod uwierzytelniania.

Do dobrych praktyk biznesowych należy również personalizacja kont pracowników (każdy użytkownik systemu posiada własny login oraz hasło, którym nie wolno dzielić się z innymi użytkownikami), pozwala to nie tylko na łatwą identyfikację odpowiedzialności osoby wykonującej operacje w systemie, ale także znacząco zmniejsza ryzyko wystąpienia incydentu bezpieczeństwa spowodowanego wyciekiem lub złamaniem hasła.

Rozdzielenie obowiązków i szyfrowanie

Efektywnym sposobem na zarządzanie kontami jest także tak zwane rozdzielenie obowiązków zalecane między innymi przez ISC2 (wystawcę certyfikatu CISSP). Technika ta polega na rozbiciu zakresu uprawnień oraz wykonywanych czynności na dwóch lub więcej pracowników, tak aby każda decyzja lub akcja (na przykład wykonanie przelewu lub nadanie uprawnień) musiała być zatwierdzona przez inna osobę.

Szyfrowanie danych oraz bezpieczne kanały komunikacji stanowią podstawę bezpiecznego przepływu informacji. Jako standard firmowy powinniśmy przyjąć ograniczenie nieszyfrowanej korespondencji mailowej do absolutnego minimum. Techniki polegające na bardzo często używanym hasłowaniu przesyłanego pliku załącznika niestety nie spełniają praktycznie żadnej normy ochrony, którą moglibyśmy uznać za zadowalającą.

Dział bezpieczeństwa IT powinien dążyć do eliminacji jak największej ilości czynników błędu ludzkiego, starając się jednocześnie zapewnić jak najszerszy i najefektywniejszy dostęp do zasobów IT firmy dla pracowników.

Autor pracuje jako IT onsite engineer/security protection administrator w firmie Sitel

Avatar

Dominik Lewandowski

IT onsite engineer/security protection administrator w firmie Sitel