Η αρθρογραφία, η οποία σχετίζεται με τους κινδύνους που υπάρχουν στον κυβερνοχώρο, εστιάζει τις περισσότερες φορές στον ανθρώπινο παράγοντα, ως κύρια αιτία των διαφόρων ζημιών – οικονομικών, απώλειας πολύτιμων δεδομένων κλπ.- που προκαλούνται από τις εκάστοτε επιθέσεις. Τι συνιστά όμως, το ανθρώπινο λάθος; Και ποιες είναι στην πραγματικότητα οι συμπεριφορές που ενδεχομένως να «εκμεταλλεύονται» τα κακόβουλα λογισμικά; Εφόσον κατανοήσουμε καλύτερα αυτό το κομμάτι, καθώς και τα αδύναμα μας σημεία ως χρήστες, θα μπορέσουμε να πετύχουμε πολλά περισσότερα στον τομέα της ασφάλειας και της προστασίας στον κυβερνοχώρο.
Τι εννοούμε πραγματικά όμως, όταν μιλάμε για τον ρόλο του ανθρώπινου παράγοντα σε αυτά τα ζητήματα;
Η έννοια στην πραγματικότητα δεν σχετίζεται τόσο με το οποιοδήποτε σφάλμα, που έχει κάνει ο εκάστοτε χρήστης, – εξαιτίας της συνολικής κουλτούρας και της ανεπαρκής ενημέρωσης γύρω από ζητήματα ασφαλείας- μιας και τα υψηλόβαθμα στελέχη, είναι πολύ πιο πιθανό να γίνουν στόχοι εξαπάτησης και απόπειρας υποκλοπής δεδομένων. Αυτό φυσικά συμβαίνει, καθώς έχουν στα χέρια τους πολύτιμες πληροφορίες ενός οργανισμού ή μιας εταιρείας. Η μέθοδος, που οι επίδοξοι δράστες συνήθως ακολουθούν, αποκαλείται «κοινωνική μηχανική» ή αλλιώς social engineering και εκφράζει όλες τις τεχνικές ηλεκτρονικής εξαπάτησης, εκφοβισμού ή εκβιασμού ενός ατόμου. Χρησιμοποιείται με σκοπό το θύμα να προχωρήσει σε αποκάλυψη προσωπικών και εταιρικών δεδομένων, ενίοτε μάλιστα και σε εξουσιοδοτημένες πληρωμές. Το μήνυμα ηλεκτρονικού ταχυδρομείου παραμένει το κύριο όπλο επίθεσης της κοινωνικής μηχανικής και συνήθως περιέχει κακόβουλο περιεχόμενο, το οποίο στέλνεται σε εταιρικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου. Οι δράστες στοχεύουν συχνά υπευθύνους για πληρωμές και χρηματοοικονομικές συναλλαγές, χρησιμοποιώντας μεθόδους ψυχολογικής χειραγώγησης. Αυτό συνήθως σημαίνει, πως τους εξαναγκάζουν να παραχωρήσουν πληροφορίες ή ακόμη και να πραγματοποιήσουν χρηματικές συναλλαγές. Η τακτική του επίδοξου δράστη, μπορεί να ξεκινάει από ένα απλό δόλωμα – π.χ την αποστολή ενός ψεύτικου τιμολογίου – έως και πιο περίπλοκα σχέδια – π.χ την κλοπή λογότυπων και ιστοσελίδων- που με την πρώτη όμως ματιά, εμφανίζονται έγκυρα μέσα σε ένα email. Σύμφωνα με την έκθεση πληροφοριών “AIG EMEA Cyber Claims Intelligence 2019”, σχεδόν το ένα τέταρτο των περιστατικών που αναφέρθηκαν στην AIG το 2018 οφείλονται σε απώλειες που προέκυψαν από την εξαπάτηση μέσω ηλεκτρονικού ταχυδρομείου, με σοβαρές ενδείξεις πως στα θύματα εξαπάτησης περιλαμβάνονται και πολλά ανώτερα διοικητικά στελέχη.
Έμφυτες Συμπεριφορές
Πολλοί ψυχοκοινωνικοί παράγοντες παίζουν σημαντικό ρόλο στην διευκόλυνση εξαπατήσεων, όπως για παράδειγμα η έμφυτη επιθυμία των ανθρώπων να φανούν χρήσιμοι στους γύρω τους, με το να είναι υπερβολικά πρόθυμοι. Κατά κάποιον τρόπο, το έγκλημα στον κυβερνοχώρο αποτελεί την μετεξέλιξη του φυσικού εγκλήματος, με την έννοια πως χρησιμοποιούνται οι ίδιες τεχνικές εξαπάτησης, εκβιασμού ή χειραγώγησης. Αυτό που διαφοροποιεί σημαντικά το έγκλημα στον κυβερνοχώρο, είναι η εκμετάλλευση ορισμένων αυτοματοποιημένων κινήσεων, που κάνουν οι άνθρωποι στην καθημερινή χρήση του υπολογιστή τους, σε συνδυασμό με την ψυχολογική επιρροή. Για παράδειγμα, ένα μόνο κλικ μπορεί να συνδέεται με ένα ισχυρό αίσθημα ανταμοιβής ή επιθυμίας για το περιεχόμενο που έγινε διαθέσιμο μέσα από μία μόνο κίνηση.
Οι εγκληματίες στον κυβερνοχώρο και τα παιχνίδια που παίζουν με το μυαλό μας
Η ουσιαστική κατανόηση των διαφορετικών κατηγοριών των εισβολέων του κυβερνοχώρου και τα χαρακτηριστικά του καθενός τους, θα βοηθήσει σημαντικά τις εταιρείες να προετοιμάσουν το εργατικό τους δυναμικό για τον καλύτερο εντοπισμό πιθανών απειλών. Από εθνικούς – κρατικούς παράγοντες έως κοινωνικοπολιτικούς «Hacktivists», οι διάφοροι εισβολείς έχουν και διαφορετικά κίνητρα. Σε γενικές γραμμές οι περισσότεροι παρακινούνται από κέρδος και αναζητούν τους ευκολότερους τρόπους για την απόκτηση χρήματος. Συνήθως δεν δρουν μόνοι τους, αλλά αποτελούν μέρος ενός οργανωμένου σώματος με υψηλή εξειδίκευση και συγκεκριμένα κίνητρα. Προτιμούν τα ψυχολογικά παιχνίδια, μιας και για τους ίδιους η εξαπάτηση μέσω κάποιας πλαστοπροσωπίας είναι κάτι εύκολο και «διασκεδαστικό». Αποτελεί μάλιστα, πολύ καλύτερη επιλογή από το να απαιτήσουν πρόσβαση στις πληροφορίες μιας εταιρείας με την χρήση ωμής βίας.
Προστατεύοντας τους ανθρώπους από τον ίδιο τους τον εαυτό
Οι εργοδότες πρέπει να λάβουν σοβαρά υπόψη τους τα ψυχολογικά τρικ των κυβερνοεγκληματιών και ιδιαίτερα το πώς εκμεταλλεύονται βασικές ανθρώπινες συμπεριφορές και χαρακτηριστικά, όπως την αυτοματοποίηση κινήσεων και συνηθειών – κλικ σε συνδέσμους- ή την καλή θέληση για εξυπηρέτηση -άνοιγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου-. Με την κατανόηση του τρόπου εκμετάλλευσης αυτών των χαρακτηριστικών, το προσωπικό παραμένει ενήμερο και σε αυξανόμενη εγρήγορση. Συμβάλλει έτσι στην σωστή εφαρμογή όλων των πρωτοκόλλων ασφαλείας, –όπως ο έλεγχος ταυτοποίησης χρήστη βάσει πολλών διαφορετικών παραγόντων– ώστε να καταπολεμήσει τα χαρακτηριστικά που τους καθιστούν ευάλωτους στην εγκληματική δράση. Βρισκόμενοι λοιπόν, σε μια συνεχιζόμενη μάχη ενάντια στις απειλές του κυβερνοχώρου, οι εταιρείες πρέπει να εγκαταλείψουν οριστικά τον όρο «ανθρώπινο λάθος» και να εστιάσουν στο πώς θα μπορέσουν να ενδυναμώσουν το εργατικό τους δυναμικό, ώστε να είναι πιο ασφαλές. Επιπλέον, οι εργαζόμενοι θα κάνουν καλύτερες επιλογές ασφάλειας εάν λαμβάνουν τακτικά εκπαίδευση υπό την μορφή εργαστηρίων, συσκέψεων, ομιλιών, δοκιμών και τακτικών ενημερώσεων με όλους τους απαραίτητους πόρους διαθέσιμους.
Μια καλύτερη και πιο προσεκτική εταιρική κουλτούρα
Γεγονός αποτελεί πως, οι εργαζόμενοι θέλουν να ικανοποιούν τις νέες ανάγκες που παρουσιάζονται στο πλαίσιο της εργασίας τους. Αυτό αναγκαστικά οδηγεί σε μερική παραγνώριση των βασικών κανόνων ασφαλείας. Ωστόσο, πρέπει να διατηρηθεί μια ισορροπία, ώστε οι εταιρείες να κατορθώνουν την επιτυχή προστασία του προσωπικού τους. Είναι καιρός να προχωρήσουμε πέρα από την επιφανειακή φράση «ανθρώπινο σφάλμα» και οι οργανισμοί να κατανοήσουν τις κρίσιμες αδυναμίες που μαστίζουν το εργατικό δυναμικό. Αυτό σημαίνει, καλύτερη εμπέδωση της συνολικότερης εταιρικής κουλτούρας και ενδυνάμωση της γνώσης των εργαζομένων μέσα από την ενημέρωση και την εκπαίδευση. Και καθώς το τοπίο απειλής στον κυβερνοχώρο μεγαλώνει και εξελίσσεται, είναι δεδομένο πως οι εταιρείες που θα επιβιώσουν θα είναι εκείνες οι οποίες θα εστιάσουν σε μια σφαιρική αντιμετώπιση, έτσι ώστε η απειλή να αντιμετωπίζεται τόσο τεχνολογικά όσο και μέσω της προληπτικής συμπεριφοράς των εργαζομένων.