IT sigurnost

ODABIR KARIJERE NIJE BEZNAČAJAN FAKTOR KOD PROCJENE OSJETLJIVOSTI NA PHISHING NAPADE. UKOLIKO SE BAVITE FINANSIJAMA, ŠANSE ZA NASJEDANJE NA PHISHING PREVARE SU BAREM ČETIRI PUTA NIŽE. S DRUGE STRANE, OSOBE KOJE SE BAVE MARKETINGOM MANJE SU SKEPTIČNE PREMA OVAKVIM POKUŠAJIMA PREVARE, ŠTO JE DOBRA ILUSTRACIJA SIGURNOSNE KULTURE, ALI I PSIHOLOŠKIH PROFILA ŽRTAVA OVIH NAPADA

n Piše: Mirza Bahić redakcija@asadria.com

Ljudski faktor u održavanju cyber sigurnosti nerijetko je potcijenjen u korist tehnologije. Ipak, cifre su neumoljive: 21% posto zaposlenika je u posljednjih 12 mjeseci ostalo bez posla nakon što su napravili grešku koja je ugrozila sigurnost kompanije u kojoj rade. U vrijeme hibridnih modela rada, gubitka granice između radnog i slobodnog vremena, ove greške postaju sve skuplje i traže potpunu reorganizaciju sigurnosne kulture u kojem će i psihologija cyber sigurnosti imati jednako važnu ulogu kao i tehnološka rješenja.

Navedeni podaci rezultat su istraživanja koje je nedavno provela kompanija Tessian, koja se bavi cyber sigurnošću. Povod je rast broja sigurnosnih incidenata u kojima ljudski faktor igra ključnu ulogu. Ove situacije uključuju slanje e-maila na pogrešnu adresu i padanje na trikove koji se koriste za phishing napade. Nakon višedecenijske kontinuirane priče o važnosti cyber sigurnosti, istraživači u Tessianu s pravom su se zapitali zašto je broj osoba koje su nasjele na phishing e-mail u kojem se napadač predstavio kao njihov nadređeni skočio sa 41% u 2020. na 52% u 2022. Šta se drastično promijenilo u ljudskoj psihologiji u samo dvije godine? Odgovor je ponešto složen, ali može ga se sažeti u tri ključna faktora: hibridni model

Psihološki faktor je ključan i kod procjene rasta broja zaposlenih koji su bili žrtve phishing napada. To je u 2022. svaki četvrti zaposlenik (26%). Mnogi od njih su bili prevareni formatom poruke u odnosu na ono za šta su obučeni. I tu psihologija igra važnu ulogu: usljed viška fokusa na e-mailove kao primarne izvore prijetnji, zaposlenici su često ignorisali druge pravce napada poput SMS poruka. Nemali broj njih (32%) ugrozio je sigurnost kompanije otvaranjem jedne takve poruke koju je zaprimilo i do 56% zaposlenih. Pri tome, napadači se oslanjaju na dodatni psihološki faktor jer se SMS-ovi koriste kao sredstvo verifikacije online plaćanja prilikom online kupovine i naivno se smatraju dovoljno sigurnim komunikacijskim formatom.

rada, nedefinirano radno vrijeme i višak umora zaposlenika u vanrednim okolnostima. Ovo posljednje je posebno vidljivo i u segmentu koji se može činiti banalnim, ali, zapravo, predstavlja važan sigurnosni rizik – slanje e-maila pogrešnoj osobi. Kao dokaz, u istraživanju je navedeno da je procent osoba koje su izgubile kupca ili klijenta zato što je zaposlenik poslao email pogrešnoj osobi porastao sa 20% u 2020. na 29% u 2022. godini.

Lako je pomisliti da su otkazi osobama koje su ugrozile sigurnost organizacije slanjem e-maila na pogrešnu adresu pretjerani. Ipak, čak i ovakvi incidenti mogu imati krupne sigurnosne posljedice. U prvih devet mjeseci 2021. broj ovakvih incidenata prijavljenih nadležnim organima na području SAD-a bio je 32% veći u odnosu na isti period 2020. godine. Osim obavještavanja nadležnih organa o incidentima, kompanije su dužne prijaviti gubitak osjetljivih podataka i svojim klijentima. Oko 35% ispitanika navelo je da su bili prisiljeni na ovaj neugodan čin nakon greške sa slanjem e-maila. Pored neugodnosti, ove situacije nanose značajnu štetu odnosu povjerenja koji kompanije godinama grade sa svojim klijentima. Skoro trećina (29%) ispitanih navela je da je njihov biznis izgubio klijenta kao rezultat slanja e-maila pogrešnoj osobi.

Zbog teških sankcija za ovakav vid sigurnosnih propusta porastao je i broj osoba koje su spremne prešutjeti ovakve propuste. Ovaj broj je sa 16% prije samo dvije godine sada skočio na 21%, što je posebno obeshrabrujuće za sigurnosne menadžere. Eksperti predlažu obrnutu psihologiju kao odgovor, odnosno fokus na nagradu umjesto na kaznu za zaposlenike koji naprave opasne greške. Ako se zaposlenici osjećaju neugodno tokom saradnje sa sigurnosnim timom, to osoblje nikada neće biti blagovremeno obaviješteno o greškama i problemima jer će ih zaposlenici izbjegavati. Umjesto toga, promocija partnerskog odnosa osoblja za cyber sigurnost i ostalih zaposlenika ojačat će odnos povjerenja i ugraditi ga u temelj poslovne sigurnosne kulture.

Vjerovatnoća da ćete posrnuti nakon susreta sa phishing udicom ima i jasnu psihološku komponentu. A ona je uvjetovana i vašom dobi i odabirom karijere. Za početak, procenat zaposlenih koji padnu na phishing prevare na poslu znatno je zastupljeniji kod mlađe populacije. Zapravo, ova demografska skupina ima pet puta veću šansu da će kliknuti na phishing e-mailove od starijih zaposlenika. Zašto je to tako? Istraživači se slažu u jednom, a to je da napadači uspješno koriste jednu od najjačih ljudskih emocija – pohlepu. Znači li to da su mlađi ljudi pohlepniji od starijih i zato skloniji otvaranju phishing poruka? Odgovor je, zapravo, složeniji i tiče se i vanjskih okolnosti. Tokom 2020. i 2021. ključna emocija kod zaposlenika izloženih phishing napadima bila je želja za zaštitom zdravlja i osnovnom sigurnošću. Zato je ova tema provlačena kroz nemali broj poslanih phishing poruka, i to veoma uspješno. Nakon prolaska vrhunca pandemije phishing napadači se vraćaju obećanjima o naglom bogaćenju pomoću tehnologije koja ima jasnu dobnu komponentu – kriptovaluta. Dakle, odabir karijere nije beznačajan faktor kod procjene osjetljivosti na phishing napade. Ukoliko se bavite finansijama, šanse za nasjedanje na phishing prevare su barem četiri puta niže. S druge strane, osobe koje se bave marketingom su manje skeptične prema ovakvim pokušajima prevare, što je dobra ilustracija sigurnosne kulture, ali i psiholoških profila žrtava ovih napada.

Na kraju, istraživači kao smjernice budućeg djelovanja sigurnosnih timova predlažu oslanjanje na statistiku. U posljednjih 12 mjeseci zaposlenici su pravili sigurnosne greške najčešće kao rezultat umora, stresa i rastresenosti. Više od polovine (51%) navelo je da griješe na poslu kada su umorni. Rad na daljinu ovdje nije od pomoći – polovina ispitanih kaže da su više rasijani kada rade od kuće, a 43% da su u tim situacijama pod većim stresom. Psiholozi i stručnjaci za cyber sigurnost još rade na usavršavanju strategije za borbu protiv ovih pojava. Kao rješenja se predlažu češće radne pauze, izbjegavanje nepotrebnog opterećenja videosastancima, kao i upoznavanje sa phishing strategijama za različite dobne i profesionalne profile radne snage. t