Niesławna trójka

Poniżej znajdziesz trzy najpopularniejsze złe praktyki, które z zasady pogarszają wydajność pracy. Zaskakująco, te same praktyki działają jako rodzaj tarczy w atakach typu „-ishing”:

• Prokrastynacja – bardzo złe zarządzanie czasem, które pogarsza nasze samopoczucie i zmusza nas do pracy pod presją.
• Brak autorytetów – bardzo niskie zaufanie do osób, które przez formalną relacje i/lub zobowiązanie każą nam wykonać jakąś czynność. W tych sytuacjach czujemy się zmuszani do posłuszeństwa i pojawia się potrzeba oporu.
• Zbyt długie, nie czytam – połączone siły dwóch poprzednich punktów, powodują brak motywacji do zrozumienia szerszego kontekstu, skłaniając Cię do podjęcia decyzji nie tylko pod wpływem emocji, ale i ograniczonej wiedzy.

Zasady gry

Działanie niesławnej trójki może być wzmocnione przez zestaw efektów ubocznych takich jak stres, presja, brak czasu, brak pracy zespołowej i innych. To wzmocnienie działa do momentu, gdy te efekty uboczne tworzą stan FOMO (Fear Of Missing Out), który pod groźbą utraty kontroli nad sytuacją motywuje nas do działania, skutecznie eliminując złe praktyki.

FOMO, gdy aktywowane, staje się naszą motywacją, aby przeciwdziałać niskiej produktywności i zwiększyć efektywność w podejmowaniu decyzji poprzez:

• Zmniejszanie czasu poświęcanego na podejmowanie decyzji.
• Zmniejszanie ilości danych, niezbędnych do budowaniu kontekstu.

Te dwa czynniki to „słabe punkty w cyberbezpieczeństwie”, które kryminaliści na co dzień wykorzystują poprzez ataki typu *ishing, takie jak:

• Phihsing – używanie wiadomości email do przejęcia twojej aktywności.
• Vishing – używanie wiadomości głosowych, w celu perswadowania i manipulacji.
• Smishing – używanie SMS lub innego sposobu przesyłania wiadomości, aby nakierować lub wpłynąć na twoje decyzje.
• Quishing – oszustwa przy użyciu kodów QR,
• Someishing – oszustwa przy użyciu mediów społecznościowych.

Wszystkie powyższe ataki bardzo efektywnie wykorzystują „ludzką naturę”, w miarę jak szukamy najlepszych rezultatów.

Zasady cybergry

Zasady wydajności w cyberprzestrzeni różnią się od tych uformowanych przez nasze doświadczenie życiowe. Automatyzacja naszego umysłu może być wykorzystana przeciwko nam, więc musimy ją zużytkować dla naszego bezpieczeństwa (tak jak  np. technologie AV/XDR, MFA, programy do zarządzania hasłami, NGFW/IPS/IDS i inne). Najlepsze reakcje naszego mózgu nie gwarantują najwyższej możliwej produktywności, ale mogą stanowić skuteczną obronę przed atakami socjotechnicznymi. Doskonałymi przykładami jest wyżej wymieniona niesławna trójka.

Prokrastynacja – jest użyteczna w ochronie przed zachęcaniem do automatycznej reakcji, kiedy twoje zachowania zdominowane są przez emocje. Ktoś chce żebyś działał od razu w cyberprzestrzeni? Rozłącz połączenie sugerując, że teraz nie możesz rozmawiać, przewiń do następnego posta, zrzuć powiadomienie i pozostaw do późniejszej analizy. Jest szansa, że o tym zapomnisz. A może dzięki temu zdemaskujesz oszustwo. Przestępcy przeprowadzają ataki na dwa sposoby: szeroko lub zorientowane na konkretną osobę lub grupę. Prokrastynacja może pomóc uniknąć pierwszego i wzbudzić podejrzliwość w przypadku drugiego, dzięki spowolnieniu reakcji i daniu sobie czasu na analizę sytuacji.

Brak autorytetów – Tak, dobrze słyszałeś! Kwestionuj wszystko co wysyłają Ci przez e-mail czy SMS. Pojedyncza wiadomość jest tylko sygnałem w cyberprzestrzeni. Możesz ja zignorować, a jeżeli chcesz być pewny przejdź do źródła i zweryfikuj ją (sprawdź Bank, zadzwoń na policję lub inny autorytet). Wiadomość zawiera twoje osobiste lub wrażliwe informacje? Co z tego. Dane większości ludzi są dostępne bez autoryzacji, nie ustalaj na ich podstawie autentyczności. Czy zadzwoniono do ciebie z banku? Czy ktoś zna twój numer karty kredytowej? Co z tego? Zapytaj o to, ile wydałeś przez ostatni rok na podróże – Nie wiedzą? Więc to nie jest twój bank!

Zbyt długie, nie czytam – Czy otrzymałeś wiadomość, telefon lub zapytanie, które „buduje kontekst”?  Zignoruj je. Jeżeli informacja jest ważna najprawdopodobniej kontakt ponowi się. Zaplanuj czas na swoją uwagę również następnego dnia. Użyj dowolnej wymówki: wyczerpanie, przepracowanie, problemy ze zdrowiem… nie masz czasu lub siły by „nauczyć się nowego kontekstu”, więc odłóż go lub pozostaw na zawsze. Jeżeli atak nie jest wycelowany, jego koszt jest niski i prawdopodobnie nie zostanie ponowiony w najbliższym czasie. Personalizacja zwiększa koszt i zmniejsza ewentualny zysk cyberprzestępcy, nawet jeżeli użyją twoich publicznie dostępnych danych.

Najlepsze praktyki do używania złych praktyk.

Bądź czujny. Mierz swój sukces. Tak jak jest trudno zracjonalizować dobre praktyki w celu zwiększenia produktywności, tak samo trudno jest zawsze kończyć dzień w dobrym nastroju, zwłaszcza w czasie pandemii. Nie czuj się winny, jeżeli zauważysz słabą wydajność twojej pracy. Zamiast tego użyj jej, by zracjonalizować ogrom informacji jaki pochłaniasz z cyberprzestrzeni. Daj sobie czas. Jeżeli coś jest pilne, są inne metody podejmowania ważnych decyzji. Użyj robotów i technologii, by zautomatyzować proces podejmowania decyzji i poczekaj, a przynajmniej ochłoń trochę. Każdy ma swoje granice. Znaj swoje i korzystaj z nich mądrze.

Bądź bezpieczny. Dbaj o zdrowie. Bądź sobą.

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony ekspert i pasjonat bezpieczeństwa informacji.

Artykuł Złe praktyki, które niespodziewanie działają jako obrona przed atakami socjotechnicznymi. pochodzi z serwisu IMNS.

Zacznijmy od ofiar. Przyjęło się powszechnie uważać (zapewne w wyniku próby szybkiego rozwiązania problemu), że obecnie obserwowana w mediach duża skala zjawiska kradzieży tożsamości i oszustw finansowych z jej użyciem wynika głownie z winy samych ofiar – braku ich współpracy w zakresie stosowania dobrych praktyk i uważności. Faktyczną skalę zjawiska można prześledzić w tym raporcie i choć dane wskazują na zmniejszenie zjawiska (wbrew doniesieniom medialnym) to autorzy raportu między innymi wskazują na związek pomiędzy szybką reakcją użytkowników i zastrzeżeniem dokumentu tożsamości (baza ma ponad 1.7 mln rekordów w tym roku). Mimo tego pozytywnego trendu, około 12 zdarzeń tego typu występujących każdego dnia wskazuje, że problem nadal istnieje i nie jest marginalny. Dlaczego „nie współpracujemy” jako użytkownicy z zalecanymi dobrymi praktykami? Do głównych powodów zaliczamy:

1. Założenie, że błędy i wypadki nas nie dotyczą, zdarzają się wyłącznie innym
2. Brak świadomości konsekwencji
3. Brak wiedzy na temat dobrych praktyk
4. Brak organizacji, a przez to czasu na dobre praktyki
5. Zbyt dużą pewność siebie
6. Poleganie na przekonaniu, że „na pewno ktoś o to dba, ja nie muszę”
7. Brak wypracowanych nawyków uwzględniających dobre praktyki

Ten sam problem nazywany w środowisku służbowym „brakiem zgodności z wymogami” jest często objawem różnicy w priorytetach bądź celach pomiędzy „niezgodnym” użytkownikiem a organizacją.

Idąc dalej tym tropem, szybko odnaleźć można dalsze przykłady obecności czynnika „braku współpracy”:

1. „nie mam na to czasu” – jedna z najczęściej powtarzanych fraz związanych z ochroną własnych interesów i nie dostrzeganiem wspólnego celu, występuje powszechnie w organizacjach ze złym zarządzaniem zasobami i brakiem ustalonych priorytetów zadań, pojawia się gdy personel nie jest pewny swojej pozycji i stosuje strategię „nic beze mnie” tworząc sytuacje pojedynczego punktu awarii/szyjki butelki. Pozornie ta strategia promuje współpracę z tym konkretnym pracownikiem, jednak efektywnie prowadzi do utrudnień komunikacyjnych, przestojów w realizacji zadań, presji na wszystkich uczestników procesu. Przeciwdziałanie temu efektowi wymaga rozwijania kompetencji Poznaj, Prywatność oraz Odzyskaj. Organizacyjnie należy upewnić się, że wspólny cel jest wartością znaną i akceptowaną we współpracujących grupach a priorytety ich zadań mają na celu realizację tego celu. Promowanie komunikacji, dyskusji, kanału zwrotnego dla decyzji i świętowania sukcesu są kluczowymi strategiami przeciwdziałania temu czynnikowi.
2. „malowanie trawy na zielono” – strategia ukrywania dowodów w przypadku zapytania o stan faktyczny, manipulacja dostępnymi danymi na własną korzyść (na poziomie osobistym lub grupy/jednostki organizacyjnej), ponownie ma swoje źródło w braku zarządzania zasobami i przypisania priorytetów do zadań, prowadzi do powstania i utrwalenia błędnego obrazu sytuacji, podejmowaniu wadliwych decyzji i braku świadomości istniejących (ukrytych) podatności jak i znacznego utrudnienia powrotu do stanu normalnego w przypadku braku współpracy przy reakcji na incydent (patrz następny punkt). Konsekwencje tej strategii są bardzo kosztowne, często powodując dużo poważniejsze straty niż tylko bezpośrednie koszty incydentu, prowadzą bowiem do utraty zaufania, zwolnień, wzmocnienia efektu strachu i winy w organizacji, co z kolei zwiększa motywację do pogłębienia tego zjawiska, pozornie wbrew oczekiwaniom. Kompetencje jakie należy wzmocnić to Poznaj, Rozwaga, Reaguj. Strategie organizacyjne przeciwdziałania temu efektowi to promowanie kultury „bez winy”, poszukiwanie prawdziwych źródeł problemów, edukacja, komunikacja i promowanie gier zespołowych wraz z oczywistym promowaniem pracowników i postaw pro-aktywnych w zakresie bezpieczeństwa.
3. „to nie ja” – postawa powszechnie spotykana w obliczu konsekwencji wynikających z incydentu bezpieczeństwa. Jest to naturalna reakcja na stres i niespodziewane konsekwencje w ramach próby ich uniknięcia. Efekty tej postawy to mylenie lub podawanie błędnych faktów, zaciemnianie wiedzy, zmiana chronologii wydarzeń – choć zazwyczaj jest to efekt stresu i faktycznego jego wpływu na zdolności postrzegania i zapamiętywania faktów, to po upływie czasu (kilkanaście godzin) staje się już celową strategią ochronną, gdzie fałszowanie obrazu rzeczywistości na własna korzyść staje się celowym zadaniem. W konsekwencji reakcja na incydent i powrót do stanu normalnego znacznie się wydłuża, pojawiają się ślepe wątki, spowalniające i utrudniające faktyczną reakcję na zagrożenie. Głównym powodem późniejszego „braku współpracy” ofiary jest jego przeświadczenie o zeznawaniu przeciwko sobie w związku z obowiązującą w organizacji kulturą winy. Kompetencje jakie należy wzmocnić to Rozwaga (szczególnie z naciskiem na konsekwencje własnych czynów), Reaguj (z naciskiem na możliwość ograniczenia strat przy szybkim raporcie), Odzyskaj (wsparcie dla powrotu do stanu normalnego). Organizacyjnie, krytycznym dla wyeliminowania tego zjawiska jest promowanie „kultury bez winy”, w ramach której z porażek wyciągane są lekcje, których koszt nie ponosi jedynie „operator-ofiara”, wysoce zalecane jest również częste i obejmujące wszystkich pracowników testowanie planów reakcji na incydent wraz ze scenariuszami charakterystycznymi dla każdego pracownika, pozwalające mu zrozumieć odpowiedzialność jaką ponosi na swoim stanowisku pracy.

Przy okazji braku pracy zespołowej nie można nie wspomnieć o kluczowym aspekcie wymiany informacji o zagrożeniach i reakcji na historyczne zdarzenia, oczekiwane od profesjonalistów zajmujących się bezpieczeństwem informacji. Przykładem braku takiej pracy zespołowej i poważnych jej konsekwencji jest incydent w firmie Norsk Hydro, gdzie znany wcześniej malware nie został prawidłowo potraktowany przez dostawców rozwiązań bezpieczeństwa, co uniemożliwiło zablokowanie zagrożenia w momencie jego instalacji. Jak się okazuje, rozwiązaniem mogło być odwołanie znanego certyfikatu, którym podpisany był złośliwy kod, co ułatwiłoby jego zablokowanie albo choćby informacje o anomalnym zachowaniu. Tą unikalną perspektywą problemu Norsk Hydro podzielił się Kevin Beaumont tutaj. Problem wymiany informacji i współpracy organizacji i podmiotów gospodarczych oraz zespołów badaczy czy „obrońców” odpowiedzialnych za reakcję na zagrożenia technologiczne, stanowi podstawę szeregu rekomendacji i dyrektyw, włączając w to: Dyrektywę NIS (a w konsekwencji polską ustawę o krajowym systemie cyberbezpieczeństwa), oraz ostatni Cybersecurity Act dający trwały mandat Europejskiej Agencji Cyberbezpieczeństwa (wcześniej ENISA), wspominając tylko aktywność Uni Europejskiej w zakresie wzmocnienia „pracy zespołowej” w celu zapewnienia bezpieczeństwa w cyberprzestrzeni.

Powyższe przykłady braku pracy zespołowej, czy braku współpracy są jedynie przykładami. Każdy osobiście jest w stanie znaleźć ich więcej w swoim otoczeniu prywatnym i służbowym. Główne pytanie, które pozostawiamy do samodzielnej odpowiedzi to: co z tą wiedzą zrobimy i kiedy?

Spokojnego dnia!

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony ekspert i pasjonat bezpieczeństwa informacji.

Artykuł Pechowa Dwunastka: Gra do jednej bramki pochodzi z serwisu IMNS.

Gdybyśmy jednak mieli nieco więcej czasu oraz zdystansowaną perspektywę na badany problem, dostrzec możemy elementy mające dużo większy wpływ niż te wymienione, jak: presja, stres, zmęczenie, zwyczaje, samozadowolenie i dzisiejszy temat – utrata uwagi.

Jeśli kogoś dziwi taki, a nie inny wybór tych grup, niech spojrzy na problem z punktu widzenia czasu. Problemy zidentyfikowane w grupie pierwszej opisują zdarzenia dłuższe, dostrzegalne, te z grupy drugiej mają charakter tymczasowy, ulotny, przez co dużo trudniejszy do zrozumienia i docenienia ich prawdziwego znaczenia.

Ale dość teoretyzowania, czas na przykłady. Utrata uwagi nie wydaje się czymś szczególnie istotnym w przypadku bezpieczeństwa informacji, gdzie nikogo nie rozjedziemy (jeszcze) lub nie przygnieciemy jakimś żelastwem. Jak to jednak w życiu bywa, wszyscy możemy być ugotowani, jak ta żaba, o ile tylko temperaturę „wody” ktoś podnosi powoli. Takim najpowszechniejszym przykładem dewastacyjnego efektu utraty uwagi jest… proces logowania. Każdy z nas, prawdopodobnie kilka razy dziennie wprowadza jakieś hasło lub pin, czasami to samo, kilkukrotnie. Często w wielu sytuacjach, prowadząc rozmowę, myśląc o czymś intensywnie, idąc ulicą (na smartfonie), czy zaraz przed, lub chwilę po aktywności, która pochłonęła nas w całości (jak ważne spotkanie lub presja czasu). Ile razy zdarzyło nam się „o mały włos” nie zablokować konta? Polityki kontroli dostępu zazwyczaj zakładają 3 błędne próby, w sytuacji rozproszenia uwagi, to o jakieś 20 za mało.

Dla haseł, które wprowadzamy często, które mamy „w palcach” (a tak naprawdę wspierane są pamięcią sensoryczną) i dla których nie musimy się zastanawiać, tylko zwyczajnie je wpisujemy – utrata uwagi jedynie w przypadku silnych bodźców może mieć istotne znaczenie. Jednak wymóg zmiany hasła co 30 dni i praktyczne podejście do NIE blokowania ekranu prowadzi, w skutkach do sporego wysiłku i skupienia w celu nie tylko przypomnienia hasła, ale i jego wprowadzenia (tak, znaki specjalne, cyfry i generalnie losowe hasło jest trudne do wpisania). Poziom trudności rośnie, gdy klawiatura jest inna niż zazwyczaj używamy, gdy klawisze (ekranowe) są za małe, gdy robimy to jedną ręką (a nie dwiema jak zazwyczaj). Wtedy zwykłe dźwięki, dostrzeżenie czegoś kątem oka, czy nawet powiadomienie na „ekranie” utrudnia i często uniemożliwia poprawne wprowadzenie hasła.

Zablokowanie konta, w wyniku wielokrotnego wprowadzenia hasła wydaje się małym problemem, jednak w przypadku presji czasu, lub długiego procesu odblokowania (czy to czasowego, czy złożonego z wielu czynności) prowadzi do frustracji, wzrostu stresu, niekontrolowanej konsumpcji zasobów, poczucia winy, ograniczenia świadomości kontekstu i wielu innych negatywnych efektów, które bezpośrednio mogą doprowadzić do incydentu.

Nie trzeba daleko szukać. Czas utracony na odblokowaniu konta (lub dłuższy związany z resetem hasła i jego zapamiętaniem) może wywołać na nas presję, która ograniczy naszą zdolność poznawczą oraz czujność, pod pretekstem skupienia na zwiększeniu wydajności, co znowu prowadzi do bezpośredniego wykonywania poleceń, bez ich kwestionowania, co jest efektem oczekiwanym przez atakujących za pomocą phishingu i pretekstu. Warto również pamiętać, że utrata uwagi zostaje na dłużej i najczęściej prowadzi do lawinowego efektu wzmacniania kolejnych czynników Pechowej Dwunastki.

Innym przykładem dewastacyjnej roli utraty uwagi jest praca na dwóch środowiskach, produkcyjnym i testowym (czy też oficjalnej i roboczej wersji pliku), gdzie różnice graficzne pomiędzy oboma środowiskami są minimalne i wymagają skupienia oraz zwracania uwagi na szczegóły. To jest sytuacja „dojrzała” do incydentu bezpieczeństwa informacji.

Kolejnym przykładem negatywnych skutków utraty uwagi jest wykonywanie poleceń zgodnie z listą kontrolną. Rozproszenie uwagi, czy to przez rozmowę, czy inną czynność, prowadzi do powrotu do pracy, z założeniem „dokończonego” zadania, nad którym pracowaliśmy i przejścia do kolejnego kroku. Jest to naturalna strategia mózgu związana z identyfikacją „widzianych” już dzisiaj sytuacji. To, że zadania te nie zostały dokończone, nie jest tutaj kluczowe w procesie poznawczym. Dlatego jednym z tak efektywnych sposobów na przeciwdziałanie błędom wynikającym z utraty uwagi jest posiadanie szczegółowej listy kontrolnej (rozróżnialne zadania na pierwszy rzut oka), stosowanej wraz ze strategią cofnięcia się o kilka kroków w celu zweryfikowania czy przed utratą uwagi, wszystko zostało poprawnie wykonane.

Ostatecznie, tym co działa w pokonywaniu czynnika utraty uwagi jest zrobienie sobie przerwy. A jeśli sytuacja zdarza się za często, wdrożenie zmiany okoliczności, które wprowadzają czynnik rozproszenia uwagi. Warto przy tym wziąć pod uwagę nasze zdolności poznawcze i uwzględnić zarówno funkcjonowanie naszych zmysłów (tak, hałas i oświetlenie ma znaczenie), jak i interfejs narzędzi z jakimi pracujemy. Dlatego tak ważne jest również dobre zrozumienie i zapoznanie się z narzędziami, jak i dbanie o ich stan. Ciągłe ignorowanie monitów o aktualizację, czy błędów wspiera czynnik utraty uwagi, rozpraszając nas i utrudniając pracę.

Podsumowując, utrata uwagi zdarza się każdemu, niestety równie powszechne jest nietraktowanie jej poważnie. Jako, że zarówno sama, jak i chętnie z innymi elementami Pechowej dwunastki prowadzi do błędów ludzkich, stanowiących symptomy poważnych incydentów bezpieczeństwa organizacji – warto:

1. Znać ograniczenia stosowanych narzędzi (Ochroń ?) i potrafić z nich korzystać, oraz równie ważne jak zaprzestać ich użytkowania, gdy zwyczajnie nasza uwaga jest zbyt rozproszona
2. Posiadać plan zapasowy (Odzyskaj ?), na sytuację, gdy zwyczajnie (np. w wyniku emocji) nie jesteśmy w stanie stosować typowych narzędzi -np. poprosić kogoś innego, zrobić sobie przerwę, uspokoić emocje,
3. Zawsze i wszędzie pamiętać o wartościach jakie wchodzą w grę (Prywatność ⛔) i na ile ignorowanie naszego braku uwagi może im zagrozić (jak np. oddanie się pod kontrolę atakującego metodami inżynierii społecznej)
4. Mieć na uwadze konsekwencje realizowanych czynów (Rozwaga ?), o ile zablokowanie dostępu do jednego z dziesiątków sklepów internetowych może stanowić problem, to jednak zablokowanie dostępu do poczty czy konta bankowego może mieć dużo poważniejszy wpływ na nas.

Na sam koniec, w ramach powiązania doświadczeń życiowych z bezpieczeństwem informacji, pamiętajmy, że najpoważniejszym i najczęściej występującym wyciekiem danych jest ten, który ma miejsce w związku z zagubieniem, kradzieżą lub uszkodzeniem urządzeń z danymi. Zdecydowana większość tych sytuacji ma miejsce z powodu utraty uwagi. Warto zatem o nią dbać. Dla bezpieczeństwa naszych danych i interesów.

Spokojnego dnia!

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.

Artykuł PECHOWA DWUNASTKA: Utrata uwagi pochodzi z serwisu IMNS.

Brak zasobów, postrzegany najczęściej jako forma ograniczenia zaplanowanego działania, stosuje się do tej samej zasady co ograniczenia, w ogóle. Nasze życiowe doświadczenia podsuwają wiele przykładów, gdzie brak świadomości, że coś nie można, lub że się nie da, nie przeszkodziło faktycznie wykonać zaplanowany zamiar. Na drugim końcu tego problematycznego kija stoi motywacja wraz z jej siłą do działania wbrew rozsądkowi i przesłankom. I tak, prosty w zasadzie problem braku zasobów, który powinien doprowadzić do żądania ich uzupełnienia i oczekiwania na możliwość działania zgodnie z zasadami wprowadza na scenę kreatywność oraz iluzję potencjału, czy to z powodu braku świadomości czy olbrzymiej motywacji.

Przykłady znamy wszyscy:

1. Brak czasu, wpływający na jakość wykonanej pracy, nasze zmęczenie i generujący szkodliwy stres,
2. Brak materiałów, wpływający znowu na jakość pracy i narażający nas na odpowiedzialność za prowizorki,
3. Brak reguł lub ich przekraczanie, które zagraża wartością jakie cenimy, w tym prywatności czy zdrowiu,
4. Brak siły roboczej, wpływający na wszystkie wcześniej wymienione.

W świecie cyber, praktycznie każde zagrożenie jakie znamy związane jest z brakiem zasobów i przekraczaniem obowiązujących standardów w imię kreatywności rozwiązań wynikających z tego braku. Są to:

1. Phishing – temat rzeka, ofiara wyobraża siebie czerpiącą korzyści z czegoś co jest ograniczone czasowo lub dostępnością, jak ekskluzywne treści, przeceny, zyski… dobrze dobrana przynęta jest wysoce skuteczna. Innym przykładem jest brak jasno określonych zasad i ich łamania, przez co przekraczanie ustalonych zabezpieczeń powinno zawsze zostać wykryte i odrzucone, a jednak BEC, czyli „oszustwo na prezesa” przyniosło w tym roku dwukrotnie więcej strat finansowych niż w roku 2018 zgodnie z raportem FBI zamykając się w kwocie około 1,3 miliarda dolarów (https://www.zdnet.com/article/fbi-us-companies-lost-1-3-billion-in-2018-due-to-bec-scams/) .
2. Podatności w oprogramowaniu – słabości kodu, wynikające ze sztywnych ram czasowych, presji na zespołach deweloperów oraz krótkim lub prawie zerowym czasie poświęconym testom bezpieczeństwa tworzonego kodu jest głównym źródłem problemu „podatności dnia zero” czyli błędów występujących w kodzie, którego właściciele właśnie dowiedzieli się o ich istnieniu. Niestety proces naprawy błędów, jest zarówno kosztowny, zajmujący więcej czasu niż ich testowanie, jest również (właśnie z uwagi na presję czasu) przyczyną powstawania nowych błędów, które również będą kiedyś klasy „zero”. Tak prosta mechanika wydaje się absurdalnie irracjonalna, jednak stanowi tło praktycznie każdego procesu rozwoju oprogramowania od małych firm po wielkie korporacje. Często przyczyną nie jest nawet kod, który został napisany przez pracowników firmy, ale sposób w jaki został użyty kod open-source. Statystyki są mocno niepokojące, wskazują, że około 60% kodu ma podatności w komponentach zewnętrznych. Dodatkowo warto pamiętać, że znajomość podatności w jednym publicznym komponencie pozwala atakować wiele celów używających tego komponentu, co zmniejsza koszt ataku i zwiększa jego popularność (https://www.cyberscoop.com/bootstrap-sass-infected-snyk-rubygems/).
3. Brak aktualizacji infrastruktury – podatności typu dnia zerowego są problemem samym w sobie, jednak najbardziej przerażający jest brak zamykania podatności istniejącymi łatami. Oczywiście wymówek jest tyle ile przypadków włamań. Od braku zasobów ludzkich, braku zdefiniowanych przerw serwisowych i planowanych włączeń usługi, przez brak wsparcia producenta dla przestarzałego produktu (ktoś przegapił cykl życia technologii), brak procedur testowych, czy choćby bardziej podstawowy – brak środowiska testowego, gdzie można określić wpływ poprawki na środowisko. Praca na infrastrukturze produkcyjnej w warunkach mocno ograniczonego czasu, czy wręcz incydentu, prowadzi do sprzężenia z czynnikiem stresu i prowadzi do powstania kolejnych błędów.
4. Brak „zapasu” – zarówno począwszy od zasobów eksploatowanych „pod dach”, jak i planów naprawczych, gdzie procedury BCP/DR przechodzą testy dla elementów infrastruktury, nigdy jednak nie były testowane, czy nawet skalowane na większe awarie, dotyczące choćby i 50% całej infrastruktury. W tym segmencie znajdujemy również kopie zapasowe, których brak testów z uwagi na nieistniejące środowisko zapasowe wprowadza czynnik niepewności przy procedurach odtworzenia. Niestety w wielu przypadkach dotyczy to również strategii archiwum danych, gdzie z uwagi na ograniczenia budżetu, brak monitorowania cyklu życia technologii często prozaicznie nie ma na czym odtworzyć danych lub nie ma osoby która jest w stanie daną technologię obsłużyć.

Jak przeciwdziałać czynnikowi ograniczonych zasobów? Choć to brzmi banalnie prosto, takie jest: Trzeba mieć plan. Dotyczy to zarówno zasobów infrastruktury jak i personelu.

Taki plan powinien uwzględniać:

1. konsumpcję zasobów,
2. koszty utrzymania,
3. koszty zaopatrywania w komponenty oraz wymiany,
4. cykl życia zasobów (sam zakup to dopiero początek opowieści),
5. optymalizację użycia zasobów,
6. racjonalne powiązanie z procesem wnioskowania o nowe zasoby.

Dodatkowo plan nie wdrożony, przetestowany i poprawiany regularnie, zwyczajnie nie działa i nie rozwiązuje problemu… co więcej sam stanowi inny problem, iluzji rozwiązania problemu.

Na poziomie osobistym, problem braku zasobów to kwestia ? reakcji na bieżące warunki pracy i ?asertywność w zakresie stawianych wymogów. Nie tylko nie należy zgadzać się na pracę bez zabezpieczenia w warunkach podwyższonego ryzyka, jak również silnie eskalować problem braku reakcji na zgłoszone ryzyka. W praktyce oznacza to, że praca na sprzęcie prywatnym naraża na straty finansowe i kłopoty prawne nie tylko pracodawcę, ale i nas samych oraz naszych bliskich. Praca ponad siły, w warunkach przedłużającego się stresu związana jest z ekstremalnie wysokim kosztem relaksu i naprawiania zdrowia, o ile to w ogóle będzie możliwe. Depresja, brak poczucia wartości czy brak możliwości wpływu na sytuację wokoło siebie jest obecnie problemem cywilizacyjnym wynikającym bezpośrednio ze stanu akceptowania czynnika braku zasobów i promowania „kreatywnego rozwiązania problemu kosztów”.

Gdy zjawisko dotyka zabezpieczeń informacji czy bezpieczeństwa fizycznego – nie ma miejsca na kompromisy. Przekraczanie granicy w pierwszej sytuacji prowadzi do kar finansowych i odpowiedzialności osobistej (tak, ostatecznie zostajemy sami z problemem), w drugiej zaś do utraty zdrowia lub życia swojego, współpracowników lub rodziny (jak np. wypadek samochodowy w wyniku przemęczenia bądź niesprawnego sprzętu).
Dlatego kompetencja ?rozwagi stanowi miarę naszego zaangażowania. Nie można podać uniwersalnego rozwiązania tego problemu, jednak posiadanie sprawnego planu zarządzania zasobami i potrzebami, wraz z komunikacją uwzględniającą realia zastosowanych ograniczeń technologicznych i proceduralnych (?ochroń) jak i zaangażowanego personelu (?szacunek) stanowią niezbędny punkt wyjścia. Warto tutaj zaznaczyć, podsumowując, że procesy, ludzie i technologie w dowolnej konfiguracji zawsze są podatne na problem ograniczonych zasobów, a skuteczne nimi zarządzanie nie polega na „kreatywnym nalewaniu z pustego”, tylko racjonalnej i bazującej na liczbach, ilościowej analizie ryzyka.

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.

Artykuł PECHOWA DWUNASTKA: Brak zasobów pochodzi z serwisu IMNS.

U podstaw efektu Dunninga-Krugera leżała seria eksperymentów, która wykazała, że osoby o małym doświadczeniu zazwyczaj przeceniają swoje możliwości, w przeciwieństwie do osób doświadczonych, które w większości przypadków nie doceniają swojej wiedzy. To właśnie ten efekt odpowiada za euforię i autorytatywny ton wypowiedzi osób, które spotkały się z akceptacją swoich opinii na podstawie dosłownie kilku trafnych odpowiedzi. Te osoby, zazwyczaj nie dostrzegają obszaru wiedzy niezbędnego do analizy dowolnego przypadku i generalizują rozwiązania w oparciu o kilka poznanych sytuacji. Takie podejście koncentruje się na dramatycznym poszukiwaniu poparcia doświadczonych ekspertów i potwierdzeniu poprawności prezentowanej opinii jako wiedzy. Niestety, jest to sprzeczne z rzetelną metodą falsyfikacji hipotezy (tym właśnie jest nasza opinia). Dopiero brak kontr-przykładu pozwala uznać ją za wartościową w poruszanym obszarze tematu. Np. czytając 10 recenzji na temat danej technologii można wyrobić sobie konkretną opinię na jej temat. Jednak dopiero posiadanie własnych doświadczeń, porównań do innych technologii, a przede wszystkim, weryfikowanie funkcjonalności, zamiast założenie, że faktycznie występuje tak jak jest opisana przez producenta, jest jednym z przykładów tego efektu w praktyce.

Ogólnie, przykłady można mnożyć, od dobrych praktyk, których celu praktycznie nie rozumiemy, po problemy życia codziennego, w których efekty:

1. Opierania się na naszej pamięci (tak, na pewno wyłączyłem żelazko),
2. Polegania na naszych nawykach (tak przecież zawsze robię i działa),
3. Wyciąganiu błędnych wniosków z oczywistych sygnałów (zdążę na czerwonym),
4. Przecenianiu sił i możliwości (zdążę to zrobić dzisiaj, do końca dnia),
5. Ignorowania ostrzeżeń i przekraczanie wyznaczanych granic (jak raz obejdę ten zakaz, nic się złego nie stanie),

każdy może zidentyfikować w osobistych i służbowych sytuacjach. Co więcej, tendencja do dostrzegania ich u innych, a nie u nas samych, jest również jednym z błędów poznawczych.

Zdarzenia manifestujące się pod wpływem tego zjawiska, najczęściej postrzegane są jako niegroźne. Ma to miejsce nawet gdy doprowadziły one do poważnego incydentu, gdyż zazwyczaj nie są identyfikowane w procesie poszukiwania przyczyn incydentu.

Jak przeciwdziałać efektowi Dunninga – Krugera? Przede wszystkich poznać własne ograniczenia jak i te wynikające ze szczegółowych procesów czy technologii. Konkretne strategie przeciwdziałania zawierają np.:

1. Przygotuj się, że coś może pójść niezgodnie z planem/założeniami
2. Nie podpisuj ani potwierdzaj wykonania pracy, której nie wiesz, czy jest wykonana
3. Sprawdź dwukrotnie wyniki swojej pracy
4. Nie ryzykuj licząc na szczęście bądź w oparciu o „zawsze się udawało”

Te proste porady w ramach systemu #poProstuBezpiecznie dotyczą następujących celów życiowych: #ograniczenia i #zaufanie i powiązanych z nimi kompetencjami bezpiecznej postawy: ? #ochroń i ? #szacunek. W ramach „celów życiowych”, wybór naszych wartości, którymi kierujemy się w życiu nakłada na nasze wybory ograniczenia, które skłaniają nas do poszukiwania pomocy, czy w formie innych osób czy technologii. Budowanie relacji zaufania jest tutaj krytyczne, gdyż zawiedzione zaufanie może sprowadzić na nas poważne konsekwencje. I choć zazwyczaj oba te obszary postrzegamy zewnętrznie, to odnoszą się one do nas samych w takim samym zakresie. Jeśli nie jesteśmy świadomi naszych ograniczeń poznawczych, tego jak i na jakiej podstawie, podejmujemy decyzje, jak nasze nawyki potrafią nas wprowadzić w błąd, ponosimy bardzo bolesne konsekwencje. Czy to jest zbyt duża wiara w systemy hamowania samochodu przy brawurowej jeździe, czy posiadanie 100% pewności, że dany rachunek został opłacony i to wezwanie do zapłaty to jakiś błąd. Rutyna ograniczonego zaufania co do siebie samego jest jednym z najtrudniejszych mechanizmów bezpieczeństwa, który np. pozwala ograniczyć wpływ emocji, niezbędnych do skutecznego ataku phishingowego. Świadomość obecności TU i TERAZ a nie opierania się na pamięci lub wyobrażeniach jest trudna, jednak możliwa do osiągnięcia poprzez trening samoświadomości i uważności, do których zachęcam każdego.

Jak to zrobić? Poznać siebie, swoje ograniczenia, testować się na małych wyzwaniach, o ograniczonych konsekwencjach. Można też sprawdzić się z #projektFeniks i poznać własny katalog ryzyk dla aktywności z udziałem technologii oraz zweryfikować swoje poglądy na temat dobrych praktyk. Najważniejsze jest jednak, zdać sobie sprawę z tego czego nie wiemy, a co zakładamy, że wiemy, choć nie mamy do tego żadnych podstaw. Tak przygotowani, możemy żyć z efektem Dunninga-Krugera i ograniczać jego negatywny wpływ na nasze decyzje.

O efekcie Dunninga-Krugera w cyberprzestrzeni można poczytać tutaj (po angielsku).

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.

Artykuł PECHOWA DWUNASTKA: o bezkrytycznym podejściu do siebie pochodzi z serwisu IMNS.

Przykładów jest dużo, więcej niż chcemy dostrzec przyglądając się sobie. Do tych najbardziej popularnych należą:

1. W pracy:
   • Praca z informacjami służbowymi i rozmowy o pracy w przestrzeniach publicznych, podczas podróży, w taksówce – gdzie nasze rozmowy mogą zostać podsłuchane, a ekran podglądnięty, dane przechwycone (używając publicznego wi-fi, nieznanego połączenia kablowego, przy braku stosowania VPN-a);
   • Przytrzymywanie drzwi z kontrolą dostępu – uprzejmie wpuszczając nieznajomych na teren firmy;
   • Wysyłanie „zaproszeń na pizzę” z konta mailowego użytkownika który nie zablokował ekranu urządzenia służbowego – niwecząc rozliczalność czynności przeprowadzonych w trakcie tej sesji logowania przez użytkownika i uniemożliwiając karanie pracownika-sabotażysty (nie wiadomo kto faktycznie wykonał operacje na tym koncie);
   • Obchodzenie zabezpieczeń proceduralnych i technicznych w celu większej elastyczności i wydajności realizowanych zadań służbowych, itp.
2. W domu:
   • „Tak jak wszyscy” – udostępnianie zdjęć, lokalizacji, informacji prywatnych publicznie w sieciach społecznościowych, przekazywanie prywatnych i intymnych informacji mailem u publicznego operatora (google, interia, onet, wp) – pozbawiając się kontroli nad naszymi tajemnicami bez świadomości konsekwencji;
   • Lekkomyślne podejście do tworzenia kopii zapasowych i archiwizacji danych ważnych dla naszych interesów – co w przypadku ich utraty lub braku dostępu (zagubienie, kradzież, ransomware) prowadzi do poważnych utrudnień;
   • Nadużywanie elektronicznych urządzeń ekranowych do komunikacji, rozrywki, edukacji i pracy w obecności bliskich, którzy potrzebują uwagi – co prowadzi do eskalacji problemów, budowania dystansu i ograniczenia postrzegania świadomości, docelowo do agresji i depresji.

Powyższa lista, choć niekompletna to w zakresie konsekwencji wygląda niepokojąco a nawet poważnie. Co można zrobić w celu redukcji obecności tego czynnika w naszym zachowaniu?

Samodzielnie oceń, jaka norma zachowania jest zgodna z Twoimi przekonaniami i wartościami, które cenisz a nie opieraj się na wymówkach, że inni również tak robią. Fakt, że inne osoby zachowują się w określony sposób nie oznacza, że to zachowanie jest poprawne. Asertywność ?i poznanie kontekstu ? są tutaj kluczowymi kompetencjami jakie należy rozwijać.

Niebezpieczne zachowania, nawet przyzwolone w obrębie danej społeczności (jak środowisko firmy czy zespołu, bądź rodzina) należy eliminować skutecznie. Iluzja braku konsekwencji złych nawyków i praktyk głównie bazuje na braku wiedzy o incydentach, do których doprowadziło takie zaufanie, co jest kolejną złą praktyką. Trwamy w błędzie, głównie dlatego że nie dostrzegamy realnie jego konsekwencji, mylnie interpretując przyczyny znanych incydentów. Np. uzyskanie dostępu do kontenerów w Amazon S3, czy baz danych Mongo, w wielu przypadkach zabezpieczonych prostym hasłem lub nawet jego brakiem jest powielaniem złych praktyk stosowanych w lokalnych zasobach (dom, firma). Oczywiście brak świadomości zabezpieczeń sieciowych w chmurze jest tutaj typowo wskazane jako przyczyna, a nie nawyki, które jednak faktycznie stoją za brakiem wskazanych mechanizmów. Z tego powodu, ? reagowanie na incydenty, w tym analiza ich skutków jak i zgłaszanie złych praktyk do poprawy, są kluczową kompetencją pomagającą wyplenić złe nawyki.

Trzecim najbardziej niewidocznym elementem redukującym opisane niepożądane zachowania jest komunikacja i współdzielenie zbliżonych wartości ⛔, czyli faktyczny sens prywatności – znajomość celu i tego co ma być chronione. Zapewnienie, że wszyscy zgadzają się co do podstaw, akceptują ustalone reguły i rozumieją jak własny przykład ? wpływa realnie na ich skuteczność to cel w zasięgu każdego człowieka i każdej organizacji.

Podsumowując. Źle się dzieje, gdy przyzwalamy w formie normy danej społeczności na realizację złych praktyk. Szczególnie gdy są one sprzeczne z naszymi celami i podważają wartość jaką cenimy w naszym prywatnym życiu, rodzinie czy organizacji. Już dzisiaj możesz przemyśleć co stanowi dla Ciebie wartość, jakie zachowania mają na nią negatywny wpływ i rozpocząć ich redukcję, a najlepiej eliminację.

Jeśli chcesz to robić w dojrzały sposób, rejestruj incydenty i analizuj ich przyczyny. Staraj się być w tym obiektywnym i takim podejściem zarażaj faktycznych lub potencjalnych uczestników incydentu. Zespołowa analiza incydentu sama w sobie będzie edukować i wspierać eliminację niebezpiecznych zachowań, zwłaszcza jeśli uda się znaleźć ich źródła i sformułować działania naprawcze. Monitorowanie ilości incydentów, zgodnie z zasadą, iż zarządzać można tylko tym co mierzalne, pozwoli ocenić czy Twoja praca przynosi owoce.

Powodzenia!

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.

Artykuł Pechowa Dwunastka: Spójrzmy przez lupę na nasze nawyki pochodzi z serwisu IMNS.

Na potrzeby tej formy, krótkiej i zwięzłej skoncentrujmy się na trzech przypadkach:

• Działaniu na nieaktualnej dokumentacji, które może doprowadzić do chaosu i błędów w operacjach,
• Wykonywaniu zadań bez uprzedniego treningu, narażające pracownika i reputację firmy,
• Próby rozwiązania problemu przez niedoświadczony, pozbawiony wiedzy i umiejętności personel, doprowadzające do eskalacji problemu w kryzys.

Prawdopodobnie większość z czytających tego bloga osób jest w stanie podać czy z własnego doświadczenia, czy zasłyszanych opowieści wiele przykładów tych błędów.

Ponownie odniosę się do najgłośniejszego incydentu z 2018 roku, włamania do Equifax, po wykorzystaniu niezałatanej luki w Apache Struts. Incydent wykryto po ponad 75 dniach, a można było praktycznie w ciągu jednego dnia. Ruch kierowany przez zaatakowany serwer webowy był poddawany inspekcji metodą przechwytywania ruchu szyfrowanego (HTTPS interception), dla którego krytyczny jest status certyfikatów używanych przez narzędzie realizujące inspekcję. W tym wypadku nieaktualny certyfikat (oraz idąc dalej, nieaktualne informacje o stanach certyfikatów oraz brak właściwego treningu operatorów technologii) doprowadził do wyłączenia inspekcji ruchu, tym samym nie pozwalając wykryć włamania. Po 75 dniach, gdy zorientowano się, że certyfikat nie jest aktualny i naprawie sytuacji, inspekcja została wznowiona co pozwoliło wykryć nieautoryzowany dostęp do wewnętrznych zasobów. Szczegóły można znaleźć między innymi tutaj.

Jak przeciwdziałać takim problemom?

Ustalić proces aktualizacji dokumentacji do stanu faktycznego – ta strategia, choć kosztowna, pozwala skrócić czas odpowiedzi na incydent i znacznie zredukować ilość incydentów poprzez dostęp osób realizujących operację do aktualnej dokumentacji, odzwierciedlającej bieżącą sytuację środowiska.

Wykonywać zadania do których zostaliśmy przeszkoleni – często występują sytuacje, gdy dla nowego produktu, lub zaktualizowanej technologii nie stosuje się szkolenia personelu stawiając go przed wyzwaniem, swoistym testem jego profesjonalizmu i zdolności rozwiązywania problemów. Ta krótkowzroczna oszczędność prowadzi do eksperymentowania, budowania hipotez o funkcjonowaniu technologii w oparciu o wiedzę z innych rozwiązań lub wersji, co prowadzi bezpośrednio do nieprofesjonalnego, opartego na próbach i zgadywaniu używania lub zarządzania nową technologią oraz nieuchronnego incydentu.

Nie próbować pomóc, jeśli nie wiemy jak to zrobić skutecznie – kluczowe jest tutaj „wiedzieć jak” co nie oznacza teoretycznej wiedzy, tylko praktykę. Prawdopodobnie, mając wystarczająco dużo czasu, dostęp do instrukcji, poradników i np. instruktażu na YouTube można poprawnie skonfigurować czy przywrócić dowolną technologię. Niestety rzeczywistość jest inna: niecierpliwa, zestresowana i pozbawiona drugiej szansy. Wiesz albo nie, czyli potrafisz lub nie próbuj. Obowiązuje tutaj zasada podobna jak w medycynie – po pierwsze nie szkodzić.

Na koniec zostawiłem najsilniejszą praktykę zaradczą – Jeśli nie wiesz – zapytaj! To trywialne i powszechnie znane rozwiązanie, zaskakująco często stosowane jest na końcu, błędnie przyjmowane jako porażka. Świadomość swoich ograniczeń, jest prawdziwą miarą profesjonalizmu zawodowego. Podobnie jak mierzenie sił na zamiary. Ta praktyka nie dotyczy tylko i wyłącznie problemu „wiem – nie wiem”, ale przede wszystkim upewnia Cię, że angażujesz się w sytuację którą rozumiesz, znasz jej bieżący stan.

W inicjatywie Kultury Bezpieczeństwa opracowaliśmy zestaw kompetencji, których rozwój pomaga sprawnie przeciwdziałać negatywnym efektom pechowej dwunastki poprzez usprawnienie bezpiecznej postawy.

Dla problemu braku informacji, polecam rozwijać kompetencje:
?Ochroń – znajomość ograniczeń technologii,
?Wykryj – znajomość stanu normalnego procesów i zdolność wykrywania anomalii,
?Szacunek – ograniczone zaufanie do siebie i innych ludzi oraz umiejętność rozpoznawania wpływu emocji na swoje decyzje,
?Rozwaga – zdolność przewidywania skutków swoich czynności.

Pełen program rozwoju własnej postawy bezpiecznej znaleźć można na blogu inicjatywy kultury bezpieczeństwa i w sieciach społecznościowych oraz YouTube.

Zdanie do przekazania innym i zapamiętania: „Jeśli nie wiesz – zapytaj!”

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony ekspert i pasjonat bezpieczeństwa informacji.

* Pechowa Dwunastka to dwanaście czynników błędów ludzkich, które występując w pewnych okolicznościach praktycznie materializują incydent bezpieczeństwa.

Lista tych czynników jest następująca:

• Organizacyjne: zwyczaje, brak wiedzy, brak komunikacji, brak zasobów, brak pracy zespołowej, presja.
• Personalne: utrata uwagi, zmęczenie, stres, brak świadomości, brak zaangażowania, przecenianie siebie.

Kolejne artykuły naszego bloga poświęcamy analizie każdego z tych czynników w kontekście bezpieczeństwa teleinformatycznego i nie tylko.

Artykuł Pechowa Dwunastka: Problem braku wiedzy pochodzi z serwisu IMNS.

Koniec roku jest często okazją do podsumowań i przemyśleń co się udało (a co nie), zrealizować ze swoich zarówno biznesowych jak i osobistych planów. To też czas na ocenę zmian na rynkach, choć główna taka analiza przypada na okres, zamknięcia roku fiskalnego. Dla krajobrazu zagrożeń technologii informatycznych, czy tez „cyber”, podsumowania dostępne są już teraz, razem z szacunkami na przyszły rok. Zainteresowanych takimi informacjami odsyłam tutaj oraz tutaj. Nikogo nie powinno dziwić, że statystycznie liczba incydentów raportowanych w roku 2018 jest znacząco większa niż w latach wcześniejszych. Dzieje się tak czy to z uwagi na eksploatację sprawdzonych schematów przestępczych, dających coraz to większe zyski atakującemu, czy to lepszego raportowania, po części wynikającego z powstających jak grzyby po deszczu przepisów i regulacji. Taki mamy klimat i trzeba jakoś sobie radzić.

To co się dzieje w okolicy i w środowisku w którym zarabiamy i odpoczywamy to jedno, drugie, dużo ciekawsze dla nas osobiście – to czy mamy osobisty wkład w te statystyki. Rzeczywistość bywa brutalna a praktyka nie pozostawia złudzeń. Nawet ekspert od bezpieczeństwa informacji popełni raz w roku błąd który jest przyczyną potencjalnego incydentu bezpieczeństwa. Czasami jest to kwestia takiego samego hasła używanego w kilku miejscach, w tym służbowych i prywatnych. Czasami to pendrive na szybko wciśnięty w służbowe urządzenie, czy prywatny telefon z danymi (np. adresowymi) firmowymi. A czasami to konkretne i poważne „wykroczenia” jak praca zabrana do domu, czy to na służbowym laptopie podpinanym do nieznanych sieci, czy też mailem, bądź na niezarejestrowanym nośniku.

Czy to w ogóle ma znaczenie? Jeśli incydent się nie „zmaterializował” i jakoś się tym razem udało, to czy należy się tematem przejmować? Tak. Zdecydowanie. Raporty podsumowujące to zjawisko w szczegółach, w tym ten tutaj, nie pozostawiają złudzeń. Zdecydowana większość incydentów bezpieczeństwa występuje z uwagi na niepożądane zachowania ludzi. Co zatem można zrobić, by uchronić swój biznes i zredukować swoje przyszłe ryzykowne zachowania? Jakie postanowienia noworoczne mają sens aby zmniejszyć szansę wystąpienia błędu ludzkiego, który może zostać wykorzystany przez przestępców, w tym tych działających w cyberprzestrzeni?

Tym tekstem rozpoczynam serię artykułów poświęconych analizie typowych przyczyn błędów ludzkich. Źródłem tego materiału są poważne badania zrealizowane przez, ale i na zamówienie amerykańskich i kanadyjskich organizacji nadzorujących lotnictwo i wypadki lotnicze. Jak się okazuje, czy to lotnictwo, czy cyberprzestrzeń, wszędzie tam gdzie jest człowiek – popełnia te same błędy. I choć konsekwencje jeszcze dzisiaj są mniej bolesne i poważne dla błędów w cyberprzestrzeni, ten stan rzeczy zmienia się szybciej niż możemy przewidzieć. Już dzisiaj zdalnie sterowany cyfrowy rozrusznik serca może stanowić śmiertelne zagrożenie i okazję do żądań okupu ze strony przestępcy. Podobnie samochód, czy linia produkcyjna, której zabezpieczenia ktoś zdalnie deaktywuje narażając życie i zdrowie pracowników.

Wspomniane badania określane są listą Brudnej Dwunastki. W naszym kraju, nadaliśmy jej bardziej swojską nazwę Pechowej Dwunastki, głównie z uwagi na nasz powszechny zwyczaj usprawiedliwiania swoich porażek „pechem”. Od stycznia, miesiąc po miesiącu omawiać będziemy na łamach tego bloga kolejne czynniki, które samodzielnie stanowią jedynie zagrożenie, jednak w kumulacji, praktycznie materializują incydent. Każdą z kategorii omówimy w kontekście technologii i interakcji ludzi z jej użyciem. Poruszymy dostępne, realne przykłady incydentów i zrobimy projekcję na nowe technologie.

Lista czynników błędów ludzkich jest następująca:

• Organizacyjne: zwyczaje, brak wiedzy, brak komunikacji, brak zasobów, brak pracy zespołowej, presja.
• Personalne: utrata uwagi, zmęczenie, stres, brak świadomości, brak zaangażowania, przecenianie siebie.

I jak? Interesujące?

O tym, jak istotne jest zrozumienie wpływu tych czynników na bezpieczeństwo technologiczne Twojej firmy może świadczyć analiza mega wycieku informacji z Equifax (2017 rok). Raport udostępniony kilka dni temu wskazuje jako bezpośrednią przyczynę brak aktualizacji systemów informatycznych na znaną podatność w środowisku Apache Struts. Pośrednią przyczyną, wskazaną przez eksperta od analizy zachowań ludzkich w kontekście bezpieczeństwa systemów informatycznych, były konflikty personalne kierownictwa firmy i w ich efekcie wydłużenie linii raportowania CSO, oraz umieszczenie go w obszarze obsługi prawnej. Choć sytuacja konfliktu personalnego została rozwiązana tym sprawnym ruchem menadżerskim, dużo wcześniej przed atakiem i samym problemem podatności, miała ona istotny wpływ na operacyjną efektywność między innymi procesu łatania podatności, co umożliwiło włamanie.

Ten przykład pokazuje, że bezpieczeństwo systemów informatycznych, jest krytycznie zależne od ludzi, od tego czy, oraz jakie błędy popełniają a także czy się na nich uczą czy nie…

Do zobaczenia w styczniu 2019 roku.

Przy okazji warto wziąć sobie do serca jedną z porad Instytutu SANS dotyczącą zabezpieczenia urządzeń mobilnych przed nieautoryzowanym dostępem, oraz zaszyfrowanie ich zawartości. Okazuje się, że zgodne ze wspomnianym wcześniej raportem ponad 100 razy więcej urządzeń zostanie zgubionych niż faktycznie ktoś się na nie włamie. Pilnujcie zatem swoich urządzeń z danymi osobistymi i firmowymi podczas szampańskiej zabawy!

Spokojnego końca starego roku!

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.

Artykuł Pechowa Dwunastka: Czy jesteś słabym ogniwem bezpieczeństwa informacji? pochodzi z serwisu IMNS.