Złe praktyki, które niespodziewanie działają jako obrona przed atakami socjotechnicznymi.

Dobre i złe praktyki wypełniają nasze codzienne życie, wpływając na realne efekty i satysfakcję z wykonywanych zadań. Przez większość czasu skutecznie „gramy w tę grę” wypełniając zadania w świecie materialnym, ale w tym samym czasie nie jesteśmy w stanie zidentyfikować zasad w świecie wirtualnym.

Niesławna trójka

Poniżej znajdziesz trzy najpopularniejsze złe praktyki, które z zasady pogarszają wydajność pracy. Zaskakująco, te same praktyki działają jako rodzaj tarczy w atakach typu „-ishing”:

  • Prokrastynacja – bardzo złe zarządzanie czasem, które pogarsza nasze samopoczucie i zmusza nas do pracy pod presją.
  • Brak autorytetów – bardzo niskie zaufanie do osób, które przez formalną relacje i/lub zobowiązanie każą nam wykonać jakąś czynność. W tych sytuacjach czujemy się zmuszani do posłuszeństwa i pojawia się potrzeba oporu.
  • Zbyt długie, nie czytam – połączone siły dwóch poprzednich punktów, powodują brak motywacji do zrozumienia szerszego kontekstu, skłaniając Cię do podjęcia decyzji nie tylko pod wpływem emocji, ale i ograniczonej wiedzy.

Zasady gry

Działanie niesławnej trójki może być wzmocnione przez zestaw efektów ubocznych takich jak stres, presja, brak czasu, brak pracy zespołowej i innych. To wzmocnienie działa do momentu, gdy te efekty uboczne tworzą stan FOMO (Fear Of Missing Out), który pod groźbą utraty kontroli nad sytuacją motywuje nas do działania, skutecznie eliminując złe praktyki.

FOMO, gdy aktywowane, staje się naszą motywacją, aby przeciwdziałać niskiej produktywności i zwiększyć efektywność w podejmowaniu decyzji poprzez:

  • Zmniejszanie czasu poświęcanego na podejmowanie decyzji.
  • Zmniejszanie ilości danych, niezbędnych do budowaniu kontekstu.

Te dwa czynniki to „słabe punkty w cyberbezpieczeństwie”, które kryminaliści na co dzień wykorzystują poprzez ataki typu *ishing, takie jak:

  • Phihsing – używanie wiadomości email do przejęcia twojej aktywności.
  • Vishing – używanie wiadomości głosowych, w celu perswadowania i manipulacji.
  • Smishing – używanie SMS lub innego sposobu przesyłania wiadomości, aby nakierować lub wpłynąć na twoje decyzje.
  • Quishing – oszustwa przy użyciu kodów QR,
  • Someishing – oszustwa przy użyciu mediów społecznościowych.

Wszystkie powyższe ataki bardzo efektywnie wykorzystują „ludzką naturę”, w miarę jak szukamy najlepszych rezultatów.

Zasady cybergry

Zasady wydajności w cyberprzestrzeni różnią się od tych uformowanych przez nasze doświadczenie życiowe. Automatyzacja naszego umysłu może być wykorzystana przeciwko nam, więc musimy ją zużytkować dla naszego bezpieczeństwa (tak jak  np. technologie AV/XDR, MFA, programy do zarządzania hasłami, NGFW/IPS/IDS i inne). Najlepsze reakcje naszego mózgu nie gwarantują najwyższej możliwej produktywności, ale mogą stanowić skuteczną obronę przed atakami socjotechnicznymi. Doskonałymi przykładami jest wyżej wymieniona niesławna trójka.

Prokrastynacja – jest użyteczna w ochronie przed zachęcaniem do automatycznej reakcji, kiedy twoje zachowania zdominowane są przez emocje. Ktoś chce żebyś działał od razu w cyberprzestrzeni? Rozłącz połączenie sugerując, że teraz nie możesz rozmawiać, przewiń do następnego posta, zrzuć powiadomienie i pozostaw do późniejszej analizy. Jest szansa, że o tym zapomnisz. A może dzięki temu zdemaskujesz oszustwo. Przestępcy przeprowadzają ataki na dwa sposoby: szeroko lub zorientowane na konkretną osobę lub grupę. Prokrastynacja może pomóc uniknąć pierwszego i wzbudzić podejrzliwość w przypadku drugiego, dzięki spowolnieniu reakcji i daniu sobie czasu na analizę sytuacji.

Brak autorytetów – Tak, dobrze słyszałeś! Kwestionuj wszystko co wysyłają Ci przez e-mail czy SMS. Pojedyncza wiadomość jest tylko sygnałem w cyberprzestrzeni. Możesz ja zignorować, a jeżeli chcesz być pewny przejdź do źródła i zweryfikuj ją (sprawdź Bank, zadzwoń na policję lub inny autorytet). Wiadomość zawiera twoje osobiste lub wrażliwe informacje? Co z tego. Dane większości ludzi są dostępne bez autoryzacji, nie ustalaj na ich podstawie autentyczności. Czy zadzwoniono do ciebie z banku? Czy ktoś zna twój numer karty kredytowej? Co z tego? Zapytaj o to, ile wydałeś przez ostatni rok na podróże – Nie wiedzą? Więc to nie jest twój bank!

Zbyt długie, nie czytam – Czy otrzymałeś wiadomość, telefon lub zapytanie, które „buduje kontekst”?  Zignoruj je. Jeżeli informacja jest ważna najprawdopodobniej kontakt ponowi się. Zaplanuj czas na swoją uwagę również następnego dnia. Użyj dowolnej wymówki: wyczerpanie, przepracowanie, problemy ze zdrowiem… nie masz czasu lub siły by „nauczyć się nowego kontekstu”, więc odłóż go lub pozostaw na zawsze. Jeżeli atak nie jest wycelowany, jego koszt jest niski i prawdopodobnie nie zostanie ponowiony w najbliższym czasie. Personalizacja zwiększa koszt i zmniejsza ewentualny zysk cyberprzestępcy, nawet jeżeli użyją twoich publicznie dostępnych danych.

Najlepsze praktyki do używania złych praktyk.

Bądź czujny. Mierz swój sukces. Tak jak jest trudno zracjonalizować dobre praktyki w celu zwiększenia produktywności, tak samo trudno jest zawsze kończyć dzień w dobrym nastroju, zwłaszcza w czasie pandemii. Nie czuj się winny, jeżeli zauważysz słabą wydajność twojej pracy. Zamiast tego użyj jej, by zracjonalizować ogrom informacji jaki pochłaniasz z cyberprzestrzeni. Daj sobie czas. Jeżeli coś jest pilne, są inne metody podejmowania ważnych decyzji. Użyj robotów i technologii, by zautomatyzować proces podejmowania decyzji i poczekaj, a przynajmniej ochłoń trochę. Każdy ma swoje granice. Znaj swoje i korzystaj z nich mądrze.

Bądź bezpieczny. Dbaj o zdrowie. Bądź sobą.

 

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony ekspert i pasjonat bezpieczeństwa informacji.