Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
/nginx/o/2018/07/12/8735690t1h104c.jpg)
Slavenais bijušais hakeris Kevins Mitniks brīdina par draudiem, kas rodas kompānijas IT infrastruktūras un informācijas pasargāšanai, izmantojot tikai uz tehnoloģijām bāzētas drošības nodrošināšanas stratēģijas. Tai pašā laikā ir efektīvāk mācīt savus darbiniekus pateikt «nē».
Mitniks, leģendāra persona, kas savulaik uzlauzis tādu kompāniju kā «Motorola» un «Nokia» tīklu, uzstājās konferencē «Toshiba MobileXChange» Melburnā Austrālijā. Mitniks, ko FIB vajāja 15 gadus, līdz 1995. gadam, kad viņš tika notverts, ir pavadījis gandrīz četrus gadus cietumā.
Daudzas kompānijas investē lielus līdzekļus tehnoloģijās, kas aizsargā to tīklu, bet Mitniks ātri spēja parādīt, ka vislabākās tehnoloģiskās barjeras nevar viņu apstādināt. Turpretī labi izplānota sociālā inženierija vai iejaukšanās kāda privātajā dzīvē var būt ļoti efektīva, uzbrūkot jebkuras kompānijas vājākajam drošības posmam — tās darbiniekiem.
«Tas, ko var atrast darbinieku atkritumu kastēs, ir vienkārši pārsteidzoši,» saka Mitniks. «Cilvēki mēdz izmest piezīmes, vēstuļu melnrakstus, izejas kodu izdrukas, projektu dokumentācijas izdrukas. Ļoti bieži uz piezīmju lapiņām tiek uzrakstītas pat paroles, pieejas kodi utt.»
Šī informācija nodrošina nenovērtējamu palīdzību hakeriem piekļūt kompāniju informācijai, piemēram, izliekoties par darbinieku un zvanot iekšējam palīdzības dienestam vai ierodoties un izliekoties par biznesa partneri.
Brīvi plūstoša runa un laba sevis pasniegšana novedusi hakerus daudz tuvāk kompānijas tīklam nekā augsti tehnoloģiski rupja spēka (brute force) uzbrukumi. Tas tāpēc, ka cilvēkiem nepatīk teikt «nē», pat ja viņiem ir radušās kādas aizdomas par šo iznesīgo svešinieku.
Modernā tehnoloģija vēl vairāk uzlabo šādu uzbrukumu iespējas. Ja hakeris spēj iekļūt konferenču zālē tikai uz dažām minūtēm, tad, piemēram, var pieslēgt bezvadu piekļuves punktu, kas nodrošinās hakerim piekļuvi korporatīvajam tīklam no blakus esošās autostāvvietas.
Risinājumu šādai ievainojamībai izdomāt ir vienkārši, bet bieži vien grūti ieviest. Ir jāizstrādā strikta drošības politika — kā izturēties pret svešiniekiem, kādas fiziskas ierīces ir pieejamas apmeklētājiem utt.
Pat tādā vienkārša lieta, kā pieprasījums pēc kontaktinformācijas, lai kompānijas darbinieks varētu atzvanīt personai, kurai vajadzīga palīdzība, var likt uzbrucējam atkāpties. Tādēļ, plānojot uzņēmuma IT drošību un veidojot tās politiku, ir ļoti svarīgi blakus tehnoloģiskiem risinājumiem iekļaut arī darbinieku mācības un palielināt to izpratni par IT drošību un katra individuālo lomu tajā.