Specialistii in securitate informatica spun ca, adesea, cea mai slaba veriga a unei firme sunt angajatii neatenti.
Cei care isi propun sa atace o firma pentru a avea acces la informatiile din interior n-au nevoie nici de prea multa creativitate, si nici de cunostinte avansate de informatica. Un fisier infectat si un angajat care da click la repezeala, fara sa verifice atent sursa de la care vine documentul, sunt suficiente pentru a provoca pagube de ordinul sutelor de mii de euro. Mai multe companii romanesti au inteles asta pe propria piele.
„Cele mai vulnerabile persoane dintr-o companie sunt cele obisnuite sa primeasca un volum mare de mesaje din exterior: departamentele de HR, de PR, Marketing sau Suport”, spune Andrei Avadanei, CEO la Bit Sentinel, firma care incearca sa ajute companiile sa inteleaga riscurile de securitate IT la care sunt expuse zi de zi.
„Angajatii din aceste departamente sunt mai putin tehnici si fac foarte greu diferenta intre un mesaj legitim si unul malitios”, mai spune el.
„O companie ar putea pierde tot ce a construit in ani de zile in doar cateva minute: de la reputatia businessului, pana la datele personale ale angajatilor, la datele clientilor, tehnologiile dezvoltate, metodologiile de lucru sau bani”
Patronii testeaza vigilenta angajatilor
La finalul anului trecut, Avadanei a fost chemat sa faca un audit de securitate la o firma romaneasca. A folosit tehnici de inginerie sociala. A cumparat un domeniu care semana cu numele firmei si le-a trimis angajatilor un email care avea atasat fisierul „Bonusuri angajati 2016.pdf”, care continea un virus informatic.
Textul mailului ii invita pe salariati sa dea click pentru a afla de ce suma se vor bucura inaintea sarbatorilor. Avadanei avea nevoie de un singur credul pentru a intra in sistemul companiei, insa aproape toti angajatii au dat click.
Aceasta este doar una dintre metodele care pot fi utilizate de infractorii cibernetici pentru a accesa datele sensibile ale unei companii. O a doua ar fi sa stabilesti intalniri oficiale, sa spui de exemplu ca mergi la un interviu pentru un job si sa lasi prin firma, la locuri vizibile, stickuri de memorie care sa contina fisiere infectate.
Atacatorii au, insa, si alte idei. „Daca sunt interesati sa afle parolele de acces ale conturilor, ar putea trimite un mail care pare ca vine din partea departamentului de IT in care li se cere resetarea parolei”, spune Andrei Avadanei.
„Un alt scenariu potential, dar pe care noi nu l-am testat, se bazeaza pe una dintre cele mai vechi metode de a obtine informatii confidentiale: mituirea angajatilor”
Angajatii vulnerabili
In Romania au fost situatii in care infractorii au intrat in posesia unor documente interne dupa ce au pacalit secretarele sau persoanele de la Resurse Umane.
„In urma testelor facute, am observat ca departamentul de HR are sansele cele mai mari sa trimita mai departe in firma CV-urile primite pe email. Pe baza informatiilor existente pe Internet, specialistii nostri afla care sunt pozitiile disponibile in cadrul companiei. Se construieste profilul potentialului angajat model pentru acea pozitie, CV, profil de Linkedin, de Facebook”, spune Andrei Avadanei.
„Atacuri similare se pot face si pe site-urile cu optiunea de a incarca CV-urile, sansele ca angajatii companiei sa deschida atasamentele fiind foarte ridicate, pentru ca au incredere in imaginea acelei terte parti”, mai declara specialistul.
Costuri infime pentru atacator, dar uriase pentru firma
De cele mai multe ori, costurile pentru atacator tind spre zero. Un hacker are nevoie de una sau de mai multe saptamani pentru a se documenta. Apoi, cu scenariile pregatite, poate efectua un atac in cateva ore. In cazul in care nu reuseste, poarte incerca din nou.
„[Atacatorul] poate sa fure sesiunea curenta a utilizatorului de pe diferite site-uri: emailuri, retele sociale, ar putea descarca si rula un program malitios pe computer, ar putea trimite mailuri automate catre toate adresele lui de email. Poate face aproape orice”, spune Avadanei.
Specialistul in securitate cibernetica spune ca exista mai multe metode prin care o firma isi poate imbunatati protectia in fata unor atacuri facute prin inginerie sociala, iar una dintre variante este educarea angajatilor pentru a face fata mai bine situatiilor de acest tip. „Utilizatorii ar trebui sa fie in permanenta atenti la sursa mesajului, indiferent ca vorbim de adresele de email de lucru sau de cele personale”, spune specialistul.
De asemenea, angajatii trebuie sa fie atenti la notificarile telefonului, la activitatea de pe retele sociale si la reclamele de pe site-uri. E bine sa acorde o atentie deosebita mailurilor care cer deschiderea unui link sau a unui fisier, situatii in care ar fi bine sa verifice daca adresa de la care vine solicitarea este una corecta.
Nicio metoda de protejare impotriva atacurilor informatice nu este 100% infailibila, insa multe dintre atacuri pot fi evitate cu minim de atentie din partea angajatilor. Ei trebuie sa invete sa fie mereu in garda si sa verifice cu atentie autenticitatea mailurilor primite. In cazul interactiunilor cu persoane necunoscute, trebuie sa respecte de fiecare data procedurile firmei si sa nu incerce sa ajute mai mult decat e cazul.