Du ÄR en måltavla, det är inte enbart en risk längre – Social Engineering

Om ett företag avser att utföra ett fullgott säkerhetsarbete ska angrepp via den mänskliga faktorn tas på allvar och inkluderas i dialoger.

Social manipulation är det som gör oss till kommunicerande människor

Ur en angripares perspektiv är det i dag enklare och mer tidseffektivt att tillskaffa sig otillåten åtkomst till ett företags interna information i IT-miljön genom att attackera användarna. Genom åren har budget efter budget lagts på tekniska säkerhetsåtgärder medan utbildning i IT-säkerhet för användarna har fått stå tillbaka. I allra bästa fall har användarna fått en utbildningsdag i ämnet ett par gånger per år. Det är långt ifrån tillräckligt.

Social manipulation är en del av att vara människa. Vi gör det dagligen, både medvetet och omedvetet. Barn är experter på social manipulation eftersom det är en stor del av den kognitiva utvecklingen och det sociala samspelet.

Den mänskliga faktorn är ständigt närvarande

För angripare är social manipulation ett oerhört viktigt verktyg i syfte att attackera ett företags IT-miljö. Ur ett tekniskt perspektiv krävs det fler och högre krav på angriparen på grund av utvecklingen av tekniska säkerhetsåtgärder. Angripare har mer eller mindre alltid attackerat IT-miljöer via dess användare. Sårbarheter via den mänskliga faktorn har alltid funnits där, och kommer alltid att finnas där. Trots det är det de tekniska åtgärderna som står i fokus och där de finansiella resurserna investeras.

Syftet med otillåten åtkomst skiljer sig åt

Syftet att tillförskaffa sig otillåten åtkomst i en IT-miljö skiljer sig åt. Det kan röra sig om att stjäla information för att skaffa sig en fördel på marknaden, till exempel en konkurrerande verksamhet. Länder infiltrerar andra länders elnät för att när som helst kunna stänga av distributionen av el och försätta samhällen i kris, vilket är en så kallad nation state attack. Att kryptera ett företags IT-miljö och sen begära en lösensumma för åtkomst till dekrypteringsnyckeln är en så kallad ransomware-attack. Attacken har finansiella motiv och organiserad brottslighet ligger bakom.

Det handlar om att du ÄR en måltavla inte OM du löper risk att bli en

Oavsett vilken yrkesroll du har, vilket företag du än arbetar på, vilka arbetsuppgifter du har är du en måltavla för potentiella angripare. Ingen person eller företag sitter säkert. Alla kan drabbas. Tro inget annat. Var istället hälsosamt paranoid. Stanna upp och tänk till.

Du kan vara den som förhindrar ett dataintrång eller läckage – på riktigt

Du kan påverka. Du kan vara den som avgör om angriparen lyckas med sin attack eller ej. Ställ krav på din arbetsgivare. Betona värdet i att utbilda i medvetenhet kring den mänskliga faktorn i relation till dataintrång och läckage. Se till att du får förutsättningar att agera rätt. Bidra till att bygga och upprätthålla en säkerhetskultur, ta eget ansvar och påverka andra i rätt riktning. Det handlar inte om vem som startar dialogen om medvetenhet gällande säkerhet, det viktiga är att dialogen initieras, sprids och tas på allvar.

Repetitiv utbildning som inkluderar fokus på medvetenhet, fysisk säkerhet och hur tekniska säkerhetsåtgärder ska användas och varför måste prioriteras. Ställ krav och betona värdet i att säkerhetsmedvetenhet ska bli en del av vardagen. Skapa en säkerhetskultur.

Att utföra ett uppdrag på beställning av kund

Under ett beställt uppdrag av kund används etisk manipulation. Aspekter som kan komma att utvärderas under uppdragen är:

  • identifiering av omedvetna sårbarheter som existerar i miljön
  • organisationens förmåga att upptäcka och hantera cyberangrepp
  • användarnas säkerhetsmedvetenhet

Med grund i rekommendationer kan beställaren därefter genomföra åtgärder som ökar säkerheten för informationen i företagets IT-miljö.

Med etisk manipulation kommer ett ansvar vilket innebär begränsningar i vilken information som kan utnyttjas och tillvägagångssätt som kan användas. En angripare tar inte hänsyn till varken etik, moral, lagar eller har ett tidsperspektiv att förhålla sig till. Angriparen använder sig av all information som anses nödvändig för att uppnå sitt syfte.

Trots begränsningar under våra kunduppdrag är vi hundraprocentiga med att tillförskaffa oss intern åtkomst till kunds IT-miljö. Vad säger det om sårbarheterna i dagens IT-miljöer?

I kommande inlägg kommer du exempelvis att kunna läsa om min operativa erfarenhet av fysiska intrång som angreppsväg och fler beteendefaktorer som möjliggör angrepp.

Inlägget har belyst sårbarheter i IT-miljöer med grund i mänsklig faktor.