KOMMENTAR: Hacket med psykologi som våpen

[Redaksjonen.]

KOMMENTAR: Hacket med psykologi som våpen

[Ivar Nesje]

Hvorfor skyller sikkerhetsfolk alltid på brukeren? Som bruker gjør man som man er opplært til når man åpner et dokument, eller trykker på en lenke og logger inn når det kommer en epost fra HR. Problemet er at HR, banken, forsikringsselskapet og andre perfekte avsendere for phishing epost, daglig sender slike vedlegg og lenker i epost, som brukeren er forventet å lese.

Det svakeste leddet er ikke brukeren, men sikkerhetsfolka som ikke en gang klarer å lære HR å ikke sende dokumenter på epost, eller overbevise Gjensidige om at en lenke med teksten "Logg inn" ikke bør være en del av epost malen til en bank.

[G]

3 hours ago, Ivar Nesje said:

Hvorfor skyller sikkerhetsfolk alltid på brukeren?

Fordi det er den enkleste veien? 

[Gjest Slettet-Pqy3rC]

3 hours ago, Ivar Nesje said:

Det svakeste leddet er ikke brukeren, men sikkerhetsfolka som ikke en gang klarer å lære HR å ikke sende dokumenter på epost, eller overbevise Gjensidige om at en lenke med teksten "Logg inn" ikke bør være en del av epost malen til en bank.

Du gir svaret nesten selv her, det er jo bortimot umulig å lære folk noe som helst. Brukere velger alltid den letteste/billigste veien og ser aldri lenger frem enn nesetippen.

[digimator]

Problemet er jo at tilogmed i bedriftar der "sikkerhetsfolka" har drive med opplæring i år, så klikkar folk på lenkene (globalt cirka 10%). Opplæringa vil redusera problemet, men å tru at problemet kan eliminerast med brukaropplæring er i beste fall naivt.

Sikkerhet er i stor grad å redusera risiko i alle ledd, og å sørga for at når det sviktar ein plass, så blir det stoppa i neste lag. Og då er jo spørsmålet også i kor stor grad "sikkerhetsfolka" får gehør hos dei som bestemmer kor mye ressursar (pengar) som skal brukast på IT sikring.

[Pop]

Har drevet sikkerhetsopplæring og -kulturbygging, basert på psykologi og IT-kunnskap i flere år. Selv brukere som har nylig vært på kurs klikker på vedlegg i eposter, login-boks i epost osv. Om vi har redusert andelen av "klikkerne" må vi være fornøyd med de vi klarte å nå. Noen skjønner det først etter de har vært utsatt for noe, uansett hva "sikkerhetsfolka" (er det her ment å bety at sikkerhetsfolk er noe sære raringer som ikke forstår noe av den virkelige verden?) har sagt og advart mot.

Risiko må reduseres i alle ledd som nevnt over. Vi kan fjerne mye risiko i infrastruktur og konfig i grensene, men det går svært fort utover brukervennlighet, fleksibilitet og andre ting brukerne forventer å ha tilgang til. Og det blir det i hvertfall skriking over.

[Hassan Ahmad]

Takk for innspill, Ivar!

Etter min mening handler det ikke om å skylde på brukeren, da kommer man ingen vei, slik du også påpeker. Det er derimot viktig å bevisstgjøre brukeren på hvordan psykologi brukes til å få gjennomført en handling man i utgangspunktet ikke ville ha gjort.

Jeg synes ikke at brukeren er det svakeste leddet, men mennesket blir ofte den enkleste angrepsvektoren. Poenget med dette innlegget var å gi et innblikk i noen påvirkningsfaktorer som strategisk brukes i målrettede dataangrep. Her er det selvfølgelig viktig med god sikkerhetsopplæring og gode rutiner, slik at man lettere kan avdekke slike angrep. Selv om man ikke kan eliminere risikoen, så kan men helt klart redusere den.

 

[Gjest Slettet-Pqy3rC]

On 11/26/2019 at 2:20 PM, Hassan Ahmad said:

Jeg synes ikke at brukeren er det svakeste leddet, men mennesket blir ofte den enkleste angrepsvektoren.

Del 1 av setningen slåes ihjel av del 2. Bestem deg.