"PMC
Training" reklama
“„ALPHA Human
Resilience“, kuriai Baltijos šalyse atstovauja „PMC Training“, ekspertas ir
vienas geriausių informacijos išviliojimo instruktorių praktikų Jasper Hartmann
teigia, kad viena didžiausių šiandienos saugumo klaidų – per siauras požiūris į
grėsmes. Kaip iš tikrųjų veikia ekonominis ir technologinis šnipinėjimas
Europoje?
Didžiausia klaida –
manyti, kad jus puls hakeriai
Kibernetinių atakų
grėsmė šiandien dominuoja viešojoje erdvėje, tačiau realybėje dalis
jautriausios verslo informacijos nuteka kur kas paprasčiau – per žmones.
„Didžiausia klaida –
manyti, kad pagrindinė grėsmė yra vien technologinė. Nors kibernetinis saugumas
išlieka prioritetu, dažnu atveju informaciją lengviau gauti pokalbio metu nei
bandant įsilaužti į sistemas“, – sako J. Hartmann.
Pasak jo,
šnipinėjimas šiandien veikia fragmentų principu: renkamos mažos, iš pirmo
žvilgsnio nereikšmingos detalės apie procesus, technologijas, partnerius ar
sprendimų priėmimą, kurios vėliau sujungiamos į bendrą vaizdą. Niekas neateina
pasiimti konkretaus dokumento, dažniausiai jo turinys surenkamas po truputį –
iš skirtingų žmonių, skirtingose situacijose.
Rusija skuba, Kinija
laukia
Kintant saugumo
situacijai Europoje vis daugiau dėmesio tenka ne tik kibernetinėms, bet ir
fizinio bei žmogiškojo šnipinėjimo grėsmėms. Tai ypač akivaizdu Ukrainoje.
„Ukrainoje
šnipinėjimo prevencijai skiriamas itin didelis dėmesys. Rusija aktyviai mėgina
infiltruotis į įmones, dirbančias su technologijomis, kurias siekia geriau
perprasti“, – teigia J. Hartmann.
Anot jo,
pastaraisiais metais įvyko esminis pokytis. Jei anksčiau organizacijų
darbotvarkėje dominavo kibernetinis saugumas, šiandien jis tampa tik viena iš
kelių svarbių saugumo dedamųjų. „Vis daugiau organizacijų supranta, kad
technologinė apsauga savaime neužtikrina saugumo – būtina vertinti ir žmonių,
partnerysčių bei informacijos srautų rizikas.“
Paklaustas, kaip
šiandien veikia tokios valstybės kaip Rusija ar Kinija, J. Hartmann išskiria
aiškius skirtumus. „Rusija veikia greitai, agresyviai ir su aukšta rizikos
tolerancija. Ji dažniau remiasi insaideriais, spaudimu, oportunistinėmis
galimybėmis. Tai labai operatyvus veikimas.“
Tuo metu Kinija
renkasi visiškai kitokią strategiją.
„Kinijos veikimas
nukreiptas į ilgalaikę perspektyvą. Ji kuria santykius, eina per partnerystes,
investicijas, akademinį bendradarbiavimą. Iš pirmo žvilgsnio viskas atrodo kaip
normalus verslas, o ilgainiui toks veikimas gali suteikti prieigą prie labai jautrios
informacijos“, – teigia J. Hartmann.
Anot jo, būtent šis
„teisėtos veiklos“ aspektas ir yra pavojingiausias.
Pavojingiausia vieta
– ne sistema, o žmogus
Vienas didžiausių
aklųjų taškų organizacijose – HUMINT (angl. Human Intelligent) arba žmogiškoji
žvalgyba.
„Dauguma įmonių
investuoja į IT saugumą, tačiau beveik nevaldo žmogiškojo veiksnio. O būtent
jis dažniausiai naudojamas informacijai nutekinti“, – teigia J. Hartmann.
Problema ta, kad
tokio tipo veiklą sunku pastebėti. IT skyrius gali parodyti, kiek atakų
sustabdė. Tačiau niekas negali pasakyti, kiek kartų per dieną pokalbiuose buvo
subtiliai „apklaustas“ darbuotojas. Tokie pokalbiai paprastai vyksta visiškai
neformaliai – konferencijose, kelionėse, susitikimuose ar net kavinėse.
Kaip nepastebint iš
jūsų „ištraukiama“ informacija
Vienas efektyviausių
metodų, naudojamų tiek žvalgyboje, tiek konkurencinėje aplinkoje – vadinamoji
informacijos išviliojimo (angl. elicitation) technika.
„Tai nėra apklausa.
Tai menas išgauti informaciją taip, kad žmogus pats ją pateiktų, net
nesuprasdamas, kad tai daro“, – aiškina J. Hartmann.
Pavyzdys paprastas:
oro uoste prie jūsų prieina žmogus, užmezga pokalbį, pastebi jūsų kompiuterį ir
sako: „Turbūt darbe visi naudojatės „ThinkPad“ kompiuteriais?“. Jūs
automatiškai pataisote: „Ne, pas mus „MacBook'ai““. Atrodo smulkmena, tačiau
tokia detalė gali atverti galimybes daryti spaudimą ar manipuliuoti.
„Viena iš
stipriausių technikų – sąmoninga klaida. Žmonės tiesiog negali susilaikyti
nepataisę“, – sako J. Hartmann.
Dažniausiai
pasitelkiami šie metodai: sąmoningas netikslumas, tikintis, kad pašnekovas jį
pataisys, intervalų spėjimas, sakant, pavyzdžiui, „jūsų biudžetas turbūt yra
tarp X ir Y?“, pataikavimas, siekiant suminkštinti pašnekovą komplimentais ar
pritarimu, nekaltas small talk, kuris nuosekliai nukreipiamas į jautrias temas,
ir pasitikėjimo kūrimas manipuliuojant tariamais ryšiais ar pažįstamais.
Pasak eksperto,
būtent šiose srityse organizacijoms dažniausiai trūksta praktinių įgūdžių. Dėl
to vis daugiau įmonių renkasi specializuotus mokymus, orientuotus į realias
situacijas – nuo informacijos išviliojimo technikų atpažinimo iki darbuotojų
elgsenos stiprinimo. Tokius mokymus Baltijos šalyse teikia „ALPHA Human
Resilience“, kuriai regione atstovauja „PMC Training“.
Elgsenos analizė ir
LVA: nuo intuicijos prie duomenimis grįsto vertinimo
Augant šių grėsmių
mastui, vis daugiau organizacijų ieško būdų, kaip objektyviau vertinti žmonių
elgseną ir informacijos patikimumą.
Intuiciją keičia
metodika: pasitelkiami struktūruoti interviu metodai, elgsenos analizė ir balso
analizės technologija – LVA (angl. Layered Voice Analysis). „Šiuolaikinės
organizacijos sprendimus grindžia ne vien nuojauta, o sistemingu vertinimu ir
duomenų analitika“, – teigia J. Hartmann.
LVA technologija
leidžia realiu laiku analizuoti mikrostreso pokyčius žmogaus balse ir
identifikuoti momentus, kai gali būti slepiama informacija, atsiranda įtampa ar
nenuoseklumas. „Tai – ne apie „melą“, kaip binarinę kategoriją. Tai yra apie
signalus, įspėjančius, į ką verta gilintis, kur atsirado neatitikimų, kuriose
vietose reikia papildomų klausimų.“
Pasak jo, būtent
tokių technologijų derinimas su struktūruotais interviu leidžia geriau vertinti
kandidatus ir partnerius, stiprinti vidinius tyrimus, identifikuoti rizikas dar
prieš joms atsirandant, sumažinti subjektyvumo ir „nuojautos“ įtaką sprendimams.
„Nuomonę keičia indikatoriai. Saugumo kontekste tai tampa kritiškai svarbu.“
Aukšto pasitikėjimo
kultūra – ir stiprybė, ir silpnybė
Lietuvos ir
apskritai Šiaurės Europos verslo aplinkoje yra dar vienas svarbus aspektas –
pasitikėjimo kultūra.
„Mes esame linkę
pasitikėti. Tai yra labai gerai versle, bet tuo pačiu tai sukuria idealias
sąlygas tiems, kurie moka pasitikėjimu pasinaudoti“, – sako J. Hartmann.
Dėl to daugelis
organizacijų net neįtaria, kad paprastas pokalbis gali būti tikslingas
informacijos rinkimas.
Ką įmonės gali
padaryti jau dabar?
Pasak eksperto,
svarbiausia – ne užsidaryti, o tapti sąmoningesniems: „Nėra tikslo įtarinėti
visus. Siekis – suprasti, kokia informacija yra jautri ir kada jos negalima
atskleisti“.
Jis išskiria kelis
esminius žingsnius: aiškiai apibrėžti kritinę informaciją, mokyti darbuotojus
atpažinti informacijos išviliojimą ir socialinės inžinerijos situacijas, į
saugumo strategiją įtraukti HUMINT rizikas, taikyti struktūruotus interviu ir
vertinimo metodus, diegti pažangius analizės įrankius (įskaitant LVA), turėti
mechanizmą, leidžiantį pastebėti pasikartojančius modelius.
CER direktyva –
testas, ar organizacija iš tikrųjų supranta grėsmes
Artėjantis ES
kritinių subjektų atsparumo (CER) direktyvos įgyvendinimas, anot J. Hartmann,
taps savotišku lakmuso popierėliu: „Tai nėra tik dar vienas formalus atitikties
reikalavimas. Tai atsakymas į klausimą, ar organizacija iš tikrųjų supranta,
kur slypi jos pažeidžiamumas.“
Pasak jo, įmonės
turės žiūrėti plačiau – matyti ne tik į IT sistemas, bet ir žmones, tiekimo
grandines, partnerystes, sprendimų priėmimą: „Atsparumas šiandien reiškia
gebėjimą apsaugoti ne tik sistemas, bet ir žinias.“
Šnipas dažnai stovi
šalia jūsų
Interviu pabaigoje
J. Hartmann suformuluoja paprastą, nors ir nepatogią mintį: „Žmonės bijo
hakerių, tačiau šnipas dažniausiai būna visai šalia – kad ir eilėje prie kavos.
Ir būtent šis faktas keičia saugumo logiką. Jeigu organizacija ignoruoja
žmogiškąjį veiksnį, ji palieka lengviausią kelią prie savo informacijos.“
Šiandien vis daugiau
organizacijų supranta, kad atsparumas prasideda ne nuo technologijų, o nuo
žmonių. Dėl to praktiniai sprendimai – nuo darbuotojų mokymų iki pažangių
vertinimo metodų – tampa nebe pasirinkimu, o būtinybe. Tokie mokymai ir
paslaugos prieinami ir Lietuvoje – juos Baltijos šalyse teikia oficialus „ALPHA
Human Resilience“ partneris „PMC Training“."
Komentarų nėra:
Rašyti komentarą