Macie chwilę przerwy między szaleńczym bieganiem po domu podczas przedświątecznych przygotowań (dziś materiał wyjątkowo nie w czwartek, bo zakładam, że w Wigilię będziecie mieć nieco inne zajęcia)? Warto znaleźć pięć minut, tym bardziej, że ostatni w tym roku odcinek (nie)Bezpiecznej Sieci opowiada w dużej części o tym, jak cyber-przestępcy potrafią cynicznie wykorzystać nasze „zakręcenie” i niefrasobliwość, by za pomocą socjotechnicznych zabiegów dostać się do naszej domowej lub firmowej sieci. Po obejrzeniu tego filmu może nie będziecie tak paranoiczni jak Fox Mulder, liczę jednak, że na niektóre sprawy spojrzycie nieco inaczej.

No i na koniec – last but not least – dzięki dla Piotrka Koniecznego z Niebezpiecznika za inspirację do tego filmu jego wykładem na konferencji Secure 2015.

W związku ze zbliżającymi się Świętami mamy dla Was dwa konkursy. Pierwszy rusza teraz, drugi będzie miała dla Was Monika, dzisiaj wieczorem.

Zasady pierwszego konkursu są proste: napiszcie życzenia świąteczne w komentarzach. Autorowi najbardziej „świątecznych” prześlemy prezent – powerbank, myszkę oraz rozdzielacz USB. Mamy też nagrodę pocieszenia – powerbank 2200mAh oraz myszkę komputerową :-). Oceny podejmie się zespół blogowy przy wsparciu naszych kolegów i koleżanek z zespołu. Na odpowiedzi macie czas do jutra do godziny 10 :-). Pod uwagę będą brane ogólne walory artystyczne, zwięzłość, piękny język oraz „efekt wow!”

Bawcie się dobrze i życzę Wam powodzenia!

Kto z szanownych Czytelników bloga jest menedżerem albo prywatnym przedsiębiorcą? Kiedy ostatnio szkoliliście pracowników z zapobiegania atakom socjotechnicznym? Albo inaczej – ilu z Was w ogóle o tym rozmawiało, czy to z pracownikami, czy z bliskimi? No właśnie. A szkoda – bo, jak dowiódł choćby Piotr Konieczny na Secure, o czym pisałem tydzień temu, skuteczność malware nawet nie zbliża się wyników dobrze przygotowanego ataku socjotechnicznego, a koszty bywają wielokrotnie większe. Czemu? Ano choćby temu, że ślady malware’u w systemie prędzej, czy później da się wykryć, a dokonanie tego w przypadku aktywności przestępcy z konta pracownika jest znacznie trudniejsze.

Swego czasu zdarzyło mi się przeprowadzić w Orange Polska serię wewnętrznych szkoleń na temat świadomości bezpieczeństwa i choć z jednej strony cieszyłem się, że budzą spore zainteresowanie, z drugiej jednak patrząc na miny obecnych wiedziałem, że o wielu z poruszanych kwestii i ryzyk dowiadują się pierwszy raz. Gdyby regularnie, choćby raz na pół roku, usłyszeli od żywego człowieka kilka studiów przypadku, najlepiej z krajowego rynku, ich percepcja od razu by się zmieniła – to już nie byłoby „coś, co dzieje się gdzieś”, tylko faktycznie zdarzenie, które przez ludzką niefrasobliwość naraziło jakąś polską firmę na błąd. Wieland Alge, wiceprezes i dyrektor generalny produkującej rozwiązania bezpieczeństwa firmy Barracuda Networks, namawia wręcz, by przekonać pracowników o tym, iż pełnią kluczową rolę w zachowaniu bezpieczeństwa. To nie tylko kwestia pozytywnego wpływania na ego – to przede wszystkim fakt, bowiem wielokrotnie byliśmy świadkami tego, że by otworzyć wrota do firmowego „skarbca” z danymi, wystarczy uchylić małe piwniczne okienko, czyli wykorzystać nieuwagę jednego z szeregowych pracowników. Pytanie brzmi, ile w tym nieuwagi, a ile braku świadomości zagrożeń? A koszta potrafią być kolosalne – badanie cytowane przez Barracuda Networks wykazuje, że koszt wycieku jednego rekordu z bazy danych do 190 euro, wykrywanie i eskalacja kosztuje od 367 tys. € zaś wszelkie działania po incydencie to koszt niemal 1,5 mln euro!

Co o tym sądzicie? Czy na rynku potrzebne są tego typu szkolenia? Czy tylko socjotechniczne pentesty, czy również „miękkie”, podczas których zwykli internauci nierzadko po raz pierwszy zdają sobie sprawę z tego, co tak naprawdę im grozi? Że małe L i duże I wyglądają tak samo, co oznacza, że link w mailu wcale nie musi prowadzić tam, gdzie się nam wydaje?

Grafika na stronie głównej – Intel Security by McAfee