Kto z szanownych Czytelników bloga jest menedżerem albo prywatnym przedsiębiorcą? Kiedy ostatnio szkoliliście pracowników z zapobiegania atakom socjotechnicznym? Albo inaczej - ilu z Was w ogóle o tym rozmawiało, czy to z pracownikami, czy z bliskimi? No właśnie. A szkoda - bo, jak dowiódł choćby Piotr Konieczny na Secure, o czym pisałem tydzień temu, skuteczność malware nawet nie zbliża się wyników dobrze przygotowanego ataku socjotechnicznego, a koszty bywają wielokrotnie większe. Czemu? Ano choćby temu, że ślady malware'u w systemie prędzej, czy później da się wykryć, a dokonanie tego w przypadku aktywności przestępcy z konta pracownika jest znacznie trudniejsze.
Swego czasu zdarzyło mi się przeprowadzić w Orange Polska serię wewnętrznych szkoleń na temat świadomości bezpieczeństwa i choć z jednej strony cieszyłem się, że budzą spore zainteresowanie, z drugiej jednak patrząc na miny obecnych wiedziałem, że o wielu z poruszanych kwestii i ryzyk dowiadują się pierwszy raz. Gdyby regularnie, choćby raz na pół roku, usłyszeli od żywego człowieka kilka studiów przypadku, najlepiej z krajowego rynku, ich percepcja od razu by się zmieniła - to już nie byłoby "coś, co dzieje się gdzieś", tylko faktycznie zdarzenie, które przez ludzką niefrasobliwość naraziło jakąś polską firmę na błąd. Wieland Alge, wiceprezes i dyrektor generalny produkującej rozwiązania bezpieczeństwa firmy Barracuda Networks, namawia wręcz, by przekonać pracowników o tym, iż pełnią kluczową rolę w zachowaniu bezpieczeństwa. To nie tylko kwestia pozytywnego wpływania na ego - to przede wszystkim fakt, bowiem wielokrotnie byliśmy świadkami tego, że by otworzyć wrota do firmowego "skarbca" z danymi, wystarczy uchylić małe piwniczne okienko, czyli wykorzystać nieuwagę jednego z szeregowych pracowników. Pytanie brzmi, ile w tym nieuwagi, a ile braku świadomości zagrożeń? A koszta potrafią być kolosalne - badanie cytowane przez Barracuda Networks wykazuje, że koszt wycieku jednego rekordu z bazy danych do 190 euro, wykrywanie i eskalacja kosztuje od 367 tys. € zaś wszelkie działania po incydencie to koszt niemal 1,5 mln euro!
Co o tym sądzicie? Czy na rynku potrzebne są tego typu szkolenia? Czy tylko socjotechniczne pentesty, czy również "miękkie", podczas których zwykli internauci nierzadko po raz pierwszy zdają sobie sprawę z tego, co tak naprawdę im grozi? Że małe L i duże I wyglądają tak samo, co oznacza, że link w mailu wcale nie musi prowadzić tam, gdzie się nam wydaje?
Grafika na stronie głównej - Intel Security by McAfee