Rapport fra RSA konferansen 2013 – Del 3 – Hva må du gjøre for å hindre at ansatte blir offer for sosial manipulering?

The Moscone Center - RSA 2013Her på RSA konferansen holder fortsatt både deltakere og foredragsholdere koken så det holder. Til tross for størrelse er det få køer bortsett fra en; toalettkøen for menn. Et tydelig tegn på at informasjonssikkerhet fortsatt er et mannsdominert fagområde, selv om det er mange kvinnelige deltakere også.

 

Jeg har hatt muligheten til å følge ulike foredrag og debatter knyttet til sikkerhetskultur. Begrepene varierer her borte. The human factor, awareness, human behavior, og security culture benyttes om hverandre. Det er heller ikke enighet (som om det skulle være noe nytt) om hva som fungerer eller hva slags fokus en bedrift/virksomhet bør ha i forhold til sine medarbeider når det gjelder informasjonssikkerhet. Noen mener at fokus på mennesket er bortkastet og jeg kunne ikke være mer uenig. Alt lar seg ikke fikse ved hjelp av teknologi.

En ting som det likevel ser ut til å være relativ enighet om, er at dette handler om hva slags atferd virksomheten ønsker at de ansatte skal ha. Men det finnes ulikt syn på hvordan oppnå dette og ikke minst finnes det ulike holdninger til den samme problemstilling. Når jeg trekker frem forskjeller er med bakgrunnen i en diskusjon om hva slags holdninger sikkerhetsfolk har til ansatte når man bruker uttrykk som ”You cant patch stupidity” Lance Spitzner fra SANS Institute spurte etter min mening, det riktige spørsmålet om hva slags holdning det er til mennesker som  sikkerhetsfolket trenger å få på sin side. Da er det ikke særlig smart å kalle de for mindre intelligente!

Ira Winkler spurte spørsmålet på denne måten. Dersom alle andre rundt deg er dumme, er det kanskje ikke de som er dumme? Han fortalte om en gammel episode hvor han snakket med en kollega som het Kirk til etternavn. ”Så brukernavnet ditt er Kirk, da er vel passordet Captain?” spurte Winkler og det var det! (Les mer om Captain Kirk her) Det første Winkler tenkte var at den ansatte var ”dum”, inntil det gikk opp for ham at sikkerhetsfolk inkludert ham selv, bare antar at ansatte vil bruke sunn dømmekraft, men at dømmekraften man forventer forutsetter kunnskap og forståelse om hva som er god atferd.

Noen av foredragsholderne snakker fortsatt som om security awareness som noe som bare skal gjennomføres fordi det er et krav (compliance) og ikke fordi man virkelig ønsker å forbedre/endre noe. Hva sier dere til brukere som under den årlige ”sikkerhetstreningen” i 2012 blir presentert for 3 powerpoint sider med advarsler om bruken av disketter! Dersom du ikke husker hva en diskett er… les her!

Men jeg skal spare på noe av kruttet her på bloggen fordi jeg selv skal si noe om problemstillingen på vår sikkerhetskonferanse 19-20 mars. Men uansett er det alltid en god følelse å få bekreftet at våre egne tanker om problemstillingene ikke fraviker i så stor grad fra andres, selv om det finnes kulturelle forskjeller.

NSM syn på sikkerhetskultur er kort og godt at dersom sikkerhetskulturarbeidet ikke handler om atferd så skal vi ikke bry oss med det. Vi ønsker at virksomhetene skal ha en så god sikkerhetsatferd som mulig. Det er dette som kommer til å ha effekt! Ikke hva som står i A4 permen i bokhyllen til de ansatte!

Men det er jo en undertittel på dette blogginnlegget – Hva må du gjøre for å hindre at ansatte blir offer for sosial manipulering? Hva som er sosial manipulering har jeg tidligere skrevet om i dette blogginnlegget, men dersom man ser på hvilke metoder som benyttes til å angripe nettverk, organisasjoner og enkeltindivider i cyberspace, så er bruken av sosial manipulering en dominerende faktor. Bak begrepene phishing, spearfishing og whailing befinner det seg en stor grad av sosial manipulasjon. Se også vår brosjyre om tema.

Hvorfor brukes dette? Fordi det fungerer, og det fungerer så godt at Rohyt Belani fra selskapet Phishme som gjennomfører phishingangrep som en del av bevisthetstrening for ansatte i selskaper over hele verden, kunne fortelle at de i løpet av sitt arbeid har sendt ut 3,1 millioner phishing e-post.  57% av de utsendte e-postene er vellykkede! Med andre ord, over 50% lar seg lure av innholdet i e-postene og gjør det angriperen ønsker, som f.eks. å klikke på en link.

Den tekniske løsningen på dette er å sette opp et kontrollsystem av linker som kommer via e-post, men selv dette er mulig å lure sier Belani og forklarer at når de sender en e-post uten link, men med instruksen om at brukeren manuelt skal skrive inn nettadressen i URL feltet så gjør brukeren dette, og man er like langt! 23% av de 57% vellykkede phishing forsøkene gir fra seg informasjon som brukernavn og passord når de blir bedt om dette! I et angrep sendte de ut mail til 10 ansatte i en bedrift og fikk 11 svar tilbake!

Vi kan ikke løse dette ved å kaste inn en teknisk boks,  vi må bli bedre på å informere og endre brukeratferd hos brukerne sa Mike Murray i MAD Security.

Når 1 av 2 forsøk er vellykket, så er det ren matematikk for hva en angriperen foretrekker istedenfor for å søke etter svakheter i 6 uker ”utenfor” et nettverk for å finne en vei inn sa Murray. Han la også til at det vi kaller Advanced Persistent Threats (APT) ikke bestandig er Advanced! Angriperen er så sofistikert som han trenger å være. Vi må ikke glemme at angriperen er et menneske, og mennesker er late. Derfor vil våre ansatte fortsett være et mål, fordi det er den letteste veien inn i et datasystem.

I tillegg må vi ikke glemme at e-post er et universell kommunikasjonsmetode som fungerer. Alle brukere det, så det er den perfekte motorveien inn i et datanettverk.

Både Belani og Murray var enig om at et av de grunnleggende problem med sikkerhetskuturkampanjer er at det er sikkerhetsfolk som skal lære andre om sikkerhet og at fokus ofte blir feil. Gi blaffen i detaljene er et av rådene de kom med. Snakk om det som må løses av menneskelig atferd, gi blaffen i det som kan løses teknisk. Er en bærbar PC kryptert, gi blaffen i  å snakke til vanlige brukere om hva slags krypto den har, med mer. Den er sikret med krypto! Punktum! Dersom du forventer at de skal lytte til alle dine tekniske spesifikasjoner som du selv er interessert i, kommer ikke folk å lytte til deg i det hele tatt, mente både Belani og Murray.

Det er viktig å forstå at det er forskjell på bevissthet og atferd. Mennesker kan være bevisste men likevel gjøre noe annet! Hva vil du helst ha? sa Murray.

Mennesker som kan alt om sikkerhet, men som ikke har en god sikkerhetsatferd, eller mennesker som ikke kan så mye om sikkerhet, men som har en god sikkerhetsatferd?

Kunnskap er aldri galt å ha, men i en sikkerhetsmessig sammenheng så blir kanskje det viktigste hva du gjør – ikke hva du vet! Det blir som ordtaket godt gjort, er bedre enn godt sagt!

Det blir sannsynligvis et blogginnlegg til fra San Francisco. Hva tema blir? Følg med!

NB! Noter 5-6 juni i kalenderen. Da er Lance Spitzner i Oslo  i samarbeid med NSM for å lære bort mer om sikkerhetskultur og atferdsendring. Vi kommer tilbake til dette på våre hjemmesider og i bloggen.

About Roar Thon

Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet hvor han har arbeidet siden 2003. Han har tjenestebakgrunn fra Forsvaret og Politiet. Han har de siste årene arbeidet mye med menneskers bruk av teknologi og hvordan mennesker atferd påvirker sikkerhetstilstanden. Roar er tildelt ITAKT prisen 2012 for sitt engasjement og evne til å formidle sikkerhet. (ITAKT - Internet og Telekombransjens Anti Kriminalitets tiltak)
This entry was posted in Informasjonssikkerhet, Internettsikkerhet, Sikkerhetskultur, Sosial manipulasjon. Bookmark the permalink.