Ενώ διαβάζουμε για την αύξηση των κινδύνων για την ασφάλεια στον κυβερνοχώρο, συχνά φανταζόμαστε μια ομάδα τρομερών χάκερ κρυμμένη σε σκοτεινό υπόγειο που περιμένει την τέλεια ευκαιρία να χτυπήσει αθώους χρήστες του διαδικτύου και να τους κλέψει τα χρήματά τους. Ωστόσο, η πραγματικότητα δεν είναι τόσο απλή.
Εάν αναζητούμε τον πιο αδύναμο κρίκο στην ασφάλεια στον κυβερνοχώρο, δεν θα χρειάζεται να κοιτάξουμε περισσότερο από εμάς. Είτε πρόκειται για ιδιωτικό είτε για επαγγελματικό τομέα, τα συστήματα ασφαλείας μας είναι λιγότερο πιθανό να μας απογοητεύσουν από τους ανθρώπους.
Ποιοι είναι μερικοί από τους πιο συνηθισμένους κινδύνους κυβερνοασφάλειας που προκαλούνται από άτομα;
Η τεχνολογία υπάρχει για να κάνει τη ζωή πιο εύκολη. Μπορεί να κάνει τις καθημερινές εργασίες πιο αποτελεσματικές ενώ μας εξοικονομεί χρόνο, προσπάθεια και ενέργεια. Είτε το χρησιμοποιούμε για προσωπικούς είτε για επαγγελματικούς λόγους, διαδραματίζουμε τον πρωταρχικό ρόλο στη δημιουργία νέων τεχνολογιών και στη συμμετοχή τους στην κοινωνία μας.
Ως επί το πλείστον, η τεχνολογία είναι προβλέψιμη, ενώ οι άνθρωποι είναι επιρρεπείς στο χάος. Δεν αποτελεί έκπληξη ότι θεωρούμαστε η μεγαλύτερη απειλή για οποιοδήποτε σύστημα κυβερνοασφάλειας.
Ακολουθούν οι πιο συνηθισμένοι κίνδυνοι για την ασφάλεια στον κυβερνοχώρο που προκαλούνται από την έλλειψη ευαισθητοποίησης σχετικά με την ασφάλεια και τις κακές πρακτικές—ίσως κάνοντας μερικά από αυτά τα λάθη ασφαλείας αυτή τη στιγμή...
Κακές πρακτικές κωδικών πρόσβασης
Αντί να δημιουργήσουμε έναν μοναδικό κωδικό πρόσβασης για κάθε διαδικτυακή υπηρεσία που χρησιμοποιούμε, οι περισσότεροι άνθρωποι προσπαθούν να εξοικονομήσουν χρόνο ορίζοντας τον ίδιο κωδικό πρόσβασης σε όλους τους λογαριασμούς τους. Έτσι, ακόμα κι αν χρησιμοποιούν έναν ισχυρό κωδικό πρόσβασης, εάν οι εγκληματίες του κυβερνοχώρου καταφέρουν να τον σπάσουν, θα αποκτήσουν επίσης πρόσβαση σε όλους τους λογαριασμούς τους.
Εάν ένας επαγγελματικός λογαριασμός σπάσει, όλα τα ευαίσθητα δεδομένα μιας εταιρείας θα κατέληγαν στα χέρια κυβερνοεγκληματιών και η ζημιά που προκλήθηκε στη φήμη της επιχείρησης θα μπορούσε να είναι καταστροφική.
Για να αποφύγετε αυτό το σενάριο, μην χρησιμοποιείτε το ίδιο κωδικό πρόσβασης ή μια φράση πρόσβασης για πολλούς λογαριασμούς και βεβαιωθείτε ότι όλοι οι κωδικοί σας είναι ισχυροί. Θα μπορούσατε να χρησιμοποιήσετε διαδικτυακά εργαλεία που ελέγχουν την ισχύ του κωδικού πρόσβασής σας για να βεβαιωθείτε ότι είστε στην ασφαλή πλευρά.
Αποφυγή ελέγχου ταυτότητας
Οι λόγοι για την αποφυγή του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) είναι παρόμοιοι με τους λόγους για τις κακές πρακτικές κωδικών πρόσβασης - οι άνθρωποι φαίνεται να πιστεύουν ότι είναι χάσιμο χρόνου και επιβραδύνουν τη ροή εργασίας τους. Όσο πιο γρήγορα μπορούν να έχουν πρόσβαση στους πόρους τους, τόσο πιο γρήγορα θα γίνει η δουλειά τους. Η ΜΧΣ μοιάζει σαν ένα περιττό εμπόδιο.
Θα πρέπει επίσης να σημειώσουμε ότι, παρόλο που τα άτομα που χρησιμοποιούν MFA είναι πολύ λιγότερο πιθανό να υποστούν χακάρισμα, ο ίδιος ο έλεγχος ταυτότητας δεν τους καθιστά ανοσία σε κατεστραμμένα τρωτά σημεία ελέγχου ταυτότητας όπως η πειρατεία συνεδρίας, ο ψεκασμός κωδικού πρόσβασης και οι επιθέσεις phishing.
Λανθασμένη διαμόρφωση ασφαλείας
Ακόμη και το προσωπικό ασφάλειας στον κυβερνοχώρο και οι διαχειριστές συστημάτων μιας εταιρείας δεν είναι ασφαλείς από ανθρώπινο λάθος. Για παράδειγμα, η αποτυχία αναβάθμισης του λογισμικού ασφαλείας ή η παραβίαση των προεπιλεγμένων κωδικών πρόσβασης στους διακομιστές της εταιρείας αυξάνει την πιθανότητα οι εγκληματίες του κυβερνοχώρου να βρουν έναν τρόπο να σπάσουν το σύστημα.
Και μετά, υπάρχει ανεπαρκής έλεγχος απομακρυσμένης πρόσβασης, ανεπαρκής διαχείριση υλικού, απενεργοποιημένη προστασία προστασίας από ιούς, μη προστατευμένα αρχεία, σφάλματα κωδικοποίησης. Και η λίστα συνεχίζεται...
Τέτοια σφάλματα δημιουργούν σοβαρά κενά ασφαλείας που καθιστούν όλες τις εφαρμογές, τα δεδομένα και την ίδια την εταιρεία εύκολο στόχο για κυβερνοεπιθέσεις και παραβιάσεις δεδομένων.
Χρήση μη ασφαλών δικτύων
Η χρήση άγνωστων δικτύων είναι ένα επικίνδυνο εγχείρημα, αλλά εάν το κάνετε με συσκευές της εταιρείας, μπορεί να αφήσει έναν ολόκληρο οργανισμό εκτεθειμένο σε απειλές στον κυβερνοχώρο. Εάν παρέχεται ένα άγνωστο δίκτυο σε δημόσιους χώρους —όπως καφετέριες, σταθμούς λεωφορείων και αεροδρόμια— οι κίνδυνοι αυξάνονται.
Τα δημόσια δίκτυα μπορούν να μολυνθούν από ιούς και κακόβουλο λογισμικό και αυτά μπορούν να εισέλθουν στη συσκευή σας καθώς προσπαθείτε να συνδεθείτε στον λογαριασμό email σας ή στους ιστότοπους κοινωνικής δικτύωσης. Εάν ένας χάκερ βρει έναν τρόπο να τοποθετηθεί ανάμεσα σε εσάς και το σημείο σύνδεσης, δηλαδή έναν άνθρωπο στη μέση (MitM) επιτίθεται, θα έχουν πρόσβαση στα στοιχεία σύνδεσής σας και σε όλες τις άλλες πληροφορίες που στέλνετε και λαμβάνετε Σε σύνδεση. Μόλις το κάνουν αυτό, θα μπορούν να μπουν στα συστήματά σας σαν να ήταν εσείς.
Φυσικά σφάλματα ασφαλείας
Αν και πολλές κοινές αιτίες παραβιάσεων δεδομένων μπορεί να αποδοθεί σε κυβερνοεπιθέσεις, οι εταιρείες μπορεί επίσης να διατρέχουν κίνδυνο φυσικών απειλών για την ασφάλεια. Για παράδειγμα, εάν ένα μη εξουσιοδοτημένο άτομο εισέλθει στις εγκαταστάσεις της εταιρείας, θα μπορούσε να κλέψει εμπιστευτικές πληροφορίες, διαπιστευτήρια χρήστη ή άλλα ευαίσθητα δεδομένα.
Ενώ αυτοί οι τύποι σφαλμάτων ασφαλείας έχουν πολλά σχήματα και μεγέθη, τα πιο συνηθισμένα περιλαμβάνουν την αφαίρεση ευαίσθητων εγγράφων χωρίς επιτήρηση, αφήνοντας τις πόρτες ξεκλείδωτες και αφήνοντας αγνώστους σε ασφαλείς χώρους ή δίνοντάς τους πρόσβαση στην εταιρεία Υπολογιστές.
Πώς χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου το ανθρώπινο λάθος εναντίον σας;
Εφόσον οι εγκληματίες του κυβερνοχώρου αναγνωρίζουν τον ανθρώπινο παράγοντα ως εύκολο στόχο, προσπαθούν να τον εκμεταλλευτούν όσο περισσότερο μπορούν. Συγκεκριμένα, αυτό θα μπορούσε να συμβεί μέσω κλοπής ταυτότητας, κατά την οποία ένας εγκληματίας στον κυβερνοχώρο κλέβει τα προσωπικά σας στοιχεία για να διαπράξει απάτη. Μπορούν να το χρησιμοποιήσουν για να λάβουν τα χρήματά σας, να κάνουν αίτηση για πίστωση ή να λάβουν ιατρικές υπηρεσίες. Σε κάθε περίπτωση, η κλοπή ταυτότητας μπορεί να αδειάσει τον τραπεζικό σας λογαριασμό και να καταστρέψει τη φήμη σας ταυτόχρονα.
Ομοίως, οι εισβολείς μπορούν να αξιοποιήσουν το ανθρώπινο λάθος για να πραγματοποιήσουν επιθέσεις ransomware, οι οποίες μπορούν να προκαλέσουν ζημιά σε ένα άτομο ή μια εταιρεία με διάφορους τρόπους. Αλλά πάντα καταλήγει στο να σας κλειδώσει έξω από τη συσκευή ή τα ευαίσθητα δεδομένα σας και να ζητήσει λύτρα για ένα κλειδί αποκρυπτογράφησης. Άλλοι τύποι κακόβουλου λογισμικού κλέβουν επίσης τα δεδομένα σας, αναλαμβάνουν τον έλεγχο των συσκευών σας ή ξεκινούν την «εξόρυξη» κρυπτονομισμάτων.
Δεν είναι μόνο αυτό. Υπάρχουν πολλοί τρόποι με τους οποίους οι χάκερ μπορούν να χρησιμοποιήσουν απλό ανθρώπινο λάθος εναντίον σας.
- Κλοπή πνευματικής ιδιοκτησίας (IP): Είναι τόσο απλό όσο το να αντιγράψετε την ιδέα, το προϊόν ή την υπηρεσία κάποιου άλλου χωρίς να το κάνετε μόνοι σας. Είναι δημοφιλές γιατί είναι εύκολο και μπορεί να είναι εξαιρετικά κερδοφόρο. Τόσο τα άτομα όσο και οι εταιρείες μπορούν να γίνουν θύματα κλοπής IP.
- Εταιρική κατασκοπεία: Η λεγόμενη βιομηχανική ή εταιρική κατασκοπεία είναι η ίδια με την πολιτική κατασκοπεία, αλλά γίνεται για εμπορικούς σκοπούς και όχι για εθνική ασφάλεια. Σε αυτό το είδος του εγκλήματος στον κυβερνοχώρο, οι εγκληματίες δεν στοχεύουν άτομα εκτός και αν ανήκουν σε ανταγωνιστικές εταιρείες. Άλλωστε, ο πρωταρχικός σκοπός είναι να έρθετε από εμπορικά μυστικά και να αποκτήσετε πλεονέκτημα έναντι του ανταγωνισμού.
- Καταστρέφοντας τη φήμη: Είτε ένα δημόσιο πρόσωπο είτε μια εταιρεία, το κύριο θύμα μιας επιτυχημένης κυβερνοεπίθεσης είναι συχνά η εμπιστοσύνη. Ενώ αυτό μπορεί να είναι σκόπιμη ή παράπλευρη ζημία (οικονομικού κέρδους, για παράδειγμα), μπορεί να αφήσει ένα διαρκές σημάδι στη φήμη κάποιου.
Γιατί οι άνθρωποι είναι εύκολος στόχος για τους εγκληματίες του κυβερνοχώρου;
Εκτός από την έλλειψη ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο, υπάρχουν αρκετοί κύριοι λόγοι για τους οποίους οι εγκληματίες στον κυβερνοχώρο βρίσκουν τους ανθρώπους εύκολους στόχους.
Σε αντίθεση με την τεχνολογία, οι άνθρωποι εμπιστεύονται από τη φύση τους. Επίσης, μερικές φορές βρίσκονται υπό άγχος και οι επιθέσεις κοινωνικής μηχανικής μπορεί να τους πιάσουν απρόοπτα και να τους κάνουν να πέσουν στην απάτη. Εάν είναι επίσης ανενημέρωτοι (ή ακόμα και ανεύθυνοι) σχετικά με την ασφάλεια στον κυβερνοχώρο, αυτό τους κάνει το τέλειο θήραμα.
Οι άνθρωποι είναι πλάσματα της ρουτίνας και οι περισσότεροι από εμάς δεν το πειράζουμε. Δυστυχώς, αυτό μπορεί να μας κάνει εύκολο στόχο για hacking, όπως επιθέσεις phishing. Για παράδειγμα, αν ελέγξετε το email σας αμέσως μόλις ξυπνήσετε το πρωί, οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να στείλουν ένα email ηλεκτρονικού ψαρέματος εκείνη τη στιγμή. Στη συνέχεια, χωρίς να το σκεφτείτε δεύτερη φορά, θα μπορούσατε να ανοίξετε το μήνυμα, να κάνετε κλικ στον σύνδεσμο και να κλέψετε τα προσωπικά σας στοιχεία.
Τελικά, μπορούμε να είμαστε συναισθηματικοί, κάτι που μπορεί να θολώσει την κρίση μας και να μας κάνει να επηρεαζόμαστε εύκολα από επιθέσεις κοινωνικής μηχανικής. Μόνο ένα λάθος βήμα από εμάς ή οποιονδήποτε άλλο υπάλληλο μπορεί να θέσει σε κίνδυνο ολόκληρη την εταιρεία και τους χρήστες της.
Μπορούμε να ξεπεράσουμε τους κινδύνους ανθρώπινου λάθους;
Εφόσον η πιο σοβαρή απειλή για την ασφάλεια στον κυβερνοχώρο δεν είναι ένα εξελιγμένο hack αλλά ένας καλός παλιομοδίτικος ανθρώπινος παράγοντας, θα πρέπει να τον εξαλείψουμε, σωστά; Αυτό είναι πιο εύκολο να ειπωθεί παρά να γίνει. Ωστόσο, μπορούμε να βρούμε τρόπους για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο ξεπερνώντας αυτόν τον παράγοντα χωρίς να εξαλείψουμε τους ανθρώπους από την εξίσωση. Λάθη είναι βέβαιο ότι θα συμβούν. Μπορούμε όμως να διαδώσουμε την ευαισθητοποίηση για την ασφάλεια στον κυβερνοχώρο και να βεβαιωθούμε ότι εμείς και οι άνθρωποι από τους οποίους βασιζόμαστε, ενημερωνόμαστε για τους κινδύνους της κυβερνοασφάλειας.
Θα μπορούσαμε επίσης να χρησιμοποιήσουμε ισχυρά εργαλεία ασφάλειας, να ζητήσουμε βοήθεια από ειδικούς στον τομέα της κυβερνοασφάλειας και να δημιουργήσουμε μια κουλτούρα όπου οι άνθρωποι αισθάνονται ελεύθεροι να μοιράζονται τυχόν ζητήματα ή ανησυχίες που έχουν σχετικά με την ασφάλεια στον κυβερνοχώρο.
