Cokolwiek by mówić o różnych sztuczkach technicznych, jak stosowanie "zaciemnionych" odnośników, z których trudno jest odczytać faktyczny adres, czy ukrywaniu adresu w okienku strony, w istocie jest to oczywiście atak w warstwie ósmej. Nie chodzi tu nawet o to, że należałoby sprawdzać certyfikat strony, jej adres itp. (są to najczęściej powtarzane hasła, gdy mówi się o zabezpieczeniu transakcji elektronicznych, w istocie jednak wszystkie technicznie do obejścia).

Czy otrzymując list elektroniczny, mówiący nam o konieczności odwiedzenia jakiejś witryny i podania swoich danych, mamy jakiekolwiek gwarancje, że pochodzi on z wiarygodnego źródła? Czy nie powinniśmy być zainteresowani zweryfikowaniem tej informacji, np. dzwoniąc na znany nam numer banku? Sytuacja przypomina nieco wspomnianego na początku wirusa albańskiego, ale jest tym poważniejsza, że phishing przygotowywany jest bardzo starannie, a wielu użytkowników nie ma pojęcia o tym, jak łatwo jest spreparować list elektroniczny (swoją drogą widać tu analogię z tradycyjną korespondencją, z czego jednak niewiele osób zdaje sobie sprawę).

Za błędy na górze

Następstwa groźniejsze od błędów użytkownika mogą przynieść błędy administratora. Nie chodzi tu o zaniedbania w utrzymaniu i zabezpieczaniu systemów - mają one raczej związek z narzędziami technicznymi, ale nie o tym jest ten artykuł. To raczej przypadek administratora, który mimo zainstalowania drzwi pancernych, na wielkim plakacie za oknem wywiesza dane, które powinny być chronione. Nieprawdopodobne? Być może, ale do czego zatem porównywać umożliwienie przeglądania list haseł czy danych klientów... wyszukiwarką Google? Wystarczy, by administrator serwera WWW nieświadomie pozostawił "nieco" zbyt szeroki zakres katalogów traktowanych przez serwer jako publiczne.

Nierzadko także zdarza się podłączanie urządzeń czy całych serwerów "na chwilę", niezgodnie z przyjętą polityką i architekturą sieci oraz z pominięciem wszelkich reguł zabezpieczeń, np. modem z wyjściem bezpośrednio na świat, poza korporacyjnym firewallem.

Analogiczne przypadki można by mnożyć, przekonując, że samo istnienie zabezpieczeń, bez świadomości stosowności ich użycia, nie stanowi żadnej gwarancji bezpieczeństwa. Niby truizm, ale czy rzeczywiście dla wszystkich?

Po piąte, piąta kolumna

Mówiąc o atakach nakierowanych na czynnik ludzki, nie sposób pominąć motywu wykorzystywanego najczęściej we wszelkich dyskusjach o socjotechnice i człowieku jako słabym ogniwie bezpieczeństwa organizacji. Chodzi oczywiście o bezpośrednią współpracę pracowników z atakującym. Najczęściej w tym miejscu straszy się czytelnika wizją zbuntowanego, niedocenianego pracownika, postanawiającego dokonać zemsty na firmie. Choć nie jest to scenariusz nieprawdopodobny, znacznie groźniejsze wydaje się zupełnie co innego. Mianowicie, ten sam pracownik, który zachęcony e-mailem wykasowuje pliki z komputera, rozpakowuje chroniony hasłem załącznik czy podaje swoje dane do konta bankowego, gotów będzie również w odpowiedzi na e-mail czy telefon podać istotne dla atakującego dane - takie jak szczegóły architektury sieci czy hasła. Wystarczy, że taki użytkownik uzna, że prosi go o to ktoś, kto powinien wiedzieć.

Skuteczność socjotechniki w omijaniu wartych sporo pieniędzy systemów zabezpieczeń wykazał dobitnie w czasie swojej kryminalnej działalności Kevin Mitnick. Wiele zależy zatem od inteligencji i zdolności przekonywania (a może umiejętności psychologicznych i zdolności aktorskich?) atakującego, a ofiara może nie mieć pojęcia, że bierze udział w działaniach wrogich wobec firmy.

O ile w przypadku świadomego współdziałania możliwości przeciwdziałania leżą w gesti odpowiedzialnych za motywację pracowników i stwarzanie odpowiedniej atmosfery w pracy, o tyle przed drugą z opisywanych sytuacji można się uchronić dokładnie w ten sam sposób, co przed zagrożeniami opisanymi wcześniej.

Czas na wnioski

Wszystkie opisane przypadki, a także inne, które łatwo wyobrazić sobie lub zaobserwować na co dzień (nie wspomniałem, gdyż nie ma to ścisłego związku z tematem, choćby o tym, jak wielu użytkowników beztrosko obchodzi się z hasłami, lekceważąc sobie wymogi zachowania ich poufności), mają jedną przyczynę - brak podstawowej świadomości większości użytkowników odnośnie do bezpieczeństwa w Internecie. W szczególności w większości wymienionych przypadków wystarczyłaby wiedza o tym, jak mało wiarygodnymi źródłami informacji mogą okazać się poczta elektroniczna, strony WWW czy telefon. To również świadomość tego, jak zdobyte za ich pośrednictwem wiadomości weryfikować. Podstawą powinno być także takie wyszkolenie użytkownika (pracownika), by wiedział, jakie informacje, komu, w jakich okolicznościach i według jakiej procedury wolno udostępniać.