E-ITSPEA 14: Andmeturveː tehnoloogia, koolitus ja reeglid

Internetipettused kui üks suurimaid IT-turvariske

Minu arvates on üks suuremaid tänapäeva IT-turvariske just internetipettused. Kõige huvitavam on see, et enamasti ei murta sisse arvutisse ega “häkitakse süsteemi”, vaid manipuleeritakse inimesega. Ehk kasutatakse social engineering’ut, pannakse inimene ise oma andmeid ära andma või vale otsust tegema.

Kuigi tänapäeval räägitakse turvalisusest väga palju, inimesed kasutavad Smart-ID-d, PIN1 ja PIN2 koode, pankadel ja riigiasutustel on hoiatused üleval ning peaaegu kõik on vähemalt korra kuulnud phishing’ust, langevad väga paljud inimesed ikkagi pettuste ohvriks. See näitab, et probleem ei ole ainult tehnoloogias, vaid ka inimeste käitumises ja teadlikkuses.

Ausalt öeldes puutun ma ise ja ka minu pere selliste asjadega päris tihti kokku. Näiteks sain mõni aeg tagasi SMS-i, mis nägi välja nagu Omniva teade. Seal kirjutati, et minu pakk ootab kinnitamist või jälgimist ning juurde oli lisatud link. Aga aadress oli midagi stiilis “omnivac4.me”, ehk täiesti ilmselge phishing’u leht. (Kahjuks ei saa ma screenshoti lisada, sest kustutan sellised sõnumid kohe ära ja blokeerin numbri.) Samuti on minu pereliikmetele helistatud “pangast” ja isegi “politseist”. Õnneks said nad aru, et tegemist on petturitega, kuid paljud inimesed satuvad paanikasse ja täidavadki nende juhiseid. Huvitav on ka see, et sellised kõned toimuvad peaaegu alati vene keeles. Minu isa vastab neile tihti eesti keeles ja palub edasi rääkida eesti keeles, kuid tavaliselt ei oska helistajad isegi lihtsamaid lauseid öelda. See jätab mulje, et paljud telefonipetturid tegutsevad hoopis välismaalt.

Sellised skeemid töötavad hästi just sellepärast, et petturid oskavad tekitada emotsioone. Inimene pannakse kartma (“teie konto on ohus”), kiirustama (“tegutse kohe”) või usaldama (“tere, ma helistan pangast”). Tegelikult on see klassikaline social engineering.

Pettuste vastu võitlemisel saab kasutada Kevin Mitnicki “valemit”: tehnoloogia, koolitus ja reeglid. Kõik kolm on vajalikud. Kui üks osa puudub, siis kogu süsteem muutub nõrgaks.

*Näidis sarnasest petusõnumist, mille leidsin internetist:

 



Tehnoloogia

Tehnoloogia aitab palju, aga ainult sellest ei piisa. Näiteks aitavad 2FA, Smart-ID, pankade automaatsed turvakontrollid ja spämmifiltrid vähendada riski. Samuti blokeerivad brauserid tihti kahtlaseid lehti enne, kui kasutaja need avab.

Omniva on oma veebilehel toonud välja, et nad ei küsi SMS-i kaudu pangakaardi andmeid ega PIN-koode. Samuti soovitatakse alati kontrollida veebiaadressi enne linkide avamist.

Samas näeme iga päev, et isegi hea tehnoloogia ei päästa olukorda, kui inimene ise annab oma andmed petturile. Kui inimene sisestab vabatahtlikult PIN2 koodi valele lehele, siis tehnoloogia enam ei aita.


Koolitus

Minu arvates on just koolitus kõige olulisem osa. Inimestele tuleb pidevalt rääkida, kuidas tänapäeva pettused töötavad. Mitte ainult vanematele inimestele, vaid kõigile, sest petturid muutuvad järjest osavamaks.

Näiteks ITVAATLIKU scam callsi lehel kirjeldatakse väga hästi tüüpilisi petukõnesid, kus helistaja esineb panga või riigiasutuse töötajana. Tihti kasutatakse vene või inglise keelt ning räägitakse, et inimese kontoga toimub midagi kahtlast. Eesmärk on saada ligipääs inimese pangale või panna ta tegema ülekannet.

Samuti on EMTA juhendis pettuste kohta toodud näiteid petusõnumitest ja selgitatud, kuidas neid ära tunda. Sellised näited on väga kasulikud, sest inimesed näevad reaalseid skeeme, mitte ainult üldist teooriat.

Ma arvan, et kõige tähtsam teadmine võiks olla see, et iga inimene võib olla märklaud. Väga paljud arvavad ikka veel, et “minuga seda ei juhtu”, kuid just selle mõtteviisi peale petturid loodavadki.


Reeglid 

Lisaks tehnoloogiale ja koolitusele on vaja ka kindlaid reegleid. Näiteks võiks olla lihtne põhimõte: mitte kunagi sisesta PIN2 koodi, kui sa ise ei algatanud tegevust. Samuti ei tohiks telefoni teel kunagi anda paroole või isikuandmeid, isegi kui helistaja tundub usaldusväärne.

Paljudel ettevõtetel ja pankadel on juba olemas reeglid, et töötajad ei küsi klientidelt sellist infot telefoni teel. Probleem on selles, et inimesed ei tea neid reegleid või unustavad need paanikaolukorras ära.

Minu arvates aitaks palju ka see, kui inimesed kontrolliksid alati veebiaadressi enne sisselogimist. Väga tihti reedab pettuse just kummaline domeen või väike kirjaviga aadressis.


Kokkuvõte

Internetipettused ei kao lähiajal kuhugi. Vastupidi, need muutuvad järjest professionaalsemaks ja usutavamaks. Tänapäeval ei piisa ainult heast viirusetõrjest või tugevast paroolist, sest kõige nõrgem koht on tihti inimene ise.

Seetõttu on Kevin Mitnicki mõte väga loogiline: turvalisus sõltub tehnoloogiast, koolitusest ja reeglitest korraga. Kui üks neist puudub, siis tekivad probleemid. Pettuste vastu võitlemisel on vaja mitte ainult häid tehnilisi lahendusi, vaid ka teadlikke inimesi ja selgeid käitumisreegleid.


Allikad:

 

Kommentaarid

Postita kommentaar