Kobiety managerowie bardziej odporne na techniki inżynierii społecznej

04 września, 2010

Wyciek danych firmowych czy atak hackerski na bazy danych firmy, może być wysoce niebezpieczny dla organizacji – prawdę powiedziawszy, taka sytuacja może nawet doprowadzić firmę do upadku. Najsłabszym ogniwem  przypadku tych sytuacji nie jest zaś wcale sprzęt komputerowy czy rodzaj zabezpieczeń w jakie zaopatrzono sieć, ale … pracownik.

Podczas konferencji Defcon, poświęconej bezpieczeństwu sieci komputerowych, przeprowadzono ciekawy eksperyment polegający na wykorzystaniu technik inżynierii społecznej, do zdobycia informacji biznesowych od pracowników firmy. Wybrano w tym celu 135 pracowników zatrudnionych w największych organizacjach (17 firm z listy Fortune 500) i próbowano podstępem i manipulacją wydobyć z nich telefonicznie dane lub namówić do odwiedzenia nieznanej pracownikom witryny internetowej.

Testerzy, którzy mieli wykorzystywać techniki inżynierii społecznej mieli pewne ograniczenia – nie mogli próbować uzyskiwać haseł dostępowych czy numerów kart od swoich ofiar – mimo tego, udało się im zgromadzić pokaźną ilość danych które można by następnie wykorzystać do popełnienia cyberprzestępstwa. Uzyskiwano takie dane jak rodzaj używanej przeglądarki, rodzaj systemu antywirusowego, systemu operacyjnego itd. Dane zdobyć było zaś dość łatwo – tylko jedna firma obroniła się przed atakiem całkowicie – co wynikało z tego, że telefon od osoby testującej podatność na inżynierię społeczną, odbierał automat. W innych firmach, większość pracowników podała hackerom wszystkie dane.  Technikom manipulacji oparło się jedynie 5 kobiet (przypomnijmy – na 135 osób).

Po podsumowaniu danych okazało się, że najbardziej odpornymi na techniki inżynierii społecznej są kobiety na managerskich stanowiskach – to one najczęściej najwcześniej orientowały się, że „coś tu nie gra” i podszywający się pod kierownika działu IT lub zewnętrznego audytora dzwoniący, nie jest tym, za kogo się podaje.

W Polsce, techniki inżynierii społecznej ścigane są prawnie – wiele firm jednak, nie przykłada wystarczającej wagi do zabezpieczenia się przed ta metoda pozyskiwania tajnych danych. A pracownik aby mógł być odporny na metody działania specjalistów od inżynierii społecznej, powinien zostać przeszkolony. Ewentualnie, radzimy zatrudniać same kobiety 🙂

Tagi: