Uncategorized

There are 2 posts filed in Uncategorized ().

USB raziskava 2.0

V juniju 2015 smo ekipa Safe Mode v sodelovanju s Fakulteto za varnostne vede izvedli raziskavo na temo socialnega inženiringa in njegovega vpliva na varovanje informacij. Rezultati takratne raziskave so bili nekoliko presenetljivi, zato smo se odločili, da postopek ponovimo v večjem obsegu in rezultate med seboj primerjamo.

Tokrat je v raziskavi sodelovalo 61 organizacij. Vsa podjetja so iz osrednjeslovenske regije, število zaposlenih se giblje med 15 in 500, vse organizacije pa so lansko leto zaključile s pozitivnim poslovnim izidom. Tokrat smo v raziskavo vključili tudi javni, zdravstveni in bančni sektor. USB ključ smo poslali po pošti v pisemski ovojnici s priloženim dopisom, da smo USB ključek našli pred vhodom, v naslovnikovo organizacijo in da ga vračamo saj ta vsebuje pomembne podatke.

Primer pisma, ki smo ga poslali 25 slovenskim podjetjem.

Primer pisma, ki smo ga poslali 25 slovenskim podjetjem.

Na ključku je bilo več datotek in dve mapi. Mapa “Slike”, je vsebovala nekaj naključnih fotografij, ki smo jih našli na internetu, druga mapa pa je bila poimenovana z imenom podjetja kateremu smo pismo poslali in je vsebovala datoteko “Gesla.html”. V osnovni mapi sta se nahajali še datoteki “Mail-dostop.html” in “SluzbeniDokumenti.html”.
Ko so uporabniki odprli katero od html datotek na pomnilnem mediju, se jim je v spletnem brskalniku pokazalo obvestilo, da se zahvaljujemo za sodelovanje v raziskavi in da bo vodstvo organizacije kmalu obveščeno o rezultatih. V ozadju smo vzpostavili avtomatizirano analitiko evidentiranja zahtevkov, ki so se sprožili ob odpiranju datoteke, iz katere je bilo razvidno, kdaj je določena organizacija odprla določeno datoteko, katera je ta datoteka bila, in identiteto organizacije, saj smo vsaki organizaciji namenili unikaten USB ključek.

USB struktura

Primer strukture dokumentov na USB ključu, ki je bil priložen pismu.

Zbiranje rezultatov

Raziskava je potekala v dveh delih. V prvem delu smo želeli ugotoviti koliko podjetij bo USB ključ uporabilo, v drugem delu pa smo vsa sodelujoča podjetja poklicali in od njih želeli izvedeti:
• Kaj se je s pošto oz. USB ključem dogajalo v podjetju?
• Ali ima določeno podjetje vpeljane varnostne politike za področje informacijske varnosti ali vsaj pravilnik o ravnanju z določenimi napravami, kot so pomnilni mediji in druge naprave?
• Ali v podjetju izvajajo izobraževanja na področju informacijske varnosti in kako pogosto to počnejo?

Rezultati

V primerjavo s prvo izvedbo raziskave, kjer smo zajeli 25 slovenskih organizacij, smo tudi v drugi izvedbi raziskave dobili podobne rezultate. Tudi tokrat je od 61 organizacij kar 90 % le-teh USB ključ uporabilo. S temi podatki lahko potrdimo, da v prvi raziskavi ni šlo le za naključje in da devet-desetinski delež uporabe USB ključa odraža realno sliko v slovenskem prostoru.
Pri načinu ravnanja s prispelo pošiljko v primerjavi s prvo raziskavo prav tako ni večjih posebnosti. Po prejemu pošte je USB ključek, v 11,1 % prišel v roke IT službe po tem, ko so ga ostali zaposleni že uporabili na računalnikih priklopljenih na omrežje organizacije. V 13 % je IT služba prva prišla do USB ključka in ga uporabila sama, kot so dejali, v zavarovanih pogojih na računalnikih, ki niso bili priklopljeni neposredno na omrežje organizacije.

Zahvaljujoč naši analitiki smo ugotovili, da je 7,4 % organizacij zanikalo, da je kakršna koli pošiljka, ki bi ustrezala našemu opisu prišla na sedež njihove organizacije, kljub temu, da je jasno da so USB ključek večkrat uporabili. Samo dejstvo niti ni presenetljivo, saj na splošno organizacije nerade govorijo o kakršnih koli varnostnih luknjah, še posebej na področju informacijske varnosti, saj bi tovrstno razkritje lahko škodilo njihovemu ugledu. Iz te perspektive je omenjeni odstotek pravzaprav majhen. 9,5 % organizacij pa ni zanikalo, da bi USB ključek dobilo, so pa dejali, da nimajo zavedeno, da bi takšna pošiljka prišla do njih. Ob tem so organizacije nehote razkrile, da so prisotne pomanjkljivosti pri beleženju dohodne pošte in njeni nadaljnji distribuciji znotraj organizacije.

Izvajanje izobraževanja zaposlenih v organizaciji na področju varovanja informacij je tudi tokrat pričakovano na nizki stopnji. Le 13 % organizacij izvaja izobraževanja za svoje zaposlene, od tega jih 7,4 % meni, da so zaposleni premalo izobraženi na tem področju. Ugotovili smo, da zaposleni na splošno vedo, da so vsakodnevne grožnje varovanju informacij prisotne, vendar ne razumejo na kakšne načine. Zaposleni se zavedajo, da so vdori v njihov informacijski sistem sicer možni, vendar ne razumejo kako bi se to lahko zgodilo in posledično tudi niso zmožni prepoznati grožnje, ki je pred njihovimi očmi. Za primer lahko vzamemo na USB ključek. Uporabniki vedo, da obstajajo virusi, trojanski konji in druge metode, ki jih lahko ogrožajo, vendar pozabijo, da se lahko prenašajo tudi preko pomnilnih medijev in zato v USB ključku neznanega izvora v večini primerov ne prepoznajo nevarnosti, saj so bili uspešno zavedeni s pomočjo socialnega inženiringa v obliki dopisa, kjer je pisalo, da USB ključek vračamo lastniku.

V 14,8 % zaposleni niso vedeli za nikakršne varnostne politike ali vpeljane standarde, 3,7 % pa jih je dejalo, da ima organizacija, ki je njihov lastnik svoje varnostne politike. Sicer smo preko telefonskega pogovora ugotovili, da 24,1 % organizacij ima vpeljane različne varnostne politike ali katerega od standardov (običajno iz serije ISO 9000 ali ISO 14000). Uporabniki so v primeru, ko so varnostne politike bile prisotne v organizaciji, bodisi njihove lastne ali od njihovih lastnikov, verjeli, da so s tem zavarovani. Nekateri so bili mnenja, da je njihov nivo varnosti precej visok, ker ob nastopu zaposlitve podpišejo NDA, kar zaposlenim preprečuje možnosti zlorab. Žal temu ni tako.

Z zadovoljstvom lahko povemo, da je bila reakcija na poslani USB ključek v bančnih in drugih finančnih ustanovah v skladu s pričakovano dobro razvito varnostno kulturo. V omenjenih organizacijah pomnilnega medija niso vstavljali v nobeno od naprav priključenih na mrežo, prav tako naša analitika ni zaznala uporabo USB ključka. V vseh primerih so pomnilni medij tudi uničili. Za določene panoge tako sklepamo, da je raven zavedanja in pripravljenosti na možne incidente višja. Nismo pa zaznali razlik v odstotku uporabljenega USB ključka glede na velikost organizacije. Naleteli smo na primer, ko v organizaciji niso imeli vpeljane nobene varnostne politike, le ravnali so po zdravi pameti, kot je dejal sogovornik ob našem klicu.
V raziskavo smo zajeli dobro stoječa podjetja s solidnimi prihodki, in posledično večjo izpostavljenostjo. Ob tem smo mnenja, da bi bili rezultati v primeru vključitve šibkejših podjetij lahko še slabši.

V razmislek še nekaj naših ugotovitev in mnenj:
• Prisotnost standardov in varnostnih politik ne zagotavlja varnosti, če zavest o pomenu varovanja informacij ni vključena v kulturo organizacije.
Zagotavljanje varnosti v organizaciji je stvar vseh zaposlenih in ne redkih posameznikov.
Dokler se uporabniki ne bodo zavedali, kaj jim varnostne politike narekujejo in tudi razumeli kako te zahteve izpolnjevati, politike ne bodo imele učinka.
• Uporabnikov ni smiselno siliti v prebiranje in učenje več sto stranskih politik, ampak je potrebno te narediti bolj življenjske in jih uporabnikom predstaviti na njim razumljiv način.
• Če z določenimi vpeljanimi ukrepi v organizaciji ne preprečujemo nastanka škodnih pojavov, ni smiselno, da ukrepe sploh vpeljujemo.

Učenje s pomočjo dinamičnih delavnic, s plastičnim prikazom potencialnih groženj, vpeljava življenjskih varnostnih politik in preizkus razumevanja dokumentacije ter analitika napredka so ključni faktorji pri zagotavljanju informacijske varnosti v organizacijah.

Da bi spremembe lahko začeli uvajati, je potrebno spremeniti mentaliteto vodstva, ki se pogosto osredotoča na drage rešitve, namesto da bi se lotili osnov. S pravilnim in učinkovitim izobraževanjem zaposlenih lahko ob bistveno nižjih stroških dosežemo enak učinek kot bi ga lahko z vpeljavo tehnične rešitve. In tudi to bo nekdo namestil in vzdrževal. Človeškemu faktorju se izogniti ne moremo, z njim lahko le upravljamo.

 

Ekipa Safe Mode

USB raziskava

Ekipa Safe Mode je v sodelovanju s Fakulteto za varnostne vede, Univerza v Mariboru, izvedla eksperiment na temo socialnega inženiringa in njegovega vpliva na informacijsko varnost. Želeli smo preveriti kako šibek je človeški faktor z vidika varnosti v slovenskih podjetjih. Poleg človeškega faktorja smo si pri eksperimentu pomagali še z zelo poznanim in razširjenim medijem, ki ga dnevno uporabljamo tako v poslovnem kot domačem okolju. To je USB ključ.

USB struktura

Primer strukture dokumentov na USB ključu, ki je bil priložen pismu.

V eksperimentu je nevede sodelovalo 25 slovenskih podjetij. Podjetja smo izbrali po naslednjih kriterijih: število zaposlenih v podjetju se giba med 25 in 150, vsa podjetja pa so iz osrednjeslovenske regije s pozitivnim poslovnim izidom v letu 2014.

USB ključ je vseboval več datotek in dve mapi. Ena od map je bila poimenovana “Slike”, ki je vsebovala nekaj naključnih fotografij, ki smo jih našli na internetu. Druga mapa je bila poimenovana z imenom podjetja kateremu smo pismo poslali, vsebovala pa je datoteko “Gesla.html”. V osnovni mapi sta se nahajali še datoteki “Mail-dostop.html” in “SluzbeniDokumenti.html”. Mapa “Slike” je imela funkcijo, da ustvari lažno domačnost pomnilnega medija, ostale datoteke pa so se ob kliku odprle v brskalniku. Pri tem se je z našega strežnika poleg logotipa naložila tudi majhna (nevidna) slika. Z njeno pomočjo smo pridobili podatek v katerem podjetju je bil USB ključ uporabljen. Podatke, ki smo jih zbirali so šifra pod katero smo v tem eksperimentu vodili določeno podjetje, katera datoteko s končnico .html je sprožila ukaz in ime podjetja ter IP naslov iz katerega je bil ukaz izvršen.

Primer pisma, ki smo ga poslali 25 slovenskim podjetjem.

Primer pisma, ki smo ga poslali 25 slovenskim podjetjem.

Podjetja so prejela pisemsko pošiljko z dopisom, ki smo ga napisali ročno, ga skopirali in natisnili v 25 izvodih. Na dopis smo z lepilnim trakom prilepili USB ključ. V dopisu je pisalo, da smo priloženi USB ključ našli pred vhodom v njihovo podjetje in glede na vsebino ključa menimo, da le-ta vsebuje pomembne dokumente ter da verjetno pripada enemu od njihovih zaposlenih. V dobri veri ga želimo vrniti lastniku.

 

Zbiranje rezultatov

Eksperiment je potekal v dveh delih. V prvem delu smo želeli ugotoviti koliko podjetij bo USB ključ uporabilo, v drugem delu pa smo vsa sodelujoča podjetja poklicali in od njih želeli izvedeti:

  • kaj se je s pošto oz. USB ključem dogajalo v podjetju,
  • ali imajo podjetja notranji ali zunanji IT,
  • ali ima določeno podjetje vpeljano varnostno politiko za področje informacijske varnosti ali vsaj pravilnik o ravnanju z določenimi napravami, kot so pomnilni mediji in druge naprave,
  • ali v podjetju izvajajo izobraževanja na področju informacijske varnosti in kako pogosto to počnejo,
  • ali bi želeli brezplačno izvedbo delavnice z naše strani, na sedežu njihovega podjetja?

Ob začetku eksperimenta nismo vedeli kakšne rezultate naj pričakujemo. Želeli smo si dobrih rezultatov v smislu da USB ključki ne bi bili velikokrat uporabljeni, saj bi to pomenilo, da je ozaveščenost uporabnikov v obravnavanih slovenskih podjetjih dobra. Preden razkrijemo rezultate lahko sami poskusite uganiti koliko izmed 25 podjetij je USB ključ uporabilo?

 

Rezultati raziskave

Rezultati so zaskrbljujoči in malce presenetljivi. Kar 23 od 25 podjetij (92%) je poslani USB ključ uporabilo. Z drugimi besedami to pomeni, da je 92% zajetih podjetij možno izpostavljenih različnim tveganjem, saj bi se v primeru, da bi naši pomnilni mediji da-ne vsebovali zlonamerno kodo, lahko znašli v velikih težavah, kjer bi lahko bila ogrožena celotna informacijska infrastruktura podjetja.

Kot smo že omenili, smo na USB ključ namestili tri datoteke, ki so imele enako funkcijo, da nam sporočijo katero podjetje je ključ uporabilo in katero od datotek je uporabilo za izvedbo ukaza s katerim smo pridobili podatke za analizo. S tremi različnimi datotekami smo želeli ugotoviti tudi katero izmed njih uporabniki kliknejo z večjo verjetnostjo. Rezultati so pokazali, da v tem pogledu ni razlik, saj so vsako izmed datotek uporabniki uporabili v 84% odpiranj. V primeru enega podjetja uporabnik sicer ni uporabil nobene od .html datotek, smo pa iz telefonskega pogovora ugotovili, da je ključ bil vstavljen v delovno postajo in da so pregledali samo slike, kar pa samega dejanja ne omili.

V 24% primerov so USB ključek pregledali IT strokovnjaki v podjetjih, vendar so v dveh primerih ključek dobili v pregled šele po tem ko je ta bil uporabljen s strani zaposlenih, v treh primerih so IT strokovnjaki sami uporabili ključek, le eden pa je vsebino ključkaizobraz pravilno uničil brez odpiranja .html datotek. V 84% primerov so tajnice  oziroma ostali zaposleni USB ključ uporabili na lastno pest, v dveh primerih kot že rečeno pa je po uporabi prišel na IT oddelek v podjetju. Od podjetij, ki so nam posredovali dodatne informacije smo izvedeli, da v 32% imajo vpeljane razne varnostne politike, 16% jih ima vpeljane različne tehnične rešitve in le 20% jih v rednih intervalih izvaja izobraževanja za zaposlene. Dodatne informacije smo uspeli pridobiti od 18 podjetij, kjer smo ugotovili tudi, da imajo v 32% notranji IT in v 36% zunanji IT, ostala podjetja podatka niso delila z nami.

Pri telefonskem pogovoru smo naleteli na različne odzive. Enim se je eksperiment zdel odlična ideja, drugi so imeli negativen odnos, ker smo jih zaposlili z iskanjem lastnika  USB ključa, tretjim ni bilo do pogovora o tej tematiki, v enem primeru pa je celo prišel odgovor, da oseba na IT oddelku nima nič z informacijsko varnostjo oziroma se je ne tiče.

IT grafEksperiment je kljub izvedbi v omejenem obsegu pokazal resnično stanje v zajetih slovenskih podjetjih, ki je precej zaskrbljujoče. Menimo, da bomo s tem ljudem pokazali kako pomemben je človeški faktor in da je potrebno vire usmeriti tudi na to področje. K varnosti določene organizacije moramo pristopiti sistematično in pokriti vsa področja delovanja. Če zanemarimo samo eno področje, je to dovolj da je organizacija izpostavljena tveganjem. Le s kontinuiranim izobraževanjem kadra bomo lahko k varovanju informacij pristopili efektivno.

Prav s sistematičnim pristopom k varovanju informacij se ukvarjamo v ekipi Safe Mode, kjer se osredotočamo predvsem na uporabnike, s svežim pristopom pa omogočamo cenovno sprejemljivost storitev, ki si jih lahko privoščijo tudi mala in srednje velika podjetja.

Ekipa Safe Mode nudi brezplačno svetovanje organizacijam, z namenom ozaveščanja vodstva o pomenu celovitega pravilnega ravnanja z informacijami. Na delavnici predstavimo primere zlorabe informacij v slovenskih podjetjih, praktične načine tehničnih in socialnih zlorab ter predstavimo rešitve, ki bi lahko znatno pripomogle k dvigu zavesti in ravni varnega dela z informacijami.

 

Za brezplačno svetovanje nas lahko kontaktirate:

– Tel: 080 1235

– E-pošta: info@safe-mode.net

in rezervirate termin, ki vam ustreza.

Ekipa Safe Mode