Do napisania tego artykułu skłoniła mnie dyskusja, która zainicjowana została w naszej branży po upublicznieniu na kilku popularnych profilach społecznościowych wpisów, których dwa przykłady zamieszczam poniżej:
Część osób potraktowała to z uśmiechem, większość niezwiązana z branżą IT uznała pewnie autora testów za szkodnika przeszkadzającego w pracy, a specjaliści od cyberbezpieczeństwa… tutaj zaskoczenie – podeszli do tematu różnie.
Co na to branża?
We wpisie na LinkedIn podzieliłem się opinią, iż do autora tych testów w tym roku nie przyjdzie chyba św. Mikołaj. W komentarzach do mojego wpisu pojawiły się jednak głosy, że przecież to były bardzo dobre testy. Argumentacja kolegów była taka, że przecież typowy przestępca nie miałby skrupułów i właśnie takie scenariusze testów socjotechnicznych najlepiej się sprawdzają, ponieważ pokazują skuteczność phishingu (i w domyśle dają nauczkę użytkownikom).
Ok, jest w tym trochę racji. Jednak testy socjotechniczne tym się różnią od realnego ataku, że mają być przeprowadzane w bezpiecznym i kontrolowanym środowisku. A bezpieczne środowisko nie oznacza tylko zabezpieczeń technicznych, ale wymaga również wzięcia pod uwagę aspektów prawnych, moralnych, wizerunkowych i wszystkich wynikających z nich konsekwencji.
Trochę przerysowana analogia – robiąc audyt bezpieczeństwa nie podpalamy serwerowni żeby przekonać się czy firma posiadała aktualne kopie zapasowe wyniesione do zewnętrznej lokalizacji. Robimy to dużo delikatniej. I ta delikatność jest wymagana również w przypadku testów socjotechnicznych. Nie wyklucza to wbrew pozorom stosowania scenariuszy, które pozwolą zachować wysoki poziom podobieństwa do realnego ataku.
Socjotechniki i ich konsekwencje
Ataki socjotechniczne są tak skuteczne ponieważ przestępcy manipulują w nich naszymi emocjami. Wykonując testy socjotechniczne, takie jak np. kampanie phishingowe, musimy z jednej strony upodobnić się do przestępców i wpłynąć na emocje pracowników, ale z drugiej strony zachować dużą ostrożność. Przestępca ma tylko jeden cel – przeprowadzić skuteczny atak. My jednak wykonując testy musimy dodatkowo zadbać o to by nie wywołać niepotrzebnych kontrowersji, nie zakłócić działania procesów biznesowych, nie wpłynąć negatywnie na morale pracowników lub wizerunek firmy. I nie jest to rzecz łatwa.
Testy socjotechniczne – to nie takie proste
Wydawać by się mogło, że przeprowadzenie testów phishingowych to prosta rzecz – wystarczy zarejestrować domenę, przygotować prosty formularz logowania, rozesłać maile i czekać na wyniki. Ale tak niestety nie jest. Testy socjotechniczne to zadanie z pogranicza informatyki, prawa, etyki i zarządzania. Wykonując je bez odpowiedniego przygotowania i konsultacji możemy strzelić sobie w stopę. Przygotowując się do testów socjotechnicznych powinniśmy rozważyć m.in. takie aspekty, jak:
- Naruszenie praw autorskich (np. wykorzystanie wizerunku firmy, loga, nazwy domeny lub grafiki)
- Konsekwencje prawne (znam przypadek, w którym główny księgowy firmy skończył z zarzutami o próbę wyłudzenia po tym jak dla testu podesłał swoim podwładnym do zapłaty fałszywą fakturę)
- Popsucie wewnętrznych relacji w firmie. Nie chcemy by dział IT / bezpieczeństwa był traktowany przez resztę kadry jako szkodnicy ukazujący innym ich niekompetencje – dużo więcej zyskamy mając zgrany zespół grający do jednej bramki przeciwko cyberprzestępcom. Pracownik, który odbierze źle przygotowane testy jako próbę upokorzenia go może chcieć się odegrać i ukazać niekompetencje działu IT np. ściągając i uruchamiając jakieś złośliwe oprogramowanie.
- Popsucie morale. Tutaj posłużę się przykładem, który podsunął w dyskusji mój znajomy – jak będzie się czuła np. matka samotnie wychowująca dzieci, próbująca przed świętami związać koniec z końcem gdy dostanie od pracodawcy maila z informacją o premii świątecznej, która okaże się testem phishingowym?
- Popsucie wizerunku. Co o firmie pomyślą klienci i kontrahenci widząc jak jej pracownicy skarżą się publicznie w Internecie na nieprofesjonalnie przeprowadzone testy socjotechniczne?
- Bezpieczeństwo. Czy jesteśmy pewni, że komunikacja ze stroną phishingową będzie zawsze szyfrowana? Czy serwer jest odpowiednio zabezpieczony i zaktualizowany? Czy formularz phishingowy nie zawiera podatności technicznych a wszystkie komponenty, na których budujemy środowisko testowe są aktualne?
Wnioski
Przywołane na wstępie artykułu testy socjotechniczne były więc może skuteczne, ale zdecydowanie nieprzemyślane i mało profesjonalne. Nie sądzę by były konsultowane chociażby z zarządem, a jeśli były i zostały zatwierdzone, to był to zarząd mało świadomy potencjalnych konsekwencji. Ciekaw jestem czy taki zarząd zgodziłby się np. na scenariusz, w którym treść maila byłaby następująca:
„O k..wa, zobaczcie, czy to nie nasz prezes z sekretarką na poniższym nagraniu:
[tutaj link do pobrania]”.
Jak myślicie? 🙂
Mam nadzieję, że tym krótkim tekstem chociaż trochę udało mi się odwieść Was od wykonywania nieprzemyślanych testów socjotechnicznych.
Problemy ludzi pierwszego świata… Co najmniej doktorat z dzielenia włosa na czworo. Zrobiłem w firmie identyczny test. „Nieprofesjonalny” zarząd zatwierdził. Oczywiście wyniki były zatrważające. Kto żyw i przy komputerze momentalnie otwierał wiadomość. Ale (i tu na pewno zaskoczę autora) nawet pani Zosia z sekretariatu śmiertelnej czkawki się nie nabawiła po przeczytaniu tego maila. Podczas kolejnego podobnego testu wyniki były znacznie lepsze. A św. Mikołaj przyszedł. Hojny.
Ps. Autor ma irytującą manierę przedstawiania się jako głos branży i opiniotwórca….
Wykonałeś u siebie w firmie – ok. Zarząd zatwierdził – ok. Tylko czy to jest argument za tym, że wszyscy powinni tak robić? Większość komentarzy w dyskusji na LinkedIn sprowadza się do dzielenia się informacją „ja tak zrobiłem, u mnie działa”. Problem w tym, że robienie czegoś dla siebie, a świadczenie profesjonalnej usługi, za którą bierze się pieniądze to nie to samo. Jeśli nawet zarząd zatwierdził, to pytanie czy znał alternatywę. Czy zarząd wiedział, że dokładnie te same efekty może osiągnąć nie wzbudzając niepotrzebnych kontrowersji? Obawiam się, że nie.
Co do maniery bycia głosem branży, nie wiem skąd taki pomysł. To jest blok osobisty, dzielę się swoimi przemyśleniami i zachęcam do dyskusji. Jestem otwarty na wszelkie uwagi i chętnie wyciągam wnioski. Ale tym „głosem branży” podsunąłeś mi pomysł, że może rzeczywiście warto poprzeć swoje argumenty zdaniem doświadczonych kolegów z branży. Firmy wykonujące testy socjotechniczne często powołują się na „Social Engineering Code of Ethics” – polecam lekturę. W dużej części zbieżne z tym co napisałem, ale porusza też inne kwestie, o których ja nie wspomniałem, jak np. dyskryminacja czy seksizm.