Computerworld News Service: Sikkerhedschefer giver ofte udtryk for bekymring ved tanken om de medarbejdere, der bruger Facebook på arbejdet, og som kunne falde for det gamle "Jeg er fanget i London og har brug for penge"-trick (også kaldet "419"-svindel).
Andre har folk i organisationen, som er sikre på, at prinsen af Nigeria gerne vil dele sin formue med dem. Og med fremkomsten at det såkaldte 'spear fishing', hvor beskeder bliver lavet til at skulle se ud til at komme fra medarbejdere, en bank eller andre troværdige kilder, hvilket er blevet en meget almindelig teknik, er behovet for sikkerhedstræning af medarbejdere blevet akut.
Men den slags bekymringer burde ifølge Jayson Street, sikkerhedskonsulent og it-chef for Stratagem 1 Solutions, ikke have førsteprioritet. Det er fordi, den største trussel i social engineering-sammenhæng findes i ledelsen - og det er i virkeligheden dem, der har mest brug for træning.
Jayson Street, som beskæftiger sig med penetrations-test og rådgiver om det, han kalder "at lappe det menneskelige problem" siger, at med deres adgang til følsomme data og fortrolige informationer, udgør topledelsen det mest saftige mål for de kriminelle og derfor også den største sikkerhedsrisiko. Den sårbarhed vil ikke forsvinde, før alle får en forståelse for sikkerhed, lige fra bunden til toppen af organisationen.
"Vi er nødt til at få ledelsen til at tage ansvar for de risici. Cheferne må forstå, hvad der kan ske, og hvordan man undgår det," siger han.
Jayson Street fortæller, at der er fire grunde til, at ledelsen er det mest oplagte mål for angreb med udgangspunkt i social engineering.
De tror ikke, at sikkerhedsreglerne gælder for dem
Ledelsen udgøres af de vigtigste mennesker i organisationen, deres job er ekstremt krævende og de regner selv med, at de er undtaget fra alle de ubelejlige regler og politikker, som sikkerhedsfolkene har indført, mener Jayson Street.
"De tror ikke, de behøver en firewall på samme måde som andre, ligesom de regner med, at de kan gå ind på hjemmesider, som andre ikke kan besøge," forklarer han.
"De vil ikke filtreres, logges eller overvåges, så de vil ikke gå via en proxy, der kan beskytte dem fra at blive kompromitterede."
Problemet er, at medlemmer af ledelsen som regel ikke ved mere om sikkerhed end andre medarbejdere, og at de derfor kan kompromitteres af helt almindelig social engineering. Og eftersom de er chefer, så er det i højere grad sandsynligt, at de kriminelle vil designe målrettede og personlige angreb, for eksempel ved at sende en e-mail, der tilsyneladende kommer fra en legitim kilde, men som i virkeligheden indeholder en ondsindet vedhæftning.
De tror, du beskytter dem
Når et medlem af ledelsen har åbnet en kompromitteret vedhæftning og fået inficeret computeren, så vil de begynde at spørge til, hvorfor sikkerhedsprocedurerne ikke beskyttede dem, siger Jayson Street.
"Når et medlem af ledelsen bliver kompromitteret, og det betyder tab for virksomheden, så vil han ikke sigeUps, min fejl. Han vil sige Hvorfor beskyttede du mig ikke fra mig selv?"
Jayson Street gennemførte for nyligt en serie penetrations-tests for to hoteller og fik adgang til server-rummet ved at sende en forfalsket mail til hotel-medarbejderne, hvori han påstod at være administrerende direktør for hotellets support-leverandør.
"Bagefter spurgte jeg dem Hvorfor lukkede I mig bare ind? og de sagde Sådan gør ejeren tit. Han sender den slags e-mails hele tiden!"
Pointen er: Chefen, eller i Jayson Streets eksempel hotelejeren, indser måske ikke selv, at de udgør en sikkerhedsrisiko (i dette tilfælde ved ikke at have et system til validering af e-mails), fordi de regner med, at it-afdelingen ved bedre og står klar til at beskytte dem.
De anvender den nyeste teknologi
It-chefer er de bedste mål for social engineering, eftersom det er dem, der arbejder med den nyeste teknologi, mener Jayson Street.
"Hvem er det, der får den nyeste iPhone, inden den bliver godkendt generelt i virksomheden? Hvem har en iPad på det interne netværk til e-mails? Det har dem i ledelsen. Det er dem, der får bærbare computere, som ikke er standard. De vil have den, der er ultra-let, eller den, der kan en eller anden særlig ting," forklarer Jayson Street.
Problemet er, at når teknologierne er helt nye, så er de heller ikke blevet ordentligt undersøgt for sikkerhedsrisici, ligesom de ikke er blevet konfigurerede på en sikker måde til virksomhedens netværk, siger han. Og problemet bliver endnu værre i sammenhæng med det forrige punkt; at ledelsen regner med at it-afdelingen har styr på sikkerheden i forhold til den nye enhed, hvilket ofte ikke er tilfældet.
"Måske tror de endda, at fordi teknologien er nyere, så er den også mere sikker, og det passer ikke. Og de vil stadig også kunne sætte deres bærbare til netværket derhjemme, og så ændrer trust-modellen sig fuldstændigt."
De har familie, der ikke ved, at de selv er mål
Angriberen vil altid lede efter den nemmeste måde at komme ind på, og eftersom netværksadministratoren sandsynligvis vil have restriktioner og gennemføre overvågning, så er det langt nemmere at gå efter it-chefens kone, mand eller børn på Facebook, fortæller Jayson Street. Den slags familiemedlemmer deler tit computer med it-chefen, når hun eller han er derhjemme.
"Hvorfor ikke kompromittere konens computer-system og så, når it-chefen tager sin bærbare med hjem, så er han på det interne netværk. Hjemmenetværket virker mere som et privat netværk, og folk stoler derfor mere på det. Det betyder, at firewall'en lader flere ting komme igennem. Derfor giver det mere mening at forsøge at kompromittere it-chefen på den måde."
Jayson Street mener, at selv familiemedlemmer skal gøres bevidste om, at de desværre står i risiko for blive ufrivillige mål for social engineering.
"Hvis der står millioner på spil, og man er indblandet i industrispionage og gerne vil stjæle penge eller hemmeligheder, så går man ikke bare efter det umiddelbare mål, man går også efter alle de mennesker, der findes i ofrets netværk."
Oversat af Marie Dyekjær Eriksen
