SOCIALINĖ INŽINERIJA

Jeigu jūsų būtų paprašyta įvertinti kaip lengvai pasiduodate manipuliacijai, kaip save įvertintumėte? Neretai apie save esame geresnės nuomonės nei yra iš tiesų, nes save matome taip, kaip norėtumėme, kad mus matytų kiti, tad pirminis atsakas į tokio pobūdžio klausimą gali būti šiek tiek kitoks nei yra iš tiesų.

Dažniausiai manipuliaciją siejame su nusikaltėliais ar tiesiog nedorais žmonėmis, tačiau manipuliacija ir socialinės inžinerijos strategijas visi esame taikę dar vaikystėje norėdami gauti tai, ko neturėtumėme. Verkiantis vaikas parduotuvėje yra pats paprasčiausias socialinės inžinerijos pavyzdys, nes apsiginklavęs dideliu garsu ir ašaromis, jis paveikia tėvų empatiją, norą išvengti nepatogios situacijos ir tapti gerais vaiko akyse. Taip vaikas gauna tai ko nori, nors tėvų pirminis atsakas buvo - „ne“. Augant manipuliacijos formos sudėtingėja ir gali būti pastebimos ne iš karto, tačiau esminiai manipuliacijos principai išlieka iš esmės nepakitę.

Šiais laikais kompiuterinės sistemos pažengusios tiek, kad į jas įsilaužti pasitelkiant vien technologijas tapo kur kas sudėtingiau ir šios priemonės vis tobulėja, tačiau tarpinė grandis tarp informacinių technologijų ir informacijos yra žmogus, kadangi jis yra pagrindinis jų naudotojas, reiškia turi tiesioginę prieigą prie tam tikrų IT sistemų. Pasitelkiant socialinės inžinerijos principus, į IT sistemas galima ne įsilaužti, o tiesiog prie jų prisijungti niekam neįtariant, jog įvyko įsilaužimas. Taip galima išgauti informaciją, jautrią asmeniui ar organizacijai, kuri gali turėti reikšmės fiziniam bei finansiniam saugumui.

Nepaisant to, kiek pasitikėjimo turite įžvelgdami galimas manipuliavimo grėsmes, visuomet pravartu neskubėti ir informacija dalintis tik tuomet kai yra aišku ir identifikuota, kas yra informacijos gavėjas bei kokiais tikslais informacija bus naudojama. Jeigu negalite atsakyti į bent vieną iš klausimų, informacija dalintis nereikėtų.

Dėmesingumas ir savišvieta šiuo klausimu yra esminės apsaugos priemonės, todėl ilgainiui padėsime geriau pažinti ir suprasti kaip galime tapti socialinės inžinerijos atakų taikiniais bei kaip nuo tokių atakų apsisaugoti.

Kiekvienos organizacijos sėkminga veikla didele dalimi  priklauso nuo to, kaip išnaudojami ir valdomi organizacijos resursai/ištekliai Organizacija - resursų/išteklių aibė - tarp jų ir personalas/darbuotojai.. Tinkamą resursų valdymą aprašo ir reglamentuoja įvairios kokybės užtikrinimo sistemos, kaip ISO 27001.

Socialinė inžinerija - tai psichologinio manipuliavimo forma, kurios veiksmas nukreiptas į personalą. Norint apsisaugoti nuo socialinės inžinerijos keliamų grėsmių reikalingi mokymai bei nuolatinis žinių/įgūdžių tikrinimas.

Personalo gebėjimas atpažinti ir tinkamai reaguoti į grėsmes susijusias su manipulaivimu priklauso nuo gebėjimų atpažinti maniupuliacines/psichologines poveikio vertinimui priemones. Personalo gebėjimą nustatyti ir tinkamai reaguoti į žalingą poveikį galima nagrinėti remiantis bendraisiais socialinio elgesio principais.

Socialinės atitikties poveikis vertinimui - Socialinė atitiktis yra socialinės įtakos tipas, susijęs su įsitikinimų ar elgesio pasikeitimu, siekiant prisitaikyti prie grupės. Personalas gali būti klaidinamas nurodant, kad jau dauguma atliko tai ko prašo manipuliatorius.

Žymėjimo (Etiketės) poveikis vertinimui - etiketė (pavyzdžiui, būti nusikaltėliu arba darbuotojas) gali tapti tokia, kuri nusveria visą asmens tapatybę. Personalas gali būti klaidinamas prisidengiant netikra organizacijos darbuotojo etikete/pažymėjimu, partnerio darbuotoju ar kontroliuojančios institucijos darbuotoju ir pan.

Moralinių vertybių poveikis vertinimui - Moralinės vertybės, taisyklės ir dorybės yra moraliai priimtinų sprendimų standartai, nenurodant, kaip juos pasiekti. Personalas gali gauti žalingus pranešimus, kurie gali būti prisidengę moralinių vertybių principais pvz. paramos vargšams informacija.

Streso bei baimės poveikis vertinimui - baimė ir stresas keičia vertinimą ir daro įtaką sprendimų priėmimui (https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5201132/). Darbuotojo gali būti prašoma greitai atlikti potencialiai žalingą veiksmą nes situacija tokia, kad reikia veikti greitai. 

Socialinės inžinerijos testas - būdas patikrinti organizacijos personalo gebėjimus atpažinti ir tinkamai reaguoti į grėsmes, kurios kyla per išorinį ar vidinį poveikį.  Socialinės inžinerijos testo pagrindinis tikslas - Intelektinės nuosavybės bei finansinio turto apsauga. Socialinės inžinerijos testai gali padėti apsaugoti šį turtą. Nustatydami galimas personalo silpnąsias vietas ir užtikrindami, kad darbuotojai žinotų apie grėsmes ir kylančias rizikas, jas atpažintų bei tinkamai reaguotų.

Jeigu organizacija neplanuoja daryti socialinės inžinerijos testo, tai gali atlikti sekančius veiksmus:

• informuoti visus darbuotojus apie tai, kad reikia būti atidiems dėl manipuliavimo informacija;

• informuoti apie pagrindines matomas grėsmes kylančias iš socialinės inžinerijos;

• informuoti, kad gali būti vykdomas socialinės inžinerijos testas artimiausioje ateityje, kad  patikrinti kaip darbuotojai atpažįsta grėsmes ir ar tinkamai reaguojama.

 Net neatlikus socialinės inžinerijos testo toks informavimas  padidins darbuotojų budrumą bei atidumą 1-2 mėnesiams.