כמו במותחן של גרישם, העלילה נשארת אותו הדבר, רק הדמויות והמקומות משתנים.
שלושה ישראלים חשודים כי גנבו כעשרה מיליון אירו מבנקים בצרפת באמצעות הנדסה חברתית. הנוכלים (לכאורה?) התקשרו למנהלי סניפים והתחזו לאנשי חוק והודיעו כי סוכנים סמויים ייצרו קשר בימים הקרובים. לאחר מכן התקשרו, הפעם כסוכנים סמויים וביקשו לרכז עבורם נתונים על העברות בסכומים גבוהים. לאחר קבלת הנתונים ביקשו כי הכספים יועברו לחשבונותיהם, משם הם פיזרו את הכספים. (ynet)
הנדסה חברתית היא אחד האיומים המרכזיים בתחום אבטחת המידע ולא בכדי. לאחר שהגבלנו את יכולת המשתמשים להעביר את אמצעי ההזדהות שלהם באמצעות ביומטרי (נניח...) ולאחר שצמצמנו את ההרשאות למינימום ההכרחי (שוב נניח...) התקנו את מערכות מניעת דלף המידע של Onigma, Port Authority (ועכשיו גם Secure Islands?), הוספנו חיוויים אינספור, כי כך דורש SOX והטמענו בעצם כל טכנולוגיה אפשרית, גילינו כי עדיין ניתן לגנוב מאיתנו מידע, לפגוע בעסקים ובקיצור - להפריע את מנוחת הצהריים.
אין מה לעשות, צריך להתמודד עם העובדה שעוד לא ניתן להעסיק רובוטים ואנו מעסיקים בני אדם. בני אדם שמדליפים מידע, מאפשרים לאחרים גישה למערכות שלהם וכדומה. כל זאת ללא שניתן כמעט לאתר את החודר למערכת, כיוון שהוא עושה זאת תחת הרשאות המשתמשים הלגיטימיים. ואולי החמור מכל, האנשים שמסייעים בתהליך אינם אנשים רעים, להיפך - ברוב המקרים הם בטוחים שהם עושים רק דברים טובים.
כשמדברים על הנדסה חברתית חושבים בדרך כלל על פישינג - הונאת לקוחות. אך הנדסה חברתית היא אולי האמצעי הטוב ביותר לחדור לארגון. היא אינה מעוררת חשד ולא ניתן לאתר אותה באמצעים טכנולוגיים. כיצד מתמודדים עם הנדסה חברתית? שילוב של שלושה מרכיבים:
- זיהוי נקודות כשל אנושיות - תהליכים ארגוניים המועדים לניצול לרעה.
- זיהוי פערים בין טכנולוגיה לנהלים.
- הדרכה, הכוונה ובקרה.
אחת הבעיות המרכזיות בהסברת הסכנה בהנדסה חברתית היא התחושה הטבעית ש"לי זה לא יקרה". מניסיון כמחלץ סיסמאות מאנשים (מחלץ מורשה יש לומר), אני יכול לומר שהסטטיסטיקה שלי היא בסביבות ה-80% הצלחה. הכל עניין של תיאום ציפיות מול הנתקף (כמובן, בלי שהוא מרגיש). זה קצת כמו התחקירים האלה של כלבוטק - שכל אחד אומר לעצמו "מי אלה האנשים האלה שמתפתים לכל מיני עסקאות", ובכל זאת אנשים מתפתים.
בבלוג זה
בכל הבלוגים
