Главная проблема информационной безопасности — не баги, эксплойты или несовершенства софта. Гораздо важнее особенности человеской психики, уязвимости людей.

В подкасте «Цифровые уязвимости и критическое мышление» Александр Головин и директор Антифишинга Сергей Волдохин обсудили, почему критическое мышление становится всё важнее для безопасности компаний и бизнеса. Мы подготовили расшифровку подкасты для тех, кто предпочитает текстовый формат.

Послушать подкаст

Насколько все плохо

О том, что с безопасностью всё плохо, говорят те, кто продает продукты и хочет продать побольше и подороже.

Правда в том, что в нашей стране воспринимают ИБ как что-то отдельное, как что-то, чем надо специально заниматься. Людей, которые этим занимаются, воспринимают практически как сотрудников органов.

На самом деле ИБ — это своего рода гигиена, цифровой иммунитет. Если с иммунитетом все в порядке, не приходится думать, куда и какой лимфоцит должен бежать, чтобы вы не заболели гриппом.

Иммунитет в ИБ — это процессы, в том числе ИТ-процессы, бизнес-процессы, выстроенные с учётом того, что какие-то вещи могут пойти не так, и для таких случаев разработан понятный и эффективный набор мероприятий.

Настоящая проблема состоит в том, что процессы ИБ далеко не всегда выстроены с учётом бизнеса. Безопасники сфокусированы на угрозах и том, в чем они разбираются.

К счастью, сейчас ситуация меняется. Безопасники нового поколения дружат с разработчиками и бизнесом, вникают в то, как работает компания, умеют разговаривать на одном языке с руководством и обычными сотрудниками и становятся тем самым цифровым иммунитетом. В этом смысле ситуация намного лучше, чем 10 лет назад.

Цифровой иммунитет

Нарушение конфиденциальности — попытки доступа к информации ограниченного доступа — пароли, базы данных клиентов, персональные данные, сведения, составляющие государственную или банковскую тайну.

Атаки на целостность — попытки изменить данные, которые не должны меняться без исполнения специальных процедур или распоряжения уполномоченных лиц

Нарушение доступности — например, вывод из строя систем, сайтов или приложений, так что пользователи не могут воспользоваться какими-либо сервисами.

Почему все это возникает? По классике безопасники говорят об уязвимостях, имея в виду программные уязвимости. Так действительно бывает, но атакующие пользуются не только ими. В 70% хакеры используют уязвимости в человеческой психологии — то, как люди мыслят, как реагируют, как действуют в тех или иных обстоятельствах, а также уязвимости в процессах. В результате обычные сотрудники делают то, что требуется для атаки — отдают свой пароль мошенникам, меняют записи в базе данных или открывают доступ к системе посторонним.

Модели угроз

Нарушения целостности, доступности и конфиденциальности принято описывать моделями угроз. Есть активы, в них есть потенциальные уязвимости и вот что может пойти не так. Задача безопасника — свести к минимуму возможность инцидента или минимизировать его последствия, если всё-таки атака оказалась успешной.

Причина инцидентов — злой умысел или случайность?

Возможно и то и другое. Инциденты могут быть как результатом действий злоумышленников, так и следствием человеческой ошибки. Действия хакеров могут выступить триггером, но даже в этом случае большая часть неприятных последствий возникнет из-за невнимательности, неумения адекватно выполнять свою работу.

Например, это сетевой инженер, который решил обновить прошивку на сетевых устройствах, но не сделал резервную копию. И когда что-то пошло не так, не  смог откатить настройки, обрушив работу всей распределенной сети компании в нескольких городах. Является ли это инцидентом безопасности? Да, потому что нарушена доступность. Но источник инцидента — не действия киберпреступников, а самоуверенность и недостаточный профессионализм конкретного сотрудника, то есть человеческий фактор.

Давай прицельно поговорим про уязвимости. Меня зацепили твои слова о том, что главная уязвимость — это люди. И тут на сцену выходит то самое критическое мышление. Как связана безопасность и критическое мышление?

Критическое мышление — чрезвычайно важная для безопасности вещь, фундамент. Если бы критическому мышлению учили безопасников и пользователей, которым приходится сталкиваться с угрозами, было бы намного меньше инцидентов.

Подтверждение этого — фраза известного социнженера Кевина Митника:

Если бы люди просто перезванивали тому, кто их о чем-то просит по телефону, это сняло бы 80% проблем.

Критическое мышление нужно безопасникам, чтобы смотреть на системы, с которыми они работают, максимально объективно и адекватно оценивать вероятности тех или иных событий, не доверяя оценкам вендоров.
Точно также поможет критическое мышление обычным людям. Например, если бы сетевой инженер, о котором мы говорили, критически оценил то, что собирается сделать, проблем бы не возникло.

Представим себе, например, разработчика, который собирается установить новую версию приложения заказчику в продуктивную среду. Но предварительное тестирование выявило незначительную ошибку, для исправления которой нужно буквально исправить пару символов. И разработчик предлагает команде тестирования подождать минутку, пока он внесет исправление, а потом все-таки поставить обновление в продуктивную среду. Потому что следующее технологическое окно будет только через неделю, и ждать столько нецелесообразно.

Команда тестирования соглашается на нарушение регламента, разработчик исправляет ошибку, но вносит другую. Обновление ставят, а утром клиент оказывается один на один с неработающей системой. И все потому, что люди нарушили установленный регламент, в соответствии с которым выявленная ошибка — стоп-фактор, после которого обновление откатывается и не устанавливается.

Третий пример про обычных пользователей. Безопасники часто говорят: «Ну вот это наш сотрудник сделал по невнимательности — отправил секретный документ, передал пароль, запустил вредоносную программу на своём компьютере». И это дурацкое «по невнимательности» — кажется, что безопасник стоит в белом пальто и говорит: «Да ты идиот, как ты мог открыть это письмо, видно же, что оно мошенническое!» Но человек этого не понял. Тут критическое мышление очень пригодилось бы

Знаний недостаточно

Один из компонентов критического мышления — знания. Умение отличить вредоносный файл от счета на оплату выглядит как вполне обычное знание.
Знание — сила. Но это не все, что нужно человеку. Часто мошенники действую так, чтобы человек не успел подумать и пройти по рациональному пути, воспользоваться знаниями. Мы называем это психологическими векторами атак.

Психологические вектора атак — это эмоции, которые у человека стараются вызвать. В эти моменты человек не может думать рационально, действует импульсивно. И только выполнив нужное преступникам действие, он вспомнит о том, что проходил курс, и нужно было действовать иначе. Поэтому одних знаний недостаточно.

Диспозиция/Предустановки/Убеждения

Например, врач знает, что нужно мыть руки перед какой-то процедурой. Но он может это не делать, хотя знает, что нужно. Чтобы он делал это, нужно сформировать у него правильные намерения/убеждения.

Получается, что я не только при любом звонке из банка должен думать, что это мошенники, а даже при получении письма от руководителя считать, что это атака.
Если мы говорим про нормальных людей, для которых безопасность не является профессия, их диспозиция иная. У них нет предустановки, что кругом враги/мошенники. Именно поэтому они называют по телефону код для входа на госуслуги или в онлайн-банк, после чего лишаются денег.

Какая предустановка могла бы помочь предотвратить такие ситуации? Что любой звонящий — мошенник? С таким убеждением крайне сложно жить.
Решение проблемы — выработка навыков.

Невидимая горилла

Вспомним известный эксперимент, в котором участникам дали задание считать, сколько раз мяч переходит от команды к команде во время баскетбольного матча. Во время матча на поле выводили огромную гориллу. И большая часть наблюдателей её не заметили, потому что их внимание было занято подсчётом передач мяча.

Кто те люди, которые все-таки увидели гориллу? Мы говорим про критическое мышление, про то, что знаний недостаточно, что требуются навыки. Гориллу смогли увидеть люди, которые постоянно смотрят спортивные соревнования, и для них отслеживание мяча, которое требовали от участников эксперимента, не столь трудозатратно, как для нетренированных людей. У них оставался ресурс внимания, чтобы не только увидеть, у какой команды мяч, но и заметить гориллу на поле.

Кажется, что предустановки «подозревать всех и вся», которыми мы можем снабдить человека, сделают его параноиком либо превратят в безопасника.
Наш подход — формирование навыков, которые пригодятся в реальной ситуации, помогут людям сделать то, что нужно, а не то, что хотят от него мошенники.

Еще один наглядный пример, подтверждающий, что знаний недостаточно.

У нас есть клиент, крупный банк. Там работает сотрудник, который непосредственно запускает имитированные фишинговые атаки для тренировки навыков пользователей. Он стоит за спиной у коллеги, который отправляет очередную тренировочную атаку на тысячи сотрудников. Видит содержимое письма с этой атакой. Потом идет в свой кабинет, садится за компьютер, открывает почту, видит в ней новое письмо и попадается на атаку, рассылку которой только что наблюдал. Это был настоящий вау-эффект для него, а главный вывод заслуживает повторения: знаний недостаточно.
Профессиональный безопасник с 10-летним стажем, эксперт, который знал об атаке, согласовывал её и видел ее рассылку, буквально через несколько минут попался на неё.
В атаке шла речь о рефинансировании ипотеки для сотрудников банка по очень выгодной ставке. Для него это было чрезвычайно актуально, поэтому рациональное мышление отключилось.

Какие навыки защитят?

А что же за навык нужен, чтобы не попасться? Научить людей правильно открывать письма в почтовом клиенте?

Нет. Сейчас есть тысячи способов коммуникации и обучать каждому каналу или контексту коммуникации просто нереально. С одной стороны, нужно закрыть самые актуальные каналы. Но намного важнее научить человека критически мыслить. Мы пока не изобрели формата, который можно было бы дать людям как вакцину, чтобы сделать критическое мышление дефолтным даже в сложных ситуациях.

Критическое мышление — это фундамент. Человек должен чувствовать и осознавать давление, что его торопят, давят авторитетом, разжигают любопытство.

Нужен некий метанавык, рефлексия, выявление эмоций, которые ты почувствовал, через которые тебя пытаются стриггерить, подтолкнуть к какому-то действию.

Как взламывают соцсети

Через интересный комментарий от симпатичного человека противоположного пола. Там закрытый профиль, в комментарии к которому ссылка на фишинговый сайт якобы соцсети с доступным для общения профилем. Там жертву просят войти со своим логином и паролем. На такую атаку попадаются даже сотрудники соцсетей.

Найти настоящие уязвимости крайне сложно, это требует высокого уровня технической грамотности. Поэтому все взломы идут через социальную инженерию.

Атаки на людей как разновидность маркетинга

Все эти схемы взлома людей напоминают маркетинговые манипуляции. Мегасделки на букмекерском сайте, игра на психологических механизмах и т. п. Только взлом чужих аккаунтов мы считаем недопустимым, а вот рекламу шампуня с использованием психотехник вполне принимаем, хотя по сути это работает точно также.

Есть такая разновидность маркетинга, как account-based маркетинг (ABM) — целевой маркетинг. этом проводится глубочайший OSINT человека, с которым требуется установить контакт и получить результат, например, согласовать закупку. Работа ABM-профи очень напоминает работу мошенников, взламывающих людей.

Здесь сложно провести разделение. С первого взгляда кажется, что если нет вредоносного содержимого, это вроде бы и не атака. Но на самом деле и в атаках вредоносные файлы присутствуют далеко не всегда. В хороших целевых атаках используются реальные логины и пароли, легальные системные инструменты и т. п.

Кто-то скажет, что разница между ABM и хакерами в целях, но и тут всё неоднозначно. Финансовые цели присутствуют и в том и в другом случае.

#Законное мошенничество с сертификатом
Небольшой фитнес-центр получил от крупнейшего российского выгодное предложение принять участие в тендере на тренировки для сотрудников. Какое-то время шли переговоры, согласование. В списке необходимых для заключения контракта документов был сертификат участника некой российской ассоциации фитнес-центров. Владельцы фитнес-центра задали вопрос, где его получить, и получили предложение поискать в Яндексе.

Поиск выдал некую компанию, которая всего за 50 тыс. рублей — ничтожную по сравнению с суммой потенциального контракта сумму — выдала «необходимый» сертификат. При этом был заключён официальный договор, выдана красивая бумага. После получения оплаты тендер с ретейлером неожиданно отменился. Владельцы фитнеса остались с бумажкой и без денег, которые были для них довольно значимыми.

Однако если рассмотреть ситуацию в целом, мошенничество налицо. Жертву заманили выгодным контрактом, продали сертификат, который ни для чего не пригодится. Однако с правовой точки зрения все законно. Договор — оплата — услуга. Поэтому схема работает и сейчас.

Cамая важная разница между мошенничеством и маркетингом в том, получает ли человек обещанную ценность.