Ajakirjanik Kevin Townsend palus minult mõned kuud tagasi kommentaari andmepüügi artikli jaoks, millega ta tegeles. Ta ütles, et andmepüügi võib lihtsustada kaheks põhiküsimuseks:
- Kas tehnoloogia suudab probleemi kunagi lahendada ja millised on parimad lähenemisviisid?
- Kas teadlikkuse tõstmine suudab probleemi kunagi lõplikult lahendada? Kuidas?
Kui vastus mõlemale on „ei“, siis kas peaksime aktsepteerima, et probleem jääb. ja kontsentreeruma õnnestunud andmepüügi avastamisele ja selle tagajärgede leevendamisele?
Küsimus on selles, et kas andmepüük ja teised küberkuritegevuse tüübid on puhtalt tehnoloogiliste probleemide ilmingud. Isegi kui see nii oleks, siis kas on tõsi, et neid saab seetõttu ainult tehnoloogia abil lahendada.
Teatud osas tugineb turbetarkvaratööstus ideele, et tehnoloogilisele probleemile on alati olemas tehnoloogiline vastus (nagu see on ka veennud paljusid oma kliente eeldama), kuid „alati“ on tugev sõna.
Kui läheneme rünnakuvektorile tehniliselt, siis üldiselt alustavad halbade kavatsustega inimesed blokeeringust möödapääsu otsimisega. See ei tähenda, et me ei peaks tehnilisi lahendusi otsima, kuid samas tähendab see, et me ei leia sageli lahendust, mis alati ja igas olukorras lahenduse annab. Mõnikord võime mõnest lähenemisest täiesti loobuda, sagedamini jätkame ohtude laadi muutudes sellega koos arenemist.
Süsteem võib katki olla, kuid kas seda on võimalik parandada?
Konstantselt muutuval ohumaastikul ellujäämiseks on vaja enamat kui tehnoloogilist vastastikkuarengut. Oodata, et turvatööstus kõik ära parandab, on umbes sama realistlik, kui oodata, et meditsiinitehnoloogia haigused likvideeriks või et kohtumeditsiini tehnoloogia maailmast kuritegevusekaotaks. Internetis ei ole ühtegi ainsat punkti, kus ühtse julgeolekulahenduse rakendamine kõiki kaitseks, isegi kui selline lahendus olemas oleks.
Võib-olla vajame paremat sõna kui lahendus. Midagi, mis kõlab vähem nagu „see on suursugune võit sõja lõppedes“ ja rohkem nagu „see võib meile selles võitluses võidu tuua“.Ennast tsiteerides (Heimdal Security artiklist, millesse ma panustasin):
„Julgeolekutööstus on päris hea laiale hulgale tehnoloogilistele lahendustele laia hulga osaliste lahenduste pakkumisel, kuid mõlema poole tehnoloogia areneb pidevalt ning seega ei ole – turunduslikud väited välja jättes – kunagi 100-protsendilist turvalisuse garantiid kõigile olemas. Veel vähem vaid ainsast tootest. Enamikul juhtudel valivad organisatsioonid ja üksikisikud ise kas ja milliseid kaitsemeetmeid nad kasutavad.
Kahjuks ei ole need valikud alati sellised, mida turvaeksperdid parimateks peaksid.
Tehnoloogia versus inimesed
Andmepüük ega ka küberkuritegevus ei ole (vaid) tehniline probleem. (Enamasti räägin selles artiklis küberkuritegevusest üldiselt, mitte lihtsalt andmepüügist.) Tegelikult on küberkuritegevus, nagu tema digitaalajastu eelkäija, peamiselt sotsiaalne probleem või pigem erinevate sotsiaalprobleemide kogum:
- kriminaalne käitumine (internetis või võrguväliselt) ja majanduslikud, hariduslikud ja psühholoogilised tegurid selle taga. Veel ennast tsiteerides: „Ühiskond võib tegelikult põhjustada kõrvalekalduvat käitumist, kus üksikisik peab järgima rohkem kui ühte koodeksit, kuid kus ühe koodeksi elemendid teisega ei sobitu, põhjustades ebamugava kognitiivse dissonantsi seisundi, mis võib põhjustada „irratsionaalset või ebasobilikku käitumist“. Muudel juhtudel võib-olla on see lihtsalt see, et ajastul, mil satiirina esitatavad võltsuudised on sotsiaalse meedia lahutamatuks osaks, on tehnoloogia areng kaugelt ületanud tavainimese suutlikkuse kohaldada tavalisi igapäevase sotsialiseerimise ettekirjutusi internetimaailmas.”
- Ohvri käitumine ja sarnased alustegurid. Selle all ei mõtle ma lihtsalt ohvrite ettevaatamatusest tulenevat mõistlikest ettevaatusabinõudest loobumist, kuid ka seda, et pangad ja muud institutsioonid aitavad probleemile kaasa, kuna ei suuda klientidega suhtlemisl piisavalt kõrget turvalisuse taset hoida. Iga kord, kui pank adresseerib saadetud e-kirja „kallis hinnatud klient“ või kaasab ümbersuunatud linki „vajuta siia“, teevad nad potentsiaalsete ohvrite jaoks andmepüügikirjade õigetest kirjadest eristamise raskemaks. Kui nad isegi ei tea teie nime, siis kuidas saate olla kindel, et see on tõesti teie pank, kes teile kirjutab? Kui te ei suuda öelda kuhu link viib või kui see läheb lehele, mille nimi tundub pangaga mitteseotud olema, siis kuidas küll saate teada, et see on ohutu?
- Seadusandlus ja õiguskaitse küsimused. Isegi, kui on olemas asjakohased õigusaktid, siis puuduvad tahe ja ressursid, et seda laias ulatuses jõustada.
Teadlikkus, koolitus, haridus
“ERINEVATE HARIDUSVORMIDE ABIL ON TEHTUD ÄRA SUUR TÖÖ ÜLDISE TURVALISUTEADMISTE JA ENDA KAITSMISE TASEME TÕSTMISEL“
Niisiis, kas teadlikkuse tõstmine/haridus suudavad kunagi probleemi lahendada? Ilmselt ei saa me seda kunagi kindlalt teada. Aastate jooksul olen ma mitmeid kordi öelnud midagi sellist nagu „me ei tea kas kasutajate harimine töötab, sest keegi pole seda veel kunagi teinud“. See on pigem paindlik ja lihtsustatud viis selle väljendamiseks, kuid siiski sobiv vastus sama lihtsustatud väitele, et „kui kasutajate haridus töötaks, siis oleks see juba tööle hakanud“. Erinevate haridusvormide abil on ära tehtud suur töö üldiste turvalisusteadmiste ja enda kaitsmise taseme tõstmisel ja mulle meeldib arvata, et olen sellele samuti panuse andnud, näiteks Sebastian Bortniku ja enda 2014. aasta artikliga: „Ühiskonnale enese abistamise õpetamine“. Selles artiklis küsisime:
„Kuidas saaksime arvutihügieeni õpetamisel üha enam keerulisemaks muutuvas keskkonnas leida tasakaalu väga erinevate kogemuste ja tehniliste teadmistega publikule õpet andes?“ ja „Kas kasutajasõbralikud lähenemisviisid turvalisusele saab integreerida ametlikku, isegi riiklikku kaitseraamistikku?“
Samuti andsime mõned soovitused selle kohta, kuidas seda teha.
Haridus, haridus, haridus
Alates sellest, kui ma esimest korda turvavaldkonda triivisin, olen ennast üldiselt näinud pigem õpetaja kui teadlasena (vähemalt taotluslikult). Mõistsin juba ammu, et on inimesi, kes on pahavara lahtivõtmises ja pahavara tuvastamiseks koodi kirjutamises kordades paremad kui mina. Ma pean privileegiks võimalust mõnede selliste inimestega koos töötada (mitte ainult ESETis, vaid ka turvatööstuses tervikuna) ja mul on au, et nad mind kannatavad vähemalt sinnamaani, et loevad minu blogi ja kuulavad minu ettekandeid.
Nii et kuigi ma ei suudaks oma tööd teha, kui mul ei oleks suhteliselt head arusaama pahatahtlikest tehnoloogiatest ja tehnoloogiatest, mida oleme nende probleemidega tegelemiseks arendanud, on minu huvi ja võimed pigem kriminoloogia ja viktimoloogia psühhosotsiaalsetes aspektides. Lõppude lõpuks on minu akadeemiline taust nii sotsiaalteadustes kui ka infotehnoloogias, mis võib olla põhjuseks, miks ma mõnikord näen asju natuke teisiti kui minu tehniliselt andekamad turvatööstuse kolleegid. Tänu sellele on mul ka rohkem usku, et inimesi, kes ei ole eriti IT-teadlikud, võib teatud määral harida ja vähendada nende haavatavust, eriti just rünnakutele, mis on vähemalt osaliselt psühholoogilised mitte ainult tehnoloogilised. Ma kardan, et ma tsiteerin ennast uuesti.
„Väga, väga sageli sõltub oht vähemal määral selle tehnoloogia tõhususest kui selle võimest oma ohvri psühholoogiaga manipuleerida.“
Kavandatava ohvri psühholoogiline manipuleerimine on sotsiaaltehnoloogia peamine komponent. Vastuvõtlikkust sotsiaaltehnoloogiale võib mõnikord tehniliste meetmete abil vähendada näiteks tuvastades e-kirjadest tekstilise analüüsi abil teksti, millel on teatud tüüpi kriminaalse motivatsiooniga teksti omadused. Kuid kasvatusteadlased pooldavad täiendavat, pikaajalist lähenemist, mille läbi tehakse isikud raskemini manipuleeritavateks.
Ohtude tuvastamine
Üks samm selle saavutamise suunas on suhteliselt lihtsustatud ohu tuvastamise koolitus. Näiteks „andmepüügi testid“, mida me Andrew Leega 2007. aasta Virus Bulletini artiklis vaatasime („Kas kasutajate harimine aitab või takistab?“). Kuid KISSi põhimõte ei ole alati piisav. Mis töötab inseneriteaduses, ei tööta alati hariduses. Alati toimub võitlus selle vahel, kuidas hoida suhtlemine publiku jaoks arusaadaval tasemel, kuid samas piisavalt täpse ja laiapõhjalisena, et see kasulik oleks. („Üheteistkümnes andmesudu seadus: hoiduge lugudest, mis on liiga lihtsustavad“)
Isegi halvasti kujundatud test suurendab teadlikkust probleemist, kuid võib olla kahjulik, kui ta tugevdab testis osalejate valesid arusaamu. Mõned testid näivad edendavat teenust ja annavad mõista, et „vahet tegemine on teie väikese aju jaoks liiga keeruline – ostke meie toode või kasutage meie tasuta tööriistariba/veebisaidi kontrollimise teenust või midagi muud“. See ei ole iseenesest vale, sest müüja eesmärgiks ongi toodete või teenuste müümine. Kui toode või teenus on tasuta, tundub veelgi julmem seda kritiseerima hakata, kuid probleem on selles, et see sõnum soodustab sõltuvust, mitte teadlikkust. Veelgi hullem on, et sõltutakse tehnilisest lahendusest, mis tõenäoliselt põhineb pigem konkreetsete kurjade kavatsustega juhtumite avastamisel, kui üldisel avastamise klassil.
On selge, et paternalistliku „jumalate ja sipelgate“ lähenemisviisi tõhususel on ka teisi piiranguid. Näidates potentsiaalsetele ohvritele mõndasid näiteid ohtudest, võib mõnikord juhtuda, et puutudes kokku sama klassi erinevate näidetega, saavad nad neist tuletusi teha. Kuid mitte piisavalt sageli. Kuid siiski, ükskõik kui hea oleks teoorias anda kõigile tõhusa julgeoleku eksperdi analüütilised oskused, ei ole see ilmselgelt tööjuures realistlik, rääkimata kodudest.
Kõik nõuanded ei ole head nõuanded.
Et rakendada kava, mille on mingigi võimalus harida kõiki, keda oleks vaja harida, oleks vaja ressursse, mõistmist ja koordineerimist, mis muudavad väga ebatõenäoliseks võimaluse, et selle rakendamine saavutatakse meie või meie laste eluajal. Ja mitte kõik nõuanded ei ole head nõuanded.
Ilmselgelt on võimalik saada palju tasuta teavet allikatest, nagu näiteks meediast, turvatoodete müüjatelt, valitsusasutustelt, õiguskaitseorganitelt ja enam-vähem altruistlikult mõtlevatelt üksikisikutelt, kes pakuvad nõu, toodete ülevaateid jne. Kahjuks on nende allikate kvaliteet vägagi varieeruv, kuid samas on need suunatud ühiskonnasektorile, mis võib olla kõige vähem võimeline vahet tegema hea ja halva nõuande vahel. Eriti nõuannete vahel, mis on mõnes mõttes teiste allikatega vastuolulised.
Inimeste muutmine
Kuid ma ei pane väga suuri lootusi sellele, et haridus võiks kunagi inimeste olemust nii dramaatiliselt muuta, et X ei mõtleks kunagi Y-i petmisest, isegi kui Y oleks piisavalt naiivne, et langeks pettuse ohvriks. Kuni haridus teeb võimatu võimalikuks, jätkavad petturid petmist ja tehnoloogilisel ajastul kasutavad nad enda halbade eesmärkide saavutamiseks tehnoloogiat. Seadusel ja õiguskaitseorganitel on ainult osaline edu ja ohvrid jätkavad käitumist viisil, mis neid ohvriteks muudab. Kuid haridus ja koolitus võivad aidata kõiki digitaalajastul elavaid inimesi vähem oma käitumise tagajärjel ohvriks langeda.
Kasutajate haridus on ka oluline osa sotsioloogilisest arengust. Ohud, millega me internetis silmitsi seisame, ei ole uus kontseptsioon, ainult tehnoloogiline rakendus on uus. Sotsiaaltehnoloogilised rünnakud on eksisteerinud juba ammu enne Helenit ja Troojat. Kuid selliste rünnakute kordasaatmise mastaap oli suhteliselt väike, et laialdast haridust selliste tehnikate ära tundmiseks ei peetud vajalikuks. Trooja hobuse lugu on sajandeid õpetatud ajaloo ja metafoorina, kuid seda ei ole vaadeldud igapäevase elu lahutamatu riskina. Internet on kaasa toonud sotsiaaltehnoloogiliste rünnakute kasutamise järsu suurenemise nii suures mahus, et tänapäeva maailmas on vaja teada, kuidas neid rünnakuid korda saadetakse.
(See on minu ja Randy Abramsi poolt koostatud artiklist „Inimeste parandamine: kas kasutaja haridusest on üldse mingit kasu?“)
Kaitse ja enesekaitse
Kuigi mitmetasandilise kaitsetehnoloogia õige kasutamine parandab suuresti inimeste turvalisust ilma, et nad peaksid turvaeksperdid olema, siis saab tehnoloogiat palju tõhusamine kasutada, et nende kasutajate olemasolevaid teadmisi täiendada, nagu oleme pikalt koos Jeff Debrosse’iga arutanud artiklis „Pahatahtlikkus luubi all: käitumise analüüs järgmiseks sajandiks“.
Pärast laiapõhjalist uurimistööd on selgunud, et mänguteooria järgmisele tasandile viimine – antud olukorras kõige tõenäolisema tegevuse määratlemine, mis võimaldab „turvaliste“ otsuste kinnistamist ja „ohtlike“ tegevuste korral kinnituse küsimist – võib arvutikeskkonna lõppkasutaja jaoks palju turvalisema teha, sest nende turvatarkvara suudaks palju täpsemalt oma tegevuse tulemusi määrata.
Need meetmed võivad aidata institutsioonidel eemalduda potentsiaalsete ohvrite panemisest olukorda, kus nad aktsepteerivad õngevõtmise sõnumeid ilma kriitilisuseta ning samuti jätkuvalt töötada selle suunas, et pidevalt nii enda kui ka klientide turvalisust parandada.
Õpetage oma lapsi hästi
Siin on lõik teisest artiklist „Internetiturvalisus lastele: 17 küberohutuse eksperti jagavad näpunäiteid, kuidas internetis laste turvalisust tagada“, mille kirjutamisest ma osa võtsin vastates küsimusele „Milline on kõige olulisem internetiohutuse juhis, mida ma saan vanematega jagada?“. Nagu võite pealkirjast järeldada, oli Erin Raubi poolt kokku pandud artikli fookuseks vanematele nõu andmine. Võib öelda, et Facebooki ja teiste sotsiaalmeedia saitidega ei pea pikalt tutvuma, et näha, et väga paljusid täiskasvanuid ei ole kunagi haritud kriitilise mõtlemise ja terve skeptitsismi kohta, ja et ka nemad vajava abi, „et õpetada neile enda usaldamist, et nad ei toetuks täielikult tehnilistele lahendustele ja vastuolulistele „ametlikele“ teabeallikatele … ja suunata neid strateegiate poole, mille abil arendada head analüüsi- ja otsustusvõimet või nn kriitilist mõtlemist. Kuid haridustöötajatele lootma jäämiseks on tegu liiga tähtsa ülesandega.“
On tähtis, et kõik mõistaksid, kui ohtlik internet on, mitte ainult otsese rünnakuvektorina, vaid ka teabeallikana. Seega ei tohiks me loobuda täiskasvanute ega laste julgeolekukoolitustest ning peaksime jätkama tehnoloogia kasutamist ja parandamist, et kurjategijatel oleks seda raskem väärkasutada. Peaksime ka muidugi teadvustama, et andmepüük ja küberkuritegevuse teised elemendid leiavad ka tulevikus ohvreid, ja tegema kõik endast oleneva, et minimeerida mõju ohvritele nii enne kui ka pärast seda.
Allikas: Welivesecurity
