A napokban levelet kaptam a bankomtól. A borítékban egy hűtőmágnes volt, amin az állt, hogy legyünk óvatosak, ha online vagy telefonon bankszámlánkkal kapcsolatban keresnének. A mutatós hűtőmágnes mellett volt még egy levél is, ami csupa átverős (rém)történetet tartalmazott. Veszélyes időket élünk.

Az ember a leggyengébb láncszem

Rég elmúltak azok az idők, amikor a hackerek még unatkozó fiatalok voltak, akik azon versengtek, ki tud nagyobb, ismertebb cég rendszereibe bejutni. Akiket ma hackereknek becézünk, jellemzően kiberbűnözők, akik kárt akarnak okozni vagy adatokat akarnak lopni, zsarolni próbálják az áldozatokat. Az IT biztonsággal foglalkozó szakemberek sokáig kizárólag az informatikai rendszerek védelmére összpontosítottak. A támadások detektálása és meghiúsítása egyre komolyabb erőforrásokat emészt fel. Hiába azonban a legkorszerűbb védekezés, ha a felhaszálókban, a vállalat dolgozóiban nincs meg a kiberbiztonsági tudatosság.

A felhasználói viselkedés gyenge pontjai

A mai csalók mindig alaposan tanulmányozzák az emberi viselkedést, és annak gyenge pontjait használják ki a támadásaikhoz. Az offline világban a hagyományos  csalások mindig is az emberek manipulálhatóságán alapultak. Amikor azonban a számítógépek is bekerültek a képbe, a csalási potenciál hatványozódott. Ahhoz, hogy a számítógépek tömegesen használhatók legyenek az emberek számára, feltalálták az ember-számítógép interakció (Human-Computer-Interface – HCI) tudományágát. Az olyan cégek, mint az SRI International – az egér feltalálója -, olyan módokat nyitottak meg a számítógépekkel való interakcióra, amelyek az emberi viselkedést szorosan összekötötték a számítógép működésével. A HCI-kutatás a számítástechnika, a kognitív tudományok és az emberi tényezők (UX) egyesítését jelentette.

A HCI létfontosságú volt a számítástechnika humanizálásában, mivel lehetővé tette, hogy a kezelő (az ember) természetesebb élményt szerezzen a számítógép használata során, ami zökkenőmentesebb működést tesz lehetővé. Idővel azonban az ember és a számítógép közötti szoros kapcsolat a kiberbűnözés nyitott kapujává vált. Ahogy a HCI fejlődött – és ahogy az UI mérnökök olyan szintre emelték a felhasználói élményt, ahol a számítógépes felülettel való interakció szinte automatikus lett -, a felhasználó rosszindulatú manipulálása is egyszerűbbé vált.

Az emberi viselkedés: mi késztet minket kattintásra?

Az informatikai eszközök használatához bizonyos viselkedésformákat is elsajátítunk. A jobb felhasználói élmény kialakítása az informatika egyik olyan területe, ami olyan rendszerek tervezésén alapul, amelyek természetes viselkedéseket használnak, vagy amelyek elkerülik az olyan interakciókat, amelyek új viselkedéseket kell, hogy létrehozzanak. A számítógépek használata bizonyos megtanult viselkedésformáktól függ, például attól, hogy egy linkre kattintva megnyílik egy új weboldal. 

A felhasználói élmény (UX), a felhasználói utak és a felhasználói felület tervezése az ilyen viselkedéses kondicionálásra épül. Célja, hogy a technológia használatát könnyebbé és intuitívabbá tegyék. A UX-tervezők a pavlovi kondicionálás módszerét használják a felhasználói viselkedésminták kialakítására. Erre példa a visszajelzési mechanizmusok használata, például a linkek és gombok színének megváltoztatása a kattintás hatására.

A legtöbb számítógépes feladat fárasztó és repetitív. A berögzült automatikus kattintások segítik  a számítógépek intuitív használatát, ugyanakkor ezt használja ki a csalások többsége is. A nagy mennyiségű  beérkező információ miatt gyakran automatikussá válik a kattintás, ami megnehezíti azok alapos ellenőrzését; az időhiánnyal küzdő alkalmazottak a rendszeres feladatokhoz kapcsolódóan gondolkodás nélküli, a tanult viselkedésminták alapján nyithatnak meg egy emailt vagy kattintanak a linkekre. Ez a kondicionált viselkedés a kiberbűnözők álma. Ők az UI tervezőkhöz hasonlóan ugyanezt a pszichológiai kondicionálást használják ki, hogy a felhasználók az adathalász emailben automatikusan rákattintsanak egy linkre.

Viselkedésalapú kiberbiztonság

Ha a kiberbűnözők a pszichológia felé fordultak, a kibervédelemnek is ezeket az eszközöket kell használnia. Az új módszer a a viselkedéstudományt ötvözi a kiberbiztonsággal. Azt az elképzelést, hogy a humán tényezőt kell a kibervédelem középpontjába állítani, visszaigazolta a kiberbűnözők gyakorlata.

A pszichológia és a viselkedéstudomány széleskörűen elismert tudományos alapelveket kínál, amelyek alkalmazhatók a kiberbiztonsági tudatossági programokban, valamint a kibertámadásokkal szembeni intézkedések megtervezésében és kidolgozásában. E tudományágak egyesítésével a viselkedésalapú kiberbiztonság új területe jött létre. A viselkedéstudomány megkönnyíti a kockázatnak a viselkedéshez való hozzárendelését, és a különböző típusú alkalmazottak kockázatértékelésének megértését. Az eredmény a kiberbiztonság emberközpontú szemlélete, a viselkedésalapú kiberbiztonság.

Viselkedésalapú kiberbiztonsági és tudatossági programok

A kiberbűnözők pszichológia módszereinek kivédéséhez feltétlenül szükséges azok felismerése.
A korszerű kiberbiztonsági képzés fontos része a kiberbiztonsági tudatossági program, ami a legfontosabb pszichológiai alapelvekre épül.

Ezeknek a tréningeknek a legfőbb feladata, hogy a résztvevők elsajátítsák a kritikai gondolkodást, felismerjék a veszélyre figyelmeztető jeleket, képesek legyenek a betanult, automatikus működést tudatos gondolkodásra váltani.

IT security képzés – nem csak informatikusoknak

A Panor IT security képzése felkészíti kollégáit a kibertámadásokra. Megismerik ezek leggyakoribb formáit:

• a social engineeringet – a manipuláción alapuló csalásokat
• a malewareket
• a zsarolóvírusokat
• a jelszólopást

A képzést elvégzők a korábbinál könnyebben, hamarabb felismerik a kiberfenyegetéseket, jobban reagálnak rájuk, így biztonságosabbá válik saját és környezetük munkája.