Кожна політика з кібербезпеки в організації кожного типу та розміру побудована на навчанні та обізнаності. Люди є та завжди будуть найслабшою ланкою в кібербезпеці, незалежно від того, скільки технічних рішень і тактичних заходів впроваджує організація. Важливість тренування та вправ із кібербезпеки для персоналу беззаперечна, однак їхня ефективність у реальному житті часто перебільшена. Більш того, поширення технологій штучного інтелекту сприятиме ще меншому успіху цих заходів.
Неефективність тренування та вправ з кібербезпеки
Світ бізнесу поринув у цифрове середовище, як і вся тренувальна та навчальна діяльність. Майже кожен бізнес вважає за тренування перегляд відео та прочитання невеликого тексту. Далі – проходження простого тесту з варіантами відповідей, який завжди можна пройти знову. Кінець кінцем, усі його проходять, навіть якщо не приділяють увагу та не пам’ятають нічого після цього.
І це так, як має бути. Організації вкладають багато грошей у процес підбору персоналу. Вони не можуть собі дозволити відмовитися від нових працівників або відтермінувати час початку їх роботи, впроваджуючи навчальні заходи тижневої тривалості. Тож, більшість таких тренувань існує виключно для виконання регуляторних умов відповідності, пов’язаних зі стандартами, як-от GDPR, PCI DSS чи HIPAA.
У результаті, якби ви дали своїм співробітникам простий тест із кібербезпеки, оснований на їх тренуванні, деякі повністю б його провалили. Це не має дивувати, адже їх прийняли на роботу як професіоналів у своїх сферах, як-от фінанси, HR, а не як експертів із кібербезпеки. Навіть найбільш елементарний ступінь обізнаності щодо цієї теми може бути за межами їхнього розуміння основоположних технологій.
Те саме правдиво для будь-якого варіанта вправи з фішингу. Практично кожен бізнес регулярно впроваджує її, особливо, якщо їм потрібно дотримуватись стандартів відповідності. Якщо це виконано, це вважається успіхом. Аби зробити так, щоб ці результати мали кращий вигляд для аудитів, такий фішинг часто роблять занадто очевидним. І ті, хто провалюють тест, не стикаються з жодними наслідками. Їм просто кажуть, що вони зазнали невдачі та мають бути більш пильними. Або що вони повинні пройти ще одне просте автоматизоване тренування, про яке вони забудуть через тиждень. Просто уявіть, якби це була справжня спроба фішингу, компанія могла б стикнутися з катастрофічним витоком даних.
Все, що потрібно – один користувач
Лише декілька загроз із кібербезпеки зачіпають майже кожного в компанії. Усі вони – приклади соціальної інженерії, в якій запланованою ціллю є користувач, а не система. Ці загрози походять із 1980-х років, коли Кевін Мітнік продемонстрував світові, як просто ввести в оману працівника, щоб він надав майже необмежений доступ до системи. Ми просунулися на більше ніж 40 років і вже давно ввійшли в еру штучного інтелекту та хмарних сховищ. Але нічого не змінилося: люди продовжують попадатися на ті ж старі махінації.
Щоб осмислити різні форми загроз для безпеки, з якими люди стикаються в епоху цифрових технологій, ми повинні мислити, як зловмисник. Його ціль збігається з метою організації: досягти найкращого можливого результату за найменших витрат. Тому зловмисникам є сенс витрачати свій час лише на дві категорії кібератак: призначені для охоплення якомога ширшого кола людей, застосовуючи найбільш стандартні методи, і спрямовані на оману конкретної людини, використовуючи індивідуальну стратегію. Відповідно, ці дві категорії включають такі атаки: звичайний фішинг і фішинг за допомогою акаунту СЕО. Хоча персоналізовані атаки, націлені на велику кількість людей, принесли б найкращі результати, їх підготовка зайняла б надто багато часу.
Ось чому для тих, хто має елементарне розуміння технологій, певні спроби фішингу здаються безглуздими. Як може зловмисник уявити, що хтось на це попадеться? Вони погано сформульовані, виглядають фальшивими з першого погляду і справляють враження роботи непрофесіонала. На жаль, якщо ви проведете працівникам своєї компанії вправу з таким змістом, ви з подивом виявите, що деякі все ж попадуться. А зловмиснику потрібна лише одна ціль у вашій організації, аби влаштувати хаос.
Навчання співробітників допомагає знизити ризик, але не усуває його. Згідно зі звітом KnowBe4 2023 Phishing By Industry Benchmarking Report, без будь-якого тренування 33,2% співробітників, імовірно, натиснуть на електронний лист із фішингом. Щоб знизити цей відсоток до 5,4%, потрібен рік регулярного навчання. Однак таке тренування не тільки дороге, але також займає продуктивний час працівників. Багато організацій просто не можуть собі дозволити такі витрати та/або ризик.
Фішинг і штучний інтелект – нова ера загроз
Зараз ми живемо в епоху ChatGPT та інших ботів зі штучним інтелектом. Ми водночас здивовані та раді, що штучний інтелект може редагувати наші фотографії та відео, а також значно покращити якість написаних нами текстів. Однак зловмисники також використовують штучний інтелект. І в міру його вдосконалення ми стаємо більш вразливими до спроб фішингу, навіть якщо вони не націлені безпосередньо на нас.
Нещодавня кібератака зі зломом акаунту Facebook, що просуває торгівлю біткойнами, є найкращим прикладом того, як ця технологія вже використовується на практиці. Отримавши доступ до акаунту цілі, автоматизована система створила відео на основі її реальних відео та фотографій. Це був діпфейк особи, яка стверджувала, що її не зламали, і вона закликала до купівлі біткойнів, розказуючи, скільки грошей вона заробила на них. У ньому використали справжнє обличчя, голос і навіть рідну мову людини (проте нерозбірливу), і це неймовірно реалістично.
Більш того, цей бот надіслав повідомлення з проханням про допомогу знайомим користувача його рідною мовою, стверджуючи, що він втратив доступ до свого облікового запису і просить адресата, який є наступною ціллю, надати присланий на його електронну пошту код. Бум, ось і ефективність багатофакторної автентифікації. Вражає, що навіть ІТ-фахівці попадаються на це. І поширення цього автоматизованого зловмисного програмного забезпечення продовжується, повністю базуючись на соціальній інженерії та використанні штучного інтелекту.
Як виглядатиме ваш наступний лист із фішингом у такій несподіваній реальності? Чи буде він написаний ламаною мовою з очевидними фейковими посиланнями, або ж у ньому будуть використані всі хитрощі, які штучний інтелект може винайти, аби обдурити ціль? І, якщо це так добре зроблено, чи зможе ваша система безпеки/антиспаму автоматично позначити такий лист як спам, зменшуючи ймовірність того, що користувач натисне на нього? І скільки ваших співробітників на це попадеться? У наступні місяці ми обов’язково знайдемо відповіді на ці нагальні питання, і вони можуть нам не сподобатися.
DLP-рішення йдуть на допомогу
Ми живемо у світі, де кожний тип зовнішньої комунікації через будь-яку програму може використовуватися як дуже успішна техніка соціальної інженерії. Будь то електронний лист, текстове повідомлення, телефонна розмова чи відеодзвінок – штучний інтелект уміє застосовувати все це, судячи з типів нещодавніх атак. У результаті ми маємо два варіанти. Перший: кожен працівник має стати одержимим параноїком і повторно перевіряти кожен отриманий запит. Це не тільки займе багато часу, але й вимагатиме додаткового навчання та вправ, цього разу з реальними наслідками у випадку провалу. Цього не станеться, оскільки це мало б значний вплив на роботу компанії та її позицію на ринку.
У результаті нам залишається друга альтернатива. Ми повинні припускати, що деякі люди можуть попастися на такі спроби соціальної інженерії. Проте, ми можемо зробити такі випадки загрози безпеці неефективними, усунувши ймовірність того, що ціль відповість на запит зловмисника і поділиться конфіденційною інформацією. Якщо ми позбавимо користувача можливості ділитися такою інформацією, атака зрештою зазнає невдачі.
Є багато методів запобігання ризикованим діям користувачів, але всі вони пов’язані з захистом кінцевих точок, наприклад ноутбука або мобільного телефона. Ми всі давно маємо антивірусне програмне забезпечення, яке виявляє певні очевидні загрози, як-от стандартну програму-вимагача, але не цілеспрямовані атаки. Брандмауер (firewall) так само невдало захищає критично важливу інформацію, оскільки він або надто сильно обмежує користувача і створює хибно позитивні результати, або усуває лише очевидні загрози. Найбільшою слабкістю таких технологій є те, що вони зосереджені на конкретних методах, а не на самій цілі.
Існує лише один справді успішний клас рішень, який розв’язує проблему конфіденційності та безпеки даних, – рішення для захисту від витоку даних (DLP). З огляду на те, що інструменти DLP здатні вдало розпізнавати конфіденційні дані, блокувати будь-які форми автоматизованого поширення інформації та надсилати сповіщення команді кібербезпеки, практично будь-яка спроба соціальної інженерії чи навіть інсайдерської загрози стане абсолютною невдачею. Користувач навряд чи вручну скопіює важливі дані, як-от інтелектуальна власність компанії, прочитавши та написавши їх зловмисникові. Натомість він використає функції операційної системи «копіювати» і «вставити». Вони можуть бути захищені політикою DLP і заблоковані, або, що ще краще, заблоковані зі сповіщенням.
Думаєте, у що інвестувати далі? Подумайте про DLP
Якщо ви усвідомлюєте, що світ кардинально змінюється в результаті розвитку штучного інтелекту, і плануєте найближчим часом оновити свій підхід до захисту даних, розгляньте стратегію DLP. Ви, звичайно, можете інвестувати в подальше тренування працівників, але це так само впливатиме на інформаційну безпеку, як і заходи, які ви вже впроваджували. Ви можете вкластися у створені штучним інтелектом вправи з фішингу, але це лише покаже, що навіть більша кількість ваших співробітників схильна попастися на хитрощі зловмисних хакерів, і не покращить ситуацію. Натомість вбачайте, що люди й надалі будуть найслабшою ланкою в кібербезпеці, а штучний інтелект стане вправнішим у їх обмані, й інвестуйте в потужнішу систему DLP.
DLP-рішення, включаючи контроль пристроїв і шифрування USB, теж постійно розвиваються, щоб ще краще оберігати користувачів від витоку даних. Рішення, як-от Endpoint Protector, також застосовують технології машинного навчання. Наприклад, для покращення класифікації даних – щоб використовувати найкращу можливу автоматизацію під час розпізнавання типів даних, які потребують захисту, таких як різні типи персональних даних (PII), номери соціального страхування та кредитних карток, пропрієтарний код або будь-які інші конфіденційні дані. Як наслідок, із сучасним DLP вам майже не потрібні додаткові налаштування. DLP вашої кінцевої точки навчиться розпізнавати дані вашої організації в режимі реального часу та не дасть вашим кінцевим користувачам ділитися ними з неавторизованими користувачами. Технології DLP також мають інші варіанти використання. Наприклад, вони захистять вас не лише від викрадення даних (data exfiltration) у результаті атак із фішингом, але й від їх витоку, спричиненого зловмисними інсайдерами.
