Луѓето се најслабата алка во информативната сигурност

Написот е инспириран од зачестените сигурносни инциденти во секојдневниот живот, особено оние во училиштата и во други институции

ПАРАДОКСИ ПОВРЗАНИ СО САЈБЕР-БЕЗБЕДНОСТА

Човечкото однесување е во голема мера определено од културата и интеракциите во секојдневните социјални и работни средини. Затоа, кога се обидуваме да го разбереме и обликуваме човечкото однесување, недоволно е да се анализира само поединецот како изолирана единка. Важно е да се земат предвид групата, пошироките општествени и организациски системи, како и нивните интеракции. Ова е oд особена важност за информативната сигурност, бидејќи луѓето имаат значајна улога не само во создавањето ризици туку и во спречувањето на нарушувањата на сигурноста при сигурносни инциденти. Ризиците често резултираат со инциденти во доменот на информативна сигурност, кои се во пораст бидејќи повеќе јавни или приватни институции се секојдневно цел од страна на сајбер-криминалците.
Разбирањето и влијанието кон овие безбедносни однесувања станува сè поважно. Зголеменото потпирање на технологијата во работата и приватниот живот придонесе за поголеми ризици кон информативната сигурност.
Во организациски контекст, примарната причина за човечка грешка е неусогласеноста, или несвесноста, многу повеќе одошто злонамерната активност.
Генерално, информативната сигурност се фокусира на технички решенија и мерки за ублажување на ризиците. Сепак, важноста на човечкиот фактор стана сè повеќе препознаена при утврдување на техничките решенија, кои се изолирани и нивно соодветно ублажување од сигурносните нарушувања/напади. Улогата на човекот е клучна од причина што луѓето се најслабата алка во информативната сигурност.

Дигитална писменост

Со цел да се разбере информативната сигурност, потребно е да се осознае подобро што значи да се биде дигитално писмен. Дигиталната писменост значи поседување вештини за ефективно користење на технологијата, како и знаење истото тоа да се користи на безбеден и одговорен начин. Општо земено, дигиталната писменост е способност да се откријат, проценат, креираат и да се разменат информации користејќи технологии што бараат когнитивно и техничко знаење. Исто така, потребна е вештина за користење и комуникација преку различни дигитални платформи.
Не е лесна задача суштински да се дефинира што подразбира дигиталната писменост. Со цел да се разбере подобро концептот, авторот Гилстер (1997) ја дефинира „дигиталната писменост“ како:
„… способност да се разберат и користат информациите во повеќе формати од широк опсег на извори кога се претставени преку компјутери“.
Во дефиницијата на Мартин Алан (2006) дигиталната писменост се сумира на следниов начин:
„Дигиталната писменост е свесност, став и способност на поединците соодветно да ги користат дигиталните алатки и капацитети за да идентификуваат, пристапуваат, управуваат, интегрираат, евалуираат, анализираат и синтетизираат дигитални ресурси, конструираат ново знаење, создаваат медиумски изрази и комуницираат со другите во контекст на конкретни животни ситуации, со цел да се овозможи конструктивно општествено дејствување и да размислуваат и рефлектираат врз овој процес“.
Дигиталната писменост опфаќа широк опсег на нови технологии. Поединецот мора да ги разбере правилата за примена на безбедност на интернет токму поради огромното количество информации достапни на интернет. Создавањето силни лозинки, управувањето со поставките за приватност на личните информации на луѓето и знаењето за тоа што не треба да се објавува на социјалните мрежи, придонесуваат за дигитално описменување. Настрана од користење ВПН, шифрирање податоци и заштита од напади, има повеќе технички аспекти за заштита на приватноста, кои луѓето треба да ги развијат за долгорочна безбедност на интернет.
Од друга страна, дигитален отпечаток е трага од податоци што настанува при користење на интернетот. Дигиталниот отпечаток на луѓето се состои од различни фактори, вклучувајќи ги веб-страниците што ги посетуваат, електронската пошта што ја испраќаат и информациите што ги пребаруваат.
За таа цел, пред да објавите што било на интернет, треба да ви е познато дека податоците на интернет никогаш не се бришат, тие се трајни. Пример за дигитална писменост што во голема мера се занемарува е разбирањето на дигиталните отпечатоци на интернет. Дигиталниот отпечаток на една личност се состои од сите информации што тие пасивно или активно ги оставаат на интернет, особено на социјалните медиуми и платформи, кои вклучуваат текст, слики, мултимедија, историјат на пребарување, ИП-адреси, лозинки итн.
Со спроведување на самопребарување на кој било пребарувач, како што се Гугл, Јаху или Бинг, едно лице може да остави неколку дигитални отпечатоци од себе. Покрај тоа, дигиталните отпечатоци може да се користат за прибирање лични демографски детали, религија и интереси. Важно е луѓето да бидат свесни за нивните дигитални отпечатоци како симбол на одговорно однесување преку користење на интернетот и како заштитна мерка за информативна сигурност.

Информативна сигурност (ИС)

Терминот информативна сигурност е сеопфатен термин за креирање и одржување системи и политики за заштита на какви било информации – дигитални, физички или интелектуални, а не само податоци во сајбер-просторот. Додека сајбер-безбедност е подгрупа на информативната сигурност.
Лесно е да се помешаат информативната сигурност и сајбер-безбедноста, од причина што двете области се преклопуваат на многу начини, бидејќи голем дел од информациите што сакаме да ги складираме, заштитиме и пренесеме постојат во сајбер-просторот. Додека сајбер-безбедноста е дел од информативната сигурност, одредени аспекти на информативната сигурност не се вклучени во доменот на сајбер-безбедноста.
Националниот институт за стандарди и технологија (НИСТ) ги препознава информативната сигурност и сајбер-безбедноста како посебни кариерни области. Според НИСТ, информативната сигурност вклучува заштита на информациските и информативните системи од неовластен пристап, употреба, откривање, нарушување, модификација или уништување со цел да се обезбедат доверливост, интегритет и достапност. Разбирањето на ИС и факторите што придонесуваат се од суштинско значење за ублажување на ризиците од информативната сигурност. Свеста за ИС се однесува на степенот до кој луѓето ги разбираат значењето на политиките, правилата и упатствата за информативна сигурност на нивните институции и на степенот до кој тие се однесуваат во согласност со овие политики, правила и упатства.

Сајбер-безбедност

Од друга страна, НИСТ ја дефинира сајбер-безбедноста како заштита, спречување на оштетувањето и обновување на електронските комуникациски услуги и системи. Ова ги вклучува информациите складирани во овие системи, за кои професионалците за сајбер-безбедност работат за да ги заштитат.
Сајбер-безбедноста е глобален феномен што претставува комплексен социотехнички предизвик за органите што управуваат со владата, државата, но бара и вклучување на поединци. Иако сајбер-безбедноста е еден од поважните предизвици со кои се соочуваат владите денес, видливоста и јавната свест остануваат ограничени. Речиси сите слушнале за сајбер-безбедност, меѓутоа, итноста и однесувањето на луѓето не го одразуваат високото ниво на свесност. Интернетот премногу често се смета за безбедно опкружување за споделување информации, трансакции и контрола на физичкиот свет, но сепак, сајбер-војните се во тек и постои итна потреба да се биде подобро подготвен.
Свеста за сајбер-безбедноста е тековен процес на едукација и обука на поединците и вработените во институциите за заканите што демнат во сајбер-просторот, како да се спречат таквите закани и што мора да се направи во случај на сигурносен инцидент. Свеста за сајбер-безбедноста вклучува свесност за најновите сигурносни закани, најдобрите практики за сајбер-безбедност, опасностите од кликнување на злонамерен линк или преземање малициозен прилог, интеракција на интернет, откривање чувствителни информации итн.
Свеста за сајбер-безбедноста мора да биде иницијатива за целата јавност, не само за поединци, со цел таа да биде најефективна и најкорисна.
Сајбер-криминалците постојано се развиваат и смислуваат нови методи за искористување на ранливостите за да украдат вредни податоци од институциите. Дополнително, тие бараат начини да ги искористат човечкото однесување и емоции, односно психолошкиот аспект на човекот. Не е изненадување дека нападите со социјалниот инженеринг како што се фишинг, спеар фишинг, компромитирање на деловната е-пошта (БЕЦ) итн., се толку успешни.
Комуницирањето за сајбер-безбедноста е соочено со парадокси, што резултира со тоа општеството да не презема соодветни мерки за справување со заканите. Ограничената видливост, социотехнолошката сложеност/комплексност, двосмисленото влијание и спорната природа на борбата против сајбер-безбедноста го комплицираат креирањето на политиките. За таа цел, подолу се објаснети неколку принципи во однос на сајбер-безбедноста.
1. Воспоставување свесност на пошироката јавност е навистина голема обврска на една земја. Иако се чини дека повеќето луѓе го сметаат интернетот за безбедна алатка и го користат секојдневно преку паметните телефони, таблети и компјутери, постојат голем број напади на дневна основа. Сајбер-нападите, криминалците и сигурносните инциденти на интернет веќе не се исклучок. Овој број се зголемува секојдневно и организациите имаат сѐ поголеми трошоци во справувањето со овие инциденти од сајбер-безбедноста. Иако повеќето сајбер-напади се безопасни, влијанието и репутацијата на некои од нив се сериозни. Сигурносните дигитални инциденти може да се движат од никакво или ограничено влијание до напади како Distributed Denial of Services (DDoS), кражба на податоци, манипулација со податоците, кражба на идентитет или преземање контрола врз системите за да му наштетат на физичкиот свет.
2. Сајбер-безбедноста е море од парадокси. Самото креирање политики во областа на сајбер-безбедноста во моментов се соочува со многу парадокси. Изборот на еден правец може да биде на сметка на друг правец, додека има аргументи за насока во двата правца. Политиката и креирањето политики за сајбер-безбедност се одвиваат во рамките на сложен екосистем во кој засегнатите страни од различно општество, политичкото поле и владата мора да комуницираат едни со други. Одговорностите се распределени на многу јавни субјекти и на централно и на локално ниво, со различни проблеми и предизвици, што го отежнува иницирањето колективна акција. Општеството се состои од различни страни, кои можеби сакаат повисока сигурност, но имаат различни очекувања за улогата на јавните институции при обезбедувањето безбедност и сигурност од напади во дигиталниот простор. За таа цел, мора да се дејствува според општествените потреби, да се развиваат политики и да распределуваат ресурси, со цел реализација на поставените цели за подобра сајбер-безбедност. Ова може да изгледа како едноставна активност, но ситуацијата е многу посложена и посуптилна, бидејќи улогите на засегнатите страни од различни институции многу често се конфликтни и се парадоксални.
За граѓаните, меѓусебната поврзаност и податоците генерирани од уредите резултираат со „невидено подобрување на квалитетот на животот“. Во исто време, огромното количество достапни податоци за локацијата, активностите, па дури и емоциите на граѓаните, претставуваат предизвици за сајбер-безбедноста и приватноста. Парадоксот овде е што истите податоци што можат да се користат за подобрување на квалитетот на животот може да се користат и против граѓаните. Споделувањето податоци воведува ранливост што може да биде искористена од криминалците. Украдените податоци може да се користат за уцена на некого, јавната достапност на здравствените податоци на поединецот може да резултира со тешкотии при добивање хипотека или да мора да плати повисоки премии за осигурување. Покрај тоа, потенцијалните цели може да се изберат врз основа на податоците до кои се пристапува; на пример, испраќање лажни пораки со инструкции за плаќање на банкарска сметка врз основа на однесување при купување; или фишинг, што може да резултира со инсталирање малициозен софтвер, кој ја презема контролата врз системот/компјутерот, така што корисникот не може да пристапи до системот, освен ако не плати откуп (пример во биткоини за да се избегне следливост).
Компаниите и граѓаните што потрошиле финансиски средства на сајбер-безбедност и имаат софтвер за откривање и следење, заштитен ѕид, сигурносна автентикација преку потврдување на идентитетот на еден корисник, процес или уред, често како предуслов за да се дозволи пристап до ресурсите во информацискиот систем, исто така може да се запрашаат дали нивната безбедносна заштита функционира соодветно со цел нејзино континуирано подобрување.
И покрај познатите ризици, луѓето често не се загрижени за сајбер-безбедноста. Тие не доживеале никакво влијание и не се заинтересирани. Сајбер-безбедноста е како инфраструктура – ја земате здраво за готово и ја сфаќате нејзината важност само кога ќе искусите проблем, но тогаш е предоцна. Сајбер-безбедноста, исто така, може да се гледа како квазијавно добро (општо добро) што никој не го поседува, но сите се вклучени и може да бидат засегнати. Ова го отежнува прецизното одредување кој треба да биде одговорен при преземање акција и обезбедување на безбедност и сигурност.
3. Сајбер-безбедноста е од нематеријална природа и е во голема мера невидлива за јавноста. Игнорантноста и незнаењето, ограниченото разбирање за тоа што треба да се направи, ограничената свест за прашањето и покрај неговото значење и итност, резултираат со недостиг од акција, планирање и политики за заштита и дејствување. Сајбер-безбедноста често не е лесно да се објасни, бидејќи има многу аспекти. На пример, сајбер-криминалците имаат способност да се движат од еден сервер на друг за да го покријат својот траг и потекло. Без поголеми напори често е тешко да се пронајдат оние што го извршиле нападот. Дури и ако може да се најде иницијалниот компјутер од каде што нападот бил започнат, тоа не значи дека сопственикот го извршил нападот.
4. Социотехничка зависност во сајбер-безбедноста се однесува и на луѓето и на системите, но сложеноста на оваа интеракција оди подалеку од разбирањето на повеќето луѓе. Потребно е длабоко познавање на сајбер-безбедноста, на ИТ-инфраструктурата и на можните видови напади за да се разбере што се случува. Сепак, не е само технологијата што игра улога. Често се наведува дека луѓето се најслабата алка во синџирот на сајбер-безбедноста, иако од друга страна тие се и најсилната алка. Луѓето играат улога во одржувањето и ажурирањето на системите за да се осигури дека се поставени најновите одбранбени механизми, каде што нападите се откриваат веднаш и може да се преземат контрамерки. Социотехничката природа на сајбер-безбедноста на тој начин го отежнува процесот на изнаоѓање решенија. За разлика од глобалното затоплување и климатските промени, каде што загадувачката енергетска централа може да се замени со постројка со ниски емисии на јаглерод, во областа на сајбер-безбедноста не постојат директни и едноставни решенија. Луѓето сакаат да бидат безбедни и сигурни, но можеби едноставно немаат доволно финансии – да преземат соодветна активност. Јавноста очекува дека државните институции ќе преземат одговорност, но мерките што ги спроведуваат институциите можеби нема да бидат доволни доколку и поединците не преземат одредена одговорност.
Препораки за зголемена свесност за информативната сигурност
Сите точки наведени погоре нѐ водат до свесност на граѓаните за информативната сигурност. Подобро запознаените граѓани можат брзо да ги идентификуваат дигиталните закани, што може значително да го намали ризикот од напади во дигиталниот простор и да помогне во спречување кражба на податоците, нивно компромитирање, кражби на идентитет и многу други инциденти. Основите на сајбер-хигиената – лесни и разумни начини да се заштитите онлајн – се преку:
• Користење на повеќе од еден тип автентикација на сите ваши кориснички сметки.
Лозинката не е доволна за да бидете безбедни на интернет. Со воведување втор слој на идентификација, како што е текстуална порака за потврда, код од апликација за автентикација, потврда за препознавање лице или отпечаток од прст или безбедносен клуч, вие додавате дополнителен слој на сигурност на вашата банка, доставувачот на е-пошта или која било друга веб-страница или апликација на која се најавувате. Со примена на повеќефакторската автентикација, шансите да бидете дигитално нападнати или цел на сајбер-криминалците, или да ви бидат украдени податоците се значително помали.
• Редовно ажурирање на вашиот софтвер
Сајбер-криминалците ќе се обидат да ги искористат софтверските недостатоци и ранливости. Потрудете се редовно да го ажурирате системскиот софтвер на сите ваши уреди, како што се мобилните телефони, таблети и лаптопи. Погрижете се и редовно да проверувате дали има ажурирања на вашите апликации – особено веб-прелистувачите – и на сите ваши други уреди.
• Размислете пред да кликнете
Повеќе од 90 отсто од успешните сајбер-напади започнуваат кога ќе кликнете на непознат линк од пристигната фишинг е-пошта. Најчеста фишинг-шема е кога линкот или веб-страницата изгледаат легитимни, но тоа е трик дизајниран да ги откриете вашите лозинки, броеви на кредитни картички или други чувствителни информации. Дополнително, фишинг е-пораките може да бидат потенцијални обиди да ве натераат да стартувате злонамерен софтвер, познат и како малициозен софтвер или малвер. Ако тоа е линк или контакт-лице што не го препознавате, размислете двапати пред да кликнете.
• Користете силни лозинки
Силната лозинка треба да содржи минимум осум или повеќе знаци со комбинација од букви, бројки и специјални карактери. Избегнувајте користење на иста лозинка повеќепати последователно и иста лозинка за различни кориснички сметки. (Идеално, поединците треба да користат и апликација за лозинки со цел генерирање и складирање на различни лозинки за секоја апликација поединечно.)
Светот станува сè повеќе дигитален и меѓусебно поврзан каде што сите ние имаме голема одговорност да ги заштитиме компјутерските мрежи на кои сите еднакво се потпираме. За таа цел, инвестирањето во знаење и примена на информативната сигурност, сајбер-безбедноста и заштита од нападите во дигиталниот простор, може да донесат економски придобивки што може да ја зајакнат ИТ-индустријата во институциите, да ја направат земјата компетентен играч во доменот на информативната сигурност, што би резултирало со отворање нови работни места и генерирање поголем обем на знаење.

Софија Поп-Јорданова, менаџерка за информативна сигурност