За да създадем вътрешна заплаха не са необходими много усилия и историята по-долу е пример за това как прости неща от реалния живот могат да го катализират по неочакван начин.
Стъпка 1. Нуждаем се от лошо умение за управление на времето и негов домакин
Имах насрочена среща в една организация в ролята ми на неин клиент. След като стана време, аз се озовах пред бюрото на служителя точно като швейцарски атомен часовник. За съжаление служителят имаше виртуална среща и нашият планиран разговор трябваше малко да почака. Трябваше да изчакам около 15 минути, преди да започнем като просто гледах и слушах спокойно и внимателно, без да преча на виртуалната среща.
Стъпка 2. Имаме нужда от лоша култура и токсичен лидер с легитимна власт
Служителят започна да се изнервя от ситуацията, защото трябваше да чакам 15 минути. От една страна, бях там изпълнен с очаквания да започна да се занимаваме с планираното посещение. От друга страна, във виртуалната среща имаше човек, който имаше достатъчно власт, за да попречи на решението служитялят да напусне срещата и да започне да се занимава с мен. В един момент служителят реши да напусне виртуалната среща, независимо от последствията с извинение към мен и тогава започнахме да обсъждаме планираната тема.
Ситуацията също така създаде прецедент за потенциален раздразнен клиент, което ще удвои последствията и щетите за организацията от няколко гледни точки: отлив на клиенти, неефективно управление, измами и загуби породени от нечие поведение.
Стъпка 3. Нуждаем се от жертва под емоционално въздействие, която изпитва вина и ситуационен натиск да разреши ситуацията.
В края на разговора ни реших да се върна към ситуацията и започвах да ровя и да задавам въпроси за виртуалната среща, темата, колко често се случва, колко интересна е била темата, защо служителят не е успял да я напусне и да започне да се занимава с мен навреме и още много други отворени въпроси. Отговорите започваха да текат във въздуха по интуитивен начин, без никакви пречки, един по един, разкривайки състоянието на вътрешната организация и скритите артефакти.
Това е пример работи социалното инженерство и свързаното с него извличане на информация, а тривиалните фишинг кампании по имейл, SMS и WEB са само върхът на айсберга.
Стъпка 4. Нуждаем се от достатъчно информация за организацията, структурата и заинтересованите страни
Горната ситуация и събирането на информация ми дадоха добра представа за това, какъв човек стои от другата страна на линията, какви личностни черти има, какъв вид власт има и как да го идентифицирам в реалния живот и в рамките на организацията, какви ресурси и активи контролират двамата и, разбира се – друга интересна информация. И накрая, но не на последно място, каква е организационната атмосфера и култура и как тя може да бъде използвана за злонамерени външни операции.
Стъпка 5. Трябва да анализираме информацията и да започнем да проектираме атаката, като увеличим вероятността за успех и ефекта от нея.
Цялата горепосочена информация може да бъде използвана, чрез широки и безкрайни комбинации и възможности. В интернет света тя може да доведе до добре организирана кибератака идваща от чужбина спрямо гледна точка на жертвата. Във физически и социален план тя може да доведе до добре организирана лична и ролева уязвимост, които могат да бъдат използвани за контрол над властта, ресурсите и вземането на решения, което може да доведе до измами от първа и втора степен и злоупотреби с власт.
Стъпка 6. Натиснете бутона и изпълнете атаката.
Кутията на Пандора ще се отвори и ще се случи чудото. Ефективността на атаката зависи от включените технически и нетехнически фактори от страна на злонамерения участник, както и от ефективността на организацията, екипа и инфраструктурата. С други думи, злонамерените актьори може да не работят сами и да представляват солидни организации и добре организирани машини за измами.
Защо това е важно?
- Злонамерените актьори могат да се разхождат навсякъде, изследвайки света, без да бъдат идентифицирани, и организациите трябва да се съсредоточат не само върху киберсвета, но и върху физическия и социалния свят около тях.
- Злонамерените актьори винаги използват някого отвътре, а какво прекрасно съвпадение е да се определи лице с легитимна и принуждаваща власт и подчинен, който е податлив на атаки посредством манипулации и социално инженерество.
- Лошото лидерство и лошата организационна култура ще увеличат многократно вероятността за успех на такава атака
- Лошото управление на времето е само пример, който може да повлияе негативно на колеги, подчинени и клиенти. Има безброй много фактори, които могат да доведат до същия или подобен ефект.
- Мениджърите с власт трябва да бъдат мъдри и да бъдат катализатори на добра култура на споделени ценности, а не на лоша такава, защото организационната сигурност също се влияе от тези фактори.
- Всички ние сме хора, които са склонни към нагласи и поведение, а хубавата и позитивна нагласа може да спаси времето, живота и цялата организация.
И не на последно място – всичко това нямаше да се случи, ако планираната среща беше започнала точно навреме.