Kus on arvutid, nutiseadmed, infosüsteemid, rakendused, kasutajad jne seal on ka riskid, ka turvariskid. Minu arust kõige nõrgem lüli selle juures on ikka inimene. Eriti huvitav on see, et tegelikult on inimesed ilusad ja head ja abivalmid või siis teadmatud. Et kui osatakse karta igasugu viiruseid, pahavarasid ja pettuseid, siis sõbraliku pahalase manipulatsioonile/social engineering'ule ollakse palju altimad alluma.
Mina arvan, et üheks lihtsamaks neist on sappavõtmine. Ma väidaks,et väga suur protsent inimesi ei jälgi, kas uks nende järgi sulgub või keegi järgneb. Kuna sellist asja olen osanud jälgida, siis suitsetajana olen seda tihti tähele pannud ja mis seal pattu salata, kui vajadust on olnud, isegi seda kasutanud. Ukse all olevaid suitsu lõpetavaid inimesi usaldatakse vist eriti :) Sealt järgmine samm oleks väikse kivikese ukse vahele panemine, et uks sulgub, näiliselt ongi kinni, aga lukku ei jää. Ja ei panda tähele, nii võib uks lahti olla, kas või päev otsa. Kuigi paljud võivad teisi uksest sisse lasta tähelepanematusest või teadmatusest, siis võib ka olla põhjuseks hirm konflikti sattuda. Kuna ma ise ei lase võõraid inimesi sisse kuhu ma ei taha, siis on olnud mõningad inimesed, kellega ma olen sattunud lühiajalisse vaidlusesse, kas nad peaksid minu järgi sisse saama või mitte. Siiamaani olen suutnud kõigile viisakalt selgeks teha, et miks see ei õnnestu ja ise päris konflikti pole sattunud.
Minu arust siin reeglid ja koolitus reaalselt ei aita. Reeglid ja koolitused kipuvad ununema ja muud asjad võivad segada nende peale mõtlemist. Ehe näide elust enesest. Teen mina kontori nuka peal hommikust suitsu ja näen sealt sisenemas töökaaslast ja tema järel ka võõras inimene. Põhimõtteliselt vist mitte kurilane, aga võõras (väikse kontormaja, ca 3 firma töötajatest tunneb suitsetaja ca 90% nägupidi). Päeva lõpus muuseas tõstatasin teema, et kas endale järgnevaid peaks sisse laskma või mitte. Kuna me olime sellest ka varem rääkinud, siis üld teada arvamus oli, et ei tohi, ka situatsioonis osalenud töökaaslane väitis, et ei tohi, aga kui küsisin, kas ta hommikul mitte seda ei teinud, siis ta ei teadnutki, et oli hommikuse kiiruga seda mitte märganud. Ühesõnaga teadis, aga siit tulebki inimlik faktor vahele. Kes unustab, kes kiirustab, kellel on mõtted mujal ja turvaauk laiutab seal vahel. Mulle tundub, et kõige paremini aitab selliste situatsioonide vältimise vastu nö. turvaväravad. Väravad millest, siis peale autentimist saab üks inimene korraga siseneda. Kuigi sealt on ka võimalik manipuleerimise teel sisse saada, siis on tõenäosus juba hulga väiksem.
Kuigi jutt läeb juba pikaks, siis natuke tahaks hoiatada ka üle õle piilumiste eest. Kui küsida näiteks: "Kas sinu id-kaardi tarkvara töötab?" ja samal ajal läheneda ka kasutatava arvuti poole, siis üldjuhul ei keelduta selle demonstreerimisest. Sama ka juhul, kui ütelda :"Kas sa lõunasöögi eest tegid ülekande juba ära?" ja rääkides nt. kuidas seekord söök oli, lähened arvutile. Või pangaautomaadi juures näed, et inimesed unustavad, et ca 90% on paremakäelised ja järgmine seisab järgi paremale, siis vasaku käega vasakult katmisest ei ole eriti abi, see kehtib eriti vanainimeste puhul. Selliste asjade puhul tehnoloogia ja reeglid ei aita vaid pigem koolitamine. Kui peale selliseid juhtumeid ütelda: "Ma nägin" või näiteks pomiseda nähtud koodi, siis ega enam väga teisi selliste asjade puhul enam ligi ei lasta. Aga sellise koolitamisega tasub olla ettevaatlik vanainimestega pangautomaatide ees. Nad ei oska koolitust hinnata vaid võivad karjatada: "APPI!!! RÖÖVITAKSE!!!". Vat siis võib koolitajal natuke ebamugav olla.
Ma ei tea, kas Eestis selliseid asutusi väga on, kes tellivad või pakuvad manipulatsiooni teenust, aga minu arust on see üks väga huvitav ala.
PS! Võtan jälle appi George Orwell'i. Nagu ta pole kunagi ütelnud, et: "Ma ei kirjutanud "1984" õpetuseks, vaid hoiatuseks.", siis mina ütlen, et kõik, mis mina kirjutasin on hoiatuseks, mitte õpetuseks.
Kommentaare ei ole:
Postita kommentaar