Hakerów może zatrzymać tylko „firewall z ludzi”

Naruszenia bezpieczeństwa danych często zaczynają się od chwili słabości, którą każdy doświadcza pod presją czasu albo z poczucia władzy – twierdzi Mark T. Hofmann, profiler kryminalny i wywiadowczy oraz psycholog biznesowy. Jego zdaniem, silna ochrona danych wymaga sięgnięcia do metod psychologii pracownika.

Jest Pan profilerem kryminalnym zajmującym się cyberprzestępczością. Co to oznacza?

Zaglądam tam, gdzie inni nie zaglądają – do Darknetu, forów dla hakerów; analizuję rozmowy na Telegramie albo logi czatów, które wyciekły. Łącząc analizę behawioralną z bezpośrednimi badaniami w Darknecie, badam zachowania hakerów: Kim są? Jak myślą? Co ich motywuje? Jak się organizują? Cel jest zawsze ten sam: uczę się od „złych aktorów”, aby pokazać organizacjom i władzom, jak się chronić.

Na pierwszy rzut oka można pomyśleć, że cyberprzestępczość jest problemem technicznym. Jednak największe znaczenie mają aspekty psychologiczne, zarówno te po stronie ofiar ataków jak i hakerów.

Co powinniśmy wiedzieć o współczesnych hakerach?

Hakerzy są często młodzi, bardzo inteligentni i dobrze wykształceni. Kieruje nimi silna chęć rzucenia wyzwania systemowi. Wielu z nich określiłbym mianem „cyfrowych anarchistów” – lubią grę w kotka i myszkę z władzami i są dumni ze swoich umiejętności. Pieniądze są często tylko jednym z motywatorów; równie ważne są dreszczyk emocji, wyzwanie, chęć rozwiązania „zagadki” i prestiż. Nawet ci hakerzy, którzy już się wzbogacili, kontynuują swoją działalność cyberprzestępczą. Nie chodzi tylko o pieniądze, ale o status, przyciągnięcie uwagi i panowanie nad systemami IT.

Od lat wiemy, jak działa phishing i mimo to dajemy się na niego nabierać. Dlaczego?

Atakujący zawsze wykorzystują te same czynniki wyzwalające: emocje, presję czasu i nietypowe prośby. Najważniejsze są emocje. I ten schemat działania sprawdza się, ponieważ ludzie reagują odruchowo, zanim zaczną myśleć.

Sama świadomość często nie wystarcza, gdy w grę wchodzi stres, rutyna lub zaskoczenie. Nawet doświadczeni eksperci mogą dać się oszukać, zwłaszcza gdy haker wzbudza zaufanie, wykorzystuje emocje, autorytet lub presję czasu. Wyobraź sobie, że otrzymujesz dramatyczny telefon od córki, słysząc jej prawdziwy głos. Dzięki technologii deepfake jest to możliwe.

Hakerzy chętnie podszywają się pod autorytety: „Tu policja”, „Jest problem z Twoim kontem bankowym, musimy działać szybko”. Zawsze gdy ktoś próbuje wywrzeć na nas presję, abyśmy zrobili coś nietypowego, na przykład ujawnili hasło lub przelali pieniądze na nieznane konto, powinniśmy wziąć głęboki oddech, zatrzymać się i pomyśleć: Czy mój bank zadzwoniłby do mnie i poprosił o hasło? Czy zadzwoniłby do mnie urząd skarbowy? Czy mój syn poprosiłby mnie o pieniądze przez telefon? Zastanów się, zanim zaczniesz działać, i słuchaj swojego doświadczenia.

Z psychologicznego punktu widzenia, co sprawia, że pracownicy służby zdrowia są szczególnie podatni na socjotechnikę?

Lekarze, pielęgniarki czy osoby na rejestracji pracują w warunkach dużego stresu i odpowiedzialności. Muszą działać szybko i pod presją. Atakujący wykorzystują to za pomocą socjotechniki: krótki telefon, e-mail lub wiadomość, które wywołują poczucie pilności i wyłączają racjonalne myślenie.

Ale są też inne często występujące luki bezpieczeństwa danych generowane przez ludzi: pozostawianie włączonych laptopów bez nadzoru, udostępnianie haseł przez telefon lub zapisywanie ich na karteczkach, otwieranie załączników bez weryfikacji lub głośne omawianie informacji o pacjentach w miejscach publicznych.

Każdy drobny, rutynowy błąd może stać się furtką dla atakujących. Pewnej nocy spacerowałem korytarzami jednego ze szpitali. Liczba odblokowanych i pozostawionych bez nadzoru komputerów mnie zaszokowała. Jeśli zalogowany użytkownik oddala się na chwilę, otwiera szeroko drzwi każdemu, kto chce wykraść dane.

Czyli szkolenia z ochrony zdrowia powinny obejmować także profilowanie behawioralne.

Tak, główna zasada bezpieczeństwa danych to „poznaj swojego wroga”. Lubię opisywać cyberprzestępczość jako grę w szachy behawioralne. Im lepiej zrozumiemy motywy i metody hakerów oraz wnikniemy w ich umysły, tym lepiej możemy się bronić i przygotować. Jeśli zrozumiemy, w jaki sposób hakerzy wykorzystują sztuczną inteligencję i deepfake’i oraz jak ten trend się rozwija, będziemy mogli się odpowiednio przygotować.

Techniczne środki bezpieczeństwa nie zawsze są w stanie zniwelować ryzyko wynikające z niebezpiecznych zachowań ludzi. Jeśli ujawnisz hasło przez telefon, ponieważ ktoś podaje się za „wsparcie IT” i twierdzi, że ma miejsce sytuacja awaryjna, nawet najlepsza zapora sieciowa lub zespół ds. bezpieczeństwa nie pomogą. Nie jestem przeciwny technicznym środkom bezpieczeństwa. Długie, zróżnicowane hasła, firewalle, zabezpieczenia sieciowe i uwierzytelnianie wieloskładnikowe są niezbędne. Potrzebujemy jednak zarówno technicznej, jak i ludzkiej zapory sieciowej. A to wymaga ciągłego szkolenia pracowników.

Jak stworzyć taką zaporę sieciową z ludzi?

Pod pojęciem „zapory sieciowej z ludzi” rozumiem sytuację, w której pracownicy organizacji nie są słabym punktem, ale stanowią pierwszą linię obrony przed hakerami. Chodzi o świadomość, krytyczne myślenie, rutynowe czynności i kulturę bezpieczeństwa.

Moim zdaniem cyberbezpieczeństwo musi stać się atrakcyjne i ciekawe. Zbyt często szkolenia z ochrony danych są nudne. W efekcie postrzegamy je jako przykry obowiązek i szybko zapominamy, o czym były. Ale nie musi tak być. Możemy zabrać uczestników w podróż do Darknetu, co jest tak samo fascynujące jak najlepszy serial na Netflixie. Możemy sprawić, że obrona przed hakerami będzie zabawna.

Zabawna?

Tak. Pod koniec mojego pierwszego wykładu TEDx „Psychologia cyberprzestępczości” podeszła do mnie osoba z publiczności i zapytała: „To było zabawne, ale czy naprawdę uważasz, że tak poważny temat jak cyberprzestępczość powinien być zabawny?”. Nie, nie powinien być zabawny, ale musi być zabawny. To jedyny sposób, aby dotrzeć do osób, które nie interesują się tematami związanymi z IT i cyberbezpieczeństwem.

Dzięki AI, ataki phishingowe są coraz doskonalsze. Wspomniał Pan, jak hakerzy klonują głos, a nawet wizerunek zaufanej osoby. Co zrobić, żeby w takich sytuacjach zadziałały odpowiednie procedury ochrony danych?

Sztuczna inteligencja i deepfake’i przenoszą inżynierię społeczną na nowy, dużo wyższy poziom, a podszywanie się pod znane osoby pracujące w organizacji i ataki na tożsamość stają się znacznie skuteczniejsze.

W służbie zdrowia mieszanka presji czasu, stresu i wielozadaniowości sprawia, że łatwiej jest manipulować ludźmi, aby dostać się do systemu IT. Do tego trzeba stworzyć odpowiednią kulturę ochrony danych, personel musi wiedzieć, kiedy powinno się zapalić czerwone światło, jak działają strategie „zatrzymywania się i weryfikacji” oraz jakie są procedury w przypadku nietypowych sytuacji. Każdy pracownik musi mieć świadomość, że przykładowo najpierw należy zadzwonić pod numer wybrany z telefonu, a nie oddzwaniać, zadawać pytania weryfikujące tożsamość lub używać wcześniej uzgodnione hasła. Świadomość w połączeniu z kulturą i rutyną pozostaje najskuteczniejszą formą obrony.

Pracownicy muszą wiedzieć, że każdy człowiek reaguje odruchowo pod wpływem emocji i stresu. Atakujący systematycznie to wykorzystują, a sztuczna inteligencja zwiększa zarówno ilość, jak i jakość tych ataków. Po drugie, autorytet i poczucie pilności są potężnymi narzędziami oddziaływania na zachowania i nawet osoby dobrze wyszkolone mogą dać się oszukać. I po trzecie, większość cyberataków zaczyna się od błędu ludzkiego, ale ludzie mogą być również najsilniejszą obroną, jeśli są przeszkoleni, zmotywowani i mają odpowiednie uprawnienia.

Co o cyberbezpieczeństwie powinien wiedzieć każdy menedżer szpitala?

Moim zdaniem trzeba skończyć z traktowaniem cyberbezpieczeństwa w charakterze wyzwania czysto technicznego i zacząć postrzegać ludzi jako najważniejszy element pierwszej linii obrony przed hakerami. Jasne procedury, podnoszenie świadomości w tematach związanych z ochroną danych – to elementy, które muszą wniknąć w codzienną pracę. Szkolenie organizowane raz na jakiś czas nie wystarczy.

Drugim priorytetem jest normalizacja procedur weryfikacji. Personel powinien czuć się zachęcany do sprawdzenia źródła informacji przed podjęciem działania, nawet pod presją. Zabezpieczenia, jak podwójna autoryzacja, muszą być postrzegane jako pomoc, a nie wyraz nieufności lub biurokracji. I wreszcie zachęcam do szkoleń, podczas których omawiane są elementy psychologii. Kiedy ludzie dowiadują się, dlaczego ataki są skuteczne, w jaki sposób celowo wykorzystuje się poczucie pilności, autorytet i strach oraz jakie błędy poznawcze są słabymi punktami każdej osoby, znacznie lepiej rozpoznają wczesne sygnały ostrzegawcze i nie dają się tak łatwo zmanipulować.

Czytaj także: Ochrona danych to dobre procedury wokół pracowników