Zdravotníctvo patrí medzi najčastejšie terče kyberútokov a popri ransomvéri je jednou z najnebezpečnejších zbraní útočníkov sociálne inžinierstvo. Neútočí na programy, ale na ľudí – na ich zvyky, pozornosť a dôveru. Prednáška upozorňuje, že okrem digitálnych hrozieb existujú aj fyzické útoky, ktoré sú často prehliadané.
Najčastejšie triky útočníkov
Klasikou je phishing: e-mail s odkazom, po ktorého kliknutí môže nasledovať krádež prístupov či ransomvér. Cielenou verziou je whaling – správa zdanlivo od vysokého manažéra s „urgentnou“ úlohou, ktorá zneužije jeho autoritu a vyššie prístupy. Pri pretextingu útočník najprv spraví prieskum a potom sa vydáva za známeho dodávateľa či partnera, aby si vyžiadal „aktualizáciu údajov“. Medzi manipulačné techniky patrí aj baiting a „romance“ podvody – sľuby peňazí či vzťahu, ktoré majú z obete vylákať citlivé informácie.
Dôležité sú aj fyzické a hybridné útoky. Diversion theft presmeruje fyzickú zásielku s dokumentami na falošnú adresu a zlodeji sa dostanú k dátam v balíku. Tailgating využíva ochotu pomôcť: „Podržte dvere, zabudol som kartu,“ a cudzí človek získa prístup do priestorov i k nezamknutým počítačom. Smishing (SMS phishing) sa posunul od jednoduchých návnad k zneužívaniu správ o dvojfaktorovej autentifikácii; falošný odkaz „zruš prihlásenie“ môže v skutočnosti útočníkovi pomôcť. Scareware zas vyvolá paniku hláškou o víruse a ponúka „zázračné“ stiahnutie, a watering-hole útok infikuje legitímnu webstránku, ktorú bežne navštevujú zamestnanci.
Ako sa brániť v praxi
Základom je vzdelávanie – každý zamestnanec má podiel na bezpečnosti organizácie, aj keď nie je z IT. Pomáha kultúra overovania: kontrola odosielateľa a adresy odkazu, nezdieľanie hesiel, neveriť nežiadaným „urgentným“ výzvam a pri nejasnostiach radšej zavolať overenému kontaktu. Pri SMS o dvojfaktore neklikať na priložené linky, ale použiť oficiálnu aplikáciu či prihlásenie. A napokon, nikdy nedržať dvere neznámym, zamykať pracovné stanice a nahlasovať podozrivé situácie.
Procesy musia podporiť opatrné správanie: pravidlá pre prijímanie zásielok a overovanie zmeny adries, jasný postup pre zmenu bankových údajov dodávateľov a pravidelné testy phishingu. Technické opatrenia – od antivírusu po viacfaktorové prihlasovanie – majú zmysel len v spojení s informovanými ľuďmi. Kombinácia školení, jednoduchých kontrolných zoznamov a dôslednej fyzickej bezpečnosti výrazne znižuje šancu, že sociálne triky budú fungovať.
