«Τα κάστρα πέφτουν από μέσα» λέει ο θυμόσοφος λαός μας και η παροιμία αυτή θα ισχύει για πάντα. Δυστυχώς, πολλές εταιρείες, δεν λαμβάνουν υπόψη τους ότι ο ίδιος ο υπάλληλος με τις περγαμηνές, τα πτυχία, και τις συστατικές, μπορεί να είναι, ή να γίνει, ο δούρειος ίππος που θα χρησιμοποιήσει ο κακός “hacker” για να κάνει τη ζημιά.
Είναι αξιοσημείωτο ότι πλέον όλο και περισσότερες Ελληνικές εταιρείες, επενδύουν χρήματα, (όσες μπορούν βέβαια λόγω της οικονομικής κρίσης), για να ασφαλίσουν όλο και καλύτερα τα του οίκου τους. Φτιάχνουν λοιπόν ένα «κάστρο» και με την ολοκλήρωση της «οικοδομής» , πιστεύουν ότι είναι απόρθητοι!
Έρχεται λοιπόν εκείνη η μαύρη ώρα και αναρτώνται στο secnews.gr (η αναφορά του site είναι εντελώς τυχαία όπως καταλαβαίνετε), όλο το πελατολόγιο της πιο πάνω εταιρείας, με διευθύνσεις, ονόματα, κλπ, και οι CxO (όπου x βάλτε ότι θέλετε: CEO, CΤO, CMO …) αρχίζουν να βγάζουν καπνούς και να κατηγορούν όπως πάντα το IT.
Όσοι ασχολούμαστε με το IT (τουλάχιστον στην Ελλάδα), γνωρίζουμε ότι μας χαρακτηρίζουν ως το αναγκαίο κακό των επιχειρήσεων το οποίο τρώει λεφτά !!
Έρχεται λοιπόν το IT κατηγορούμενο για τον hacker και πρέπει να απολογηθεί γιατί «έφυγαν» και δημοσιοποιήθηκαν πολύ σημαντικά στοιχεία της εταιρείας προκαλώντας σημαντική ζημιά στο brand, από την στιγμή που έχουν δαπανηθεί ήδη αρκετά λεφτά για να φτιαχθεί το «κάστρο».
Το πρώτο πράγμα που ένας “hacker” θα κάνει όταν στοχοποιήσει μία εταιρεία, είναι το reconnaissance. Θα μαζέψει δηλαδή όσες περισσότερες πληροφορίες μπορεί για την εταιρεία στόχο , είτε από τα κοινωνικά δίκτυα, είτε από άρθρα, είτε από γνωστούς, είτε από το τηλέφωνο στο τηλεφωνικό κέντρο κλπ.
Λειτουργώντας ως “hacker” , και ως ένα από τα πολλά που θα έκανα, θα ξεκίναγα από τη σελίδα της εταιρείας στο LinkedIn και όχι από το Facebook. Θα ξεκίναγα κοιτώντας αν υπάρχουν αγγελίες οι οποίες θα μου δώσουν αρκετές πληροφορίες για την υποδομή και την δομή της. Θα κοιτούσα τα members της σελίδας ώστε να δω ονόματα και τίτλους και θα σημείωνα … Δεν θα μπορούσα να πω, από αυτό το βήμα, το τι θα μπορούσα να κάνω με αυτές και μόνο τις πληροφορίες όπως καταλαβαίνετε, αλλά σίγουρα θα ήμουν σε θέση να έχω αρκετά πράγματα ως εργαλεία.
Που να φανταστεί λοιπόν ο εκάστοτε CxO ότι ο καινούργιος υπάλληλος, ή ο παλιός δεν έχει σημασία, με τις περγαμηνές, τα πτυχία και τις συστατικές, θα μοίραζε στο διαδικτυακό «κοινό» του, την επιτυχία του αναφέροντας ότι είναι ο νέος super-duper πωλητής και δουλεύει remotely από το super-duper trendy στέκι του; Που να φανταστεί ότι τυχαία ήμουν και «εγώ» εκεί, ως ο κακός hacker, όπου εντελώς κατά λάθος και πρέπει να με πιστέψετε, μου έπεσε ένα USB stick στα πόδια του super-duper πωλητή? Που να φανταστεί ότι το 99% αυτών που θα βρουν ένα πεταμένο USB θα τρέξουν να το βάλουν στον υπολογιστή τους, όπως έκανε και ο super-duper πωλητής μας ? Που να φανταστεί ότι αυτό το USB είχε κάποιες οικογενειακές ευτυχισμένες φωτογραφίες και ένα εντελώς τυχαίο hidden RAT που εγώ είχα ξεχάσει εκεί (και ο hacker άνθρωπος είναι και “ξεχνάει”), το οποίο πήρε όλο το πελατολόγιο και μου το έστειλε ?
Πως θα καταλάβουν ότι δεν έφταιγε τελικώς το «κάστρο» και τα λεφτά που χρειάστηκαν για να φτιαχτεί, από το κοστοβόρο ή δαπανηρό κατά τα άλλα IT, αλλά η έλλειψη διαδικασιών και εκπαίδευσης για το τι κάνει ένας hacker;
Πόσες είναι οι εταιρείες που έχουν ενσωματώσει στο induction plan του υπαλλήλου ένα security booklet το οποίο δίνει οδηγίες ορθής χρήσης των πληροφορικών συστημάτων, των εταιρικών δεδομένων, των κανόνων και συνεπειών τους; (Οι περισσότερες δεν έχουν καν induction plan, αλλά αυτό είναι άλλο θέμα). Πόσες εταιρείες διενεργούν εκπαιδευτικά σεμινάρια στους υπαλλήλους τους για την ασφάλεια? Πόσες εταιρείες, εφαρμόζουν πρακτικές προσομοίωσης τέτοιων επιθέσεων?
Πόσες τελικά εταιρείες μπορούν να καταλάβουν ότι σε μία ψηφιακή κοινωνία πρέπει να επενδύεις όχι μόνο σε φυσικά μέσα (Firewall, IDS, IPS κλπ.) αλλά πρωτίστως πρέπει να επενδύεις στον άνθρωπο που θα τα χειρίζεται ?
