HTTPS, privatumas ir saugumas – kaip elgtis vartotojams ir kaip tai atsiliepia saugumo kultūrai orga
Turbūt visi IT administratoriai yra girdėję, o dauguma ir patyrę atvejų, kai organizacijos darbuotojas pakliūva į fišingo (ang. phishing) spąstus ir tada tenka tvarkyti visą tinklą. Ne paslaptis, kad kibernetinės atakos nuolatos tobulinamos, kad pasiektų savo tikslą – apeitų gynybą, atrodytų visiškai nekaltos ir padėtų apgauti net ir akyliausią žmogų. Vienas efektyvesnių šiuo metu prieš žmones naudojamų metodų – būtent HTTPS.
HTTPS: nuo ko tai prasidėjo
HTTP padėjo pagrindą duomenų mainams internete, bet jis niekada nebuvo kuriamas privatumui užtikrinti - perduodami duomenis HTTP kanalu iš esmės siunčiame atviruką: bet kas, kas jį laiko rankoje gali skaityti jo turinį. HTTPS būtent ir buvo sukurtas tam, kad būtų galima užtikrinti privatumą ir apsaugoti vartotojų perduodamą informaciją nuo pašalinių akių.
Pradžioje HTTPS matydavome tik jungdamiesi prie banko ar apsipirkdami e-parduotuvėse – čia privatumą užtikrinti yra būtina. Anksčiau saugumo sertifikatai HTTPS puslapiams buvo išduodami gerokai sunkiau: jie ne tik nemažai kainuodavo, bet prieš juos išduodant ir po to buvo atliekami nuolatiniai įmonės ir jos svetainės patikrinimai.
Viskas pasikeitė kai prieš kelis metus interneto naršyklės pradėjo reikalauti saugumo sertifikatų kiekvienam puslapiui, nes kitaip jie bus žymimi kaip nesaugūs ir bus rodoma vartotojus bauginanti ikonėlė, nurodanti, kad puslapis gali būti pavojingas. Taip natūraliai vartotojo akis pradėjo ieškoti žalios spynelės ir HTTPS prie URL adreso.
Apgaulingas saugumo jausmas
S trumpinyje HTTPS žymi saugumą (ang. security). Bet problema ta, kad HTTPS užtikrina ne saugumą, o privatumą. Žalia spynos ikona žymi, kad informacija, kurią perduodame yra šifruojama ir saugiai perduodama jos gavėjui, bet tai toli gražu negarantuoja kad duomenys pas gavėją bus saugūs.
Jei vartotojas to pats nesuprasdamas atveria gerai suklastotą fišingo svetainę, imituojančią, pavyzdžiui, banką ir viršuje mato mažą žalią ikoną, jis natūraliai mano atsidūręs oficialioje paslaugos teikėjo svetainėje ir nesibaimindamas suveda savo jautrius duomenis. Bet problema ta, kad bandant prisijungti jo duomenys šifruotais kanalais yra perduodami nusikaltėliams, o ne bankų sistemoms. Ir čia HTTPS yra išnaudojamas būtent apgavystėms vykdyti.
Nusikaltėliai ir HTTPS
Nusikaltėliai nuolat ieško naujų būdų apgauti vartotojus ir, kadangi didelė dalis jų galvoja, kad HTTPS puslapiai yra saugūs, HTTPS yra naudojamas prieš mus. Kaip tai įmanoma? Šiandien saugumo sertifikatus gauti ne problema: jie pigūs (kartais net nemokami) ir neatliekamas joks įmonės ar puslapio tyrimas prieš suteikiant sertifikatą ar po to.
Tai lemia, kad 93 % fišingo puslapiams naudotų domenų URL adresų 2018 m. rugsėjo-spalio mėnesiais prasidėjo HTTPS. Tad nenuostabu, kad vartotojai pakliūna į nusikaltėlių pinkles ir kad fišingas realiai yra viena didžiausių socialinės inžinerijos grėsmių: tai pigu, greita ir efektyvu.
Kaip elgtis?
Kuo daugiau HTTPS svetainių turime, tuo dažniau vartotojai lieka apgauti – tą jau išsiaiškinome. Labai svarbu suprasti, kad edukacija šioje vietoje gali labai daug: vartotojai yra priešakinėse kibernetinės gynybos linijose ir turi turėti reikiamus “ginklus” ir “šarvus” apsaugoti organizacijas. Efektyviausia yra tinkamai įgyvendinti saugumo politiką, kurioje numatyti reguliarūs nuolatiniai mokymai.
Taip pat būtina užtikrinti, kad organizacijos saugumo strategijoje būtų numatomas ir realiai vykdomas nuolatinis rizikų ir pavojų vertinimas, įskaitant ir web puslapių analizę, nepriklausomai nuo to, ar jiems suteiktas HTTPS sertifikatas.
Galiausiai, vadovybė turėtų skatinti saugumo kultūrą organizacijoje. Visiems: tiek įmonės vadovui ar valdybai, tiek naujausiam įmonės praktikantui saugumas turi būti prioritetas. Tai, žinoma, reiškia ir tai, kad įmonės saugumu turėtų rūpintis jau ne tik užkaišiodamos technologines skyles, bet ir apimdami žmogiškasias rizikas ir galimus padarinius.
Toks požiūris apie vartotojus padės galvoti ne kaip apie silpniausią grandį, o kaip apie svarbiausius resursus saugumo strategijai įgyvendinti.
Susiję mokymai:
- IT specialistams - Hack IT to Defend IT (L1)
Mokymuose aiškinamės kaip sukuriamos situacijos, kai galima išnaudoti HTTPS ir suklastoti realius domenų pavadinimus, pvz., netikrą www.apple.com puslapį su SSL sertifikatu.
- Organizacijos darbuotojams - IT saugumo suvokimo skatinimas
Mokymai skirti padėti vartotojams atpažinti suklastotus puslapius, nesvarbu, ar jie turi SSL sertifikatus ar ne.