IT-turvarisk - manipulatsioon

Tavaliselt ongi just kõige suurem turvarisk ekraani ja tooli vaheline lüli, kes satub kurjategija lõksu ning annab pahaaimamatult välja informatsiooni või avab mõne pahavaralise tarkvara. Töötaja, kes omab tehnoloogilisi teadmisi, kuid kellel lakkavad teadmised koolituse ja reeglite poolelt on ohtlik kogu ettevõttele, niiet Mitnicki valem peab minu arust hästi paika, et tegu on kolme komponendi korrutisega.

Social engineering vajab ründaja poolset eeltööd, mistõttu on tehnoloogiline aspekt ka siin tähtis. Hoolikas tuleb olla töötajal, et ei jäetaks olulist või personaalset ning eelkõige töösisest informatsiooni veebi või sotsiaalmeediasse, mida on hiljem võimalik ära kasutada manipuleerimise käigus.

Koolitus mängib siinkohal minu arvates kõige tähtsamat rolli ning on sellise turvariski maandamiseks vajalik. Erinevad kasutajagrupid on eri taustadega ning nagu ikka töötab manipuleerimine iga isiku puhul erinevalt. Selleks on vaja nii IT-personalile, tippjuhtidele, kui ka teenindavale personalile viia läbi koolitusi mis tutvustaks ohtusi ning näitaks kuidas ja kas usaldada teisi isikuid.

Kuidas tõestada isiku identiteeti ning väiteid kas toosama inimene on ikka see kelleks ta ennast peab - see tuleks paika panna reeglite abil. Paika tuleb seada ka kaugtöö reeglid ja mis kanalite mööda toimib isiku tuvastamine ning kuidas seda tehakse. Eeskiri on vaja läbi mõelda ning minu arvates vähemalt korra aastas ajakohastada, sest tehnoloogia on väga kiiresti uuenev valdkond.

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Vabad litsentsid ja Copyleft

Copyleft - üldine meetod programmi (või muu teose) avavaraks muutmiseks ja nõuab, et kõik programmi muudetud ja laiendatud versioonid oleksid samuti tasuta.  Kaasates copyleft litsentsitingimusi, tuleb teha valik erinevate litsentside vahel. Tugevad copyleft tingimused nõuavad, et kui tarkvara sisaldab osa litsenseeritud koodist, tuleb tarkvara tervikuna levitada litsentsi alusel, kui seda üldse levitatakse. Selle tagajärjeks on see, et kõigi koodile tehtud lisade lähtekood on saadaval ning soosib avavara levikut. See hõlmab kõiki lingitud teeke või muid programmi osi. Sellesse kategooriasse kuuluvad järgnevad litsentsid: GPL v2, GPL v3, Affero GPL-litsents (AGPL). Tarkvara litsentseerimine on hea näide, kuid väikeste programmide puhul, mis on üldjuhul lühemad, kui 300 rida, on soovituslik kasutada Apache 2.0 litsentsi. See on nõrgem tarkvaralitsents, mille tingimused takistavad kaasautoritel ja levitajatel patendirikkumise eest kohtusse kaevamist. Nõrk copyleft tähendab aga seda, et k
Lisateave

Hacker-HOWTO arvustus

Eric S. Raymondi poolt kirjutatud dokument, "Kuidas saada häkkeriks" on intrigeeriv juhise-laadne teos, mis kirjeldab lugejale häkkeri tausta, suhtumist, põhioskusi jpm. Teos on hästi lahti mõtestatud ning üritab it-entusiastidele, kui ka üldkogukonnale selgitada, mis vahe on häkkeril ja kräkkeril. Võrreldes neid omavahel annab autor ka põhjalikumad soovitused, millest või kuidas alustada, et saada siis just häkkeriks ja miks mitte olla kräkker väga otsekohese väljendusega. Häkkeri kirjeldus autori silmade läbi on huvitav vaatenurk, isiklikult pole ma mõelnud sellele, et läbi oma tegude on häkkerid tipp-programmeerijatest ja võrguässadest koosnev kogukond, jagatud kultuuriga - sellest ka nimetus tarkvarahäkkerid? Minu vaatepilt on hoopis teine, eeldatavalt sellest, et olen ka noor ning üles kasvanud - ütleme nii, et kaasaegsema informatsiooniga, teades küll infotehnoloogia tausta piisavalt siis on tähtsam ajaga kaasas käia.  Nimelt siis see häkkeri nimetus, minu arvamus on, e
Lisateave

IT eriala "proffi" ja "käsitöölise" erisus

Ma võtaks kõige esimesena käsile suhtluse ning üleüldise käitumismustri või hoiakud, mida isik omab ning palju ta areneda võib. Kui inimene on uuendusmeelne ning ei karda vastu võtta väljakutseid on see juba samm lähemale it proffiks saamisele. Kui aga inimene jääb oma vanade teguviiside juurde siis IT's on üleüldse sellevõrra keerulisem läbi lüüa. Tähtis on suhtlemine ning sõnavara, kui ka õigekiri, viimane mitte kõige tähtsam, kuid siiski vajalik. Suhtlemine töökaaslastega on hea viis näidata tiimimängija hoiakut, sest alatihti teevad sama rakenduse peal tööd mitmed inimesed. Selleks on vaja oskust teha selgitusi oma koodi, kui keegi tulevane isik peaks sedasama koodi läbi vaatama või täiendama. Tänapäeval mängivad olulist rolli ka äriprotsessid ning teadmistega ühest kitsast valdkonnast IT's. Olles tehnoloogia vallas, peab kindlasti olema kursis uute tehnoloogiatega. Kuna ülikoolis õpetatakse ka õnneks ettevõtlust mingil määral siis ka see tuleb kasuks, eriti valitseva kultu
Lisateave