Przejdz do tresci
Avanet
Eksperyment – dlaczego lepiej było nie podłączać tego pendrive’a USB

Eksperyment – dlaczego lepiej było nie podłączać tego pendrive’a USB

31. MARCA 2017

Czy nazwalibyście dziś swoją firmę - w czasach ransomware i zaawansowanych ataków (APT) - bezpieczną i odporną na zagrożenia?

Jak większość stałych czytelników tego bloga wie, około 80% naszej codziennej pracy koncentruje się na bezpieczeństwie. Dzięki Avanet od początku postawiliśmy na rozwiązania ochronne od Sophos i tej decyzji do dziś nie żałujemy. Sprawia nam przyjemność wspieranie klientów, którym realnie zależy na bezpieczeństwie ich firmy i którzy - podobnie jak my - są przekonani do produktów Sophos.

Do kampanii marketingowej w listopadzie 2016 r. wybraliśmy sobie jako grupę docelową zupełnie inne podejście niż zazwyczaj. Próbowaliśmy przekonać do security takich CEO, którzy nigdy się tym tematem nie zajmowali albo byli przeświadczeni, że ich obecne rozwiązanie zapewnia wystarczającą ochronę. Świadomie odeszliśmy też na chwilę od naszej dotychczasowej metody marketingowej, czyli działań online. Co z tego wyszło? Niestety nic budującego - dlatego zdecydowaliśmy się podzielić z wami naszymi doświadczeniami. Nasza akcja marketingowa w zatrważający sposób pokazała nam, że potrzeba znacznie więcej edukacji w obszarze „bezpieczeństwo w firmie” i że nawet przy użyciu najprostszych środków można bez większego problemu dostać się do sieci przedsiębiorstwa. Całą historię znajdziecie poniżej.

Historia wstępna

Kiedy z czystej ciekawości rozmawiamy z potencjalnymi klientami i dość dyskretnie pytamy, jak u nich wygląda temat bezpieczeństwa IT, właściwie zawsze słyszymy tę samą odpowiedź:

„Jesteśmy wystarczająco zabezpieczeni i coś takiego nie może nam się przydarzyć. Nasza firma jest za mała i zbyt nieistotna dla hakera”.

Faktem jest, że już dawno nie chodzi o „małego hakera z piwnicy”, który za cel obiera wyłącznie wielkie korporacje. Historia z ransomware jasno pokazuje, że celem jest każdy, kto ma komputer, internet i e‑mail. Gdy zwracamy uwagę na zagrożenia związane z załącznikami e‑mail, CEO są zazwyczaj święcie przekonani, że ich pracownicy są ostrożni i na pewno nie zrobią niczego pochopnego. Co można na to odpowiedzieć, poza: „Czy możemy to kiedyś przetestować?”. Oczywiście nikt nie chce wyrazić na to zgody, dlatego w kontekście naszej nowej kampanii marketingowej zadaliśmy sobie następujące pytanie:

„Jak przekonać potencjalnego klienta do bezpieczeństwa IT, jeśli nigdy się nad tym nie zastanawiał albo uważa, że jest już wystarczająco chroniony?”

Nasz pomysł marketingowy i jak go zrealizowaliśmy

Przy planowaniu kampanii jedna rzecz była dla nas kluczowa. Chcieliśmy pozostać „tymi dobrymi”, a nasza akcja miała pomóc zwrócić większą uwagę na dzisiejsze zagrożenia. Żeby było to możliwie skuteczne, potrzebna była też odrobina zimnego potu - tak, aby pozbyć się myśli „przecież jestem bezpieczny i nic mi się nie stanie”.

Zamówiliśmy więc 100 pamięci USB, na które skopiowaliśmy po jednym pliku HTML o następującej treści.

Strona docelowa pendrive’a USB

W tym miejscu chcę jeszcze raz podkreślić, że na pendrive’ach znajdował się wyłącznie nieszkodliwy plik HTML. Jak już wspomnieliśmy, nigdy nie mieliśmy zamiaru wyrządzić szkody jakiejkolwiek firmie. Pamięć USB włożyliśmy następnie do koperty, do której dołączony był tylko samoprzylepny „post‑it” z napisem:

„Jak ustaliliśmy, dane projektowe. Pozdrawiam + dzięki”.

Na kopercie widniał wyłącznie adres odbiorcy. Świadomie zrezygnowaliśmy z podania nadawcy, aby zwiększyć ciekawość odbiorcy, a tym samym prawdopodobieństwo, że pendrive zostanie podłączony.

Mam teraz do was trzy pytania:

  1. Co zrobilibyście, gdyby taka koperta trafiła do waszej skrzynki pocztowej?
  2. Jak zachowaliby się wasi pracownicy?
  3. Jak sądzicie, ile razy ten pendrive faktycznie został podłączony?

Wściekli ludzie, groźby i policja

Mieliśmy pełną świadomość, że ta akcja była dość śmiała. Czy ludzie zrozumieją nasze „dobre intencje” i będą wdzięczni, że tym razem uszli z tego z „lekko podbitym okiem”?

Odpowiedź brzmiała jednoznacznie: „NIE”. Okazało się to trzy dni później, kiedy zadzwoniliśmy do adresatów, aby dopytać o pendrive. Spośród około 80 osób, z którymi udało się porozmawiać, jedynie około 5 zrozumiało naszą akcję i wręcz pochwaliło ją jako oryginalne działanie marketingowe.

Reszta była wściekła, postrzegała nas jako wroga i groziła krokami prawnymi. Dwa z naszych pendrive’ów trafiły nawet na policję.

65% wskaźnika podłączeń

Odstawmy na bok emocje i skupmy się na skutkach naszej kampanii. Najbardziej niepokojące było to, że 65% wszystkich osób, z którymi udało się porozmawiać telefonicznie, faktycznie podłączyło pendrive w firmie! Zakładając, że nie każdy miał odwagę się do tego przyznać, rzeczywisty odsetek był zapewne jeszcze wyższy.

Oznacza to, że co najmniej 52 osoby naraziły bezpieczeństwo swojej firmy, podłączając pendrive, nie wiedząc, od kogo pochodzi i jakie pliki się na nim znajdują.

Wnioski

Choć jesteśmy w stanie zrozumieć gniewne reakcje tych osób, uważamy, że w takiej sytuacji nie ma miejsca na urażone ego. Trzeba sobie uświadomić, że zostaliśmy tu złapani na tak banalnym, prymitywnym nośniku jak pendrive, z wykorzystaniem metody rodem z lat 90. Nawet najlepszy firewall na świecie nic by tu nie pomógł, bo nośnik został niejako przemycony „bokiem”, poza kontrolą systemów zabezpieczeń. To człowiek był tu ostatecznie największym zagrożeniem - bez niego pendrive nigdy nie trafiłby do sieci. Dlatego odpowiednie przeszkolenie personelu i uświadomienie takich zagrożeń jest kluczowym elementem waszego bezpieczeństwa IT.

Nasza kampania pokazała też jasno, że w każdej firmie na każdym urządzeniu końcowym musi być zainstalowana ochrona endpointowa. Tylko dobry endpoint protection, działający w oparciu o analizę zachowania, a nie wyłącznie sygnatury, jest dziś absolutnym minimum. Kto szuka takiego produktu w Sophos, prędzej czy później trafi na Sophos Central. Jako podstawowy zestaw zawsze rekomendujemy dream team: Sophos Central Endpoint + Intercept X. Jeśli chcecie pójść za naszą rekomendacją, możecie od razu kupić Sophos Central Intercept X Advanced, który zawiera oba te produkty.

Choć dzięki tej kampanii nie pozyskaliśmy żadnych nowych zleceń, z naszego punktu widzenia nie była ona całkowicie bezowocna. Jesteśmy przekonani, że dzięki temu kilka osób następnym razem zachowa większą ostrożność i zawaha się, zanim włoży pendrive do swojego komputera.

David

David

David odpowiada w Avanet za tresc, strukture i wdrozenie cyfrowe. Koncentruje sie na jasnym, precyzyjnym i przyjaznym dla wyszukiwarek opracowywaniu zlozonych tematow technicznych.