אני מזמין אתכם לחשוב על זה רגע לפני שאתם עונים. האם זה כל כך ברור למשתמש כשהוא נתקל בהונאת אינטרנט?
אלה בינינו ש'שוחים' בעולם הטכנולוגי, שומעים לעיתים קרובות ביטויים מעין אלה שטוענים שזה כמעט ילדותי ליפול בפח של הונאות social engineering (הנדסה חברתית היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע שמשמעותו שילוב של טכניקות הונאה, התחזות ושכנוע הגורמות לאנשים לציית לבקשת הפורץ - מקור ויקיפדיה) או להשתמש במערכת הפעלה לא מעודכנת. אבל האם זה באמת כך? האם האיום הוא באמת עד כדי כך ברור?
ניקח כמקרה מבחן סיפור על דוב. דוב שייתקל בפעם הראשונה במלכודת פלדה על הרצפה סביר להניח שלא ידלג מעליה אלא ייתפס בה. למה? משום שאין לו ניסיון קודם, המלכודת אינה חלק מ"מאגר הנתונים" של הדוב ולכן הוא לא מסוגל לייחס לה כל משמעות, טובה או רעה. בדומה לכך, גם עכבר שנתקל במלכודת עכברים עם גבינה במרכזה, סביר להניח שייתפס בה משום שאינו מודע לכך שזו מלכודת קטלנית. בסופו של דבר הכול קשור לידע, שנצבר בין השאר על ידי ניסיון קודם או למידה. קרוב לודאי שעכבר שהיה מודע לסכנה שהגבינה תגרום לו, לא היה מתפתה.
לספק נתונים וידע למשתמש
ידע הוא דבר עוצמתי בכל תחום בחיים בכלל ובתחום אבטחת המידע בפרט. ה"אנשים הרעים" תוקפים על ידי ניצול הבורות (או העדר ידע מקדים) של המשתמשים. רוב הקורבנות של התקפות האינטרנט כלל לא היו מודעים לסיכונים או לאיומים עד שהיה מאוחר מדיי. אם משתמש כלשהו מספק את פרטיו האישיים למקור מפוקפק, קרוב לודאי שאין לו שום מודעות לעובדה שמדובר בהתקפת פישינג. בסופו של דבר, הכל מתחיל ונגמר בידע, וידע כאמור הוא תולדה של חינוך או התנסות.
ככל שלמשתמש יהיה יותר ידע, כך התקפות הפישינג או ההנדסה החברתית יהיו יותר ברורות וגלויות. ולכן זו אחריות שלנו להמשיך ולתת נתונים שיגדילו את הידע של המשתמש כדי להפוך את ההתקפות, שלנו נראות ברורות כשמש, לברורות גם לשאר המשתמשים.
איומי האינטרנט הם ברורים רק כאשר הם קיימים במאגר הידע או ההתנסויות שלנו, אבל הם משתנים מיום ליום. איומי העולם המקוון משתנים ללא הרף והדרך הטובה ביותר להישאר מוגנים היא להיות מודעים שהם שם.
המסר העיקרי כאן הוא שהגנת המחשב מפני התקפה זדונית נוצרת על ידי מספר שכבות אבטחה. כל שרשרת אבטחה נמדדת לעד לפי החוליה החלשה ביותר שבה. נכון, מומלץ להתמגן בתוכנות אנטי וירוס ואנטי רוגלות חזקות וטובות, אך מומלץ שבעתיים להפעיל את הראש והשכל הישר בעת גלישה באינטרנט או שימוש במחשב. היו מודעים ואל תהיו לחוליה החלשה! הידע שלכם הוא כוח גם בעולם האינטרנט.
לפני שהצטרף ל- ESET עבד רנדי בחטיבת אבטחת המידע של מיקרוסופט במשך 12 שנים בפיתוח תהליכים שמטרתם למנוע ממיקרוסופט לשחרר תוכנות נגועות.