Είναι συμβατά η ηθική και η κοινωνική μηχανική; –

0
Είναι συμβατά η ηθική και η κοινωνική μηχανική; –

Πολλοί άνθρωποι υποθέτουν ότι ως επαγγελματίες κοινωνικοί μηχανικοί (SE) χρησιμοποιούμε ΚΑΘΕ δυνατή μέθοδο για να πετύχουμε τον στόχο μας. Με έχουν ρωτήσει: «Αν συμπεριφέρεσαι σαν κακοί, γιατί πρέπει να έχεις κανόνες;» και „πώς θα είναι ρεαλιστικό αν εφαρμόσετε ηθική στην εκπαίδευσή σας;“ Αυτό εγείρει ένα σημαντικό ερώτημα. Είναι συμβατά η ηθική και η κοινωνική μηχανική; Για να απαντήσουμε σε αυτό, ας εξερευνήσουμε μερικά σενάρια. Πρώτον, μια δέσμευση χωρίς κώδικα δεοντολογίας. Δεύτερον, μια δέσμευση που εφαρμόζει έναν κώδικα δεοντολογίας. Αυτό θα μας επιτρέψει να καθορίσουμε ποιο θα προσφέρει τα καλύτερα αποτελέσματα. Σε κάθε σενάριο θα δούμε επίσης πώς επηρεάζονται το άτομο που εξετάζεται και το άτομο που κάνει τη δοκιμή.

συμβατή ηθική και κοινωνική μηχανική

Χωρίς Κώδικα Δεοντολογίας

Στο πρώτο μας σενάριο, ας προσποιηθούμε ότι ένας πελάτης μας προσέλαβε για να κάνουμε phishing και vishing για να δοκιμάσουμε τους υπαλλήλους της εταιρείας τους. Μας ζήτησαν να βρούμε προφάσεις πραγματικής ζωής. Θέλουν οι δοκιμές να είναι όσο το δυνατόν πιο ρεαλιστικές. Μπαίνουμε στην προοπτική του επιθετικού μας. Τι θα έκαναν οι κακοί; Θα εκμεταλλεύονταν τον φόβο ενός ατόμου για να τον κάνουν να ενεργήσει με έναν τρόπο που συνήθως δεν το έκαναν. Στη συνέχεια, βρίσκουμε ένα ακραίο πρόσχημα που βασίζεται στον φόβο: Ένα email από το αφεντικό που ζητά από τον υπάλληλο να εισαγάγει τα διαπιστευτήριά του σε μια «νέα πύλη ανθρώπινου δυναμικού» διαφορετικά δεν θα πληρωθούν εκείνον τον μήνα.

Πολλοί άνθρωποι εργάζονται από μισθό σε μισθό και αντιμετωπίζουν οικονομικές δυσκολίες. Σκεφτείτε ότι ο μόνος γονέας εξαρτάται από αυτόν τον μισθό για να πληρώσει το ενοίκιο. Κάνουν κλικ στον σύνδεσμο και εισάγουν τα στοιχεία τους, τι θα θυμούνται από αυτή την άσκηση; Πώς θα νιώθουν μετά; Το πιο σημαντικό, ποιο ήταν το μάθημα που πήραμε; Είναι πολύ πιθανό όταν μάθουν ότι απέτυχαν σε αυτό το τεστ, οι εργαζόμενοι να αισθανθούν δυσαρέσκεια προς την εταιρεία τους και δυσπιστία προς το τμήμα ασφάλειας πληροφορικής.

Η εκμετάλλευση του σπλαχνικού φόβου κάποιου ότι δεν μπορεί να εξασφαλίσει την οικογένειά του δεν είναι πολύ αποτελεσματική όταν πρόκειται να προσφέρει μια διαρκή μαθησιακή εμπειρία.

Εφαρμογή του Κώδικα Δεοντολογίας

Στο δεύτερο σενάριο μας, η ιδέα πίσω από τη δοκιμή είναι η ίδια: να εκτελέσουμε μια ρεαλιστική επίθεση προσομοίωσης phishing και vishing και να βελτιώσουμε τη στάση ασφαλείας της εταιρείας. Και πάλι, μπαίνουμε σε λειτουργία επιτιθέμενου. Η ιδέα της χρήσης ενός πρόσχημα που βασίζεται στον φόβο είναι το πρώτο πράγμα που έρχεται στο μυαλό. Στη συνέχεια σταματάμε και σκεφτόμαστε, πώς θα έκανε αυτό να αισθάνεται ο στόχος που επιδιώκουμε; Ποιες θα ήταν οι επιπτώσεις αν απειλούσαμε ένα άτομο να χάσει τη δουλειά του; Και θα είχαμε προσφέρει μια διαρκή μαθησιακή εμπειρία; Καθώς εξετάζουμε αυτές τις ερωτήσεις, καταλήγουμε στο συμπέρασμα ότι πρέπει να σκεφτούμε λίγο πιο σκληρά για να καταλήξουμε σε ιδέες προσχημάτων που είναι ρεαλιστικές αλλά ηθικές.

Είναι συμβατά η ηθική και η κοινωνική μηχανική;

Η εφαρμογή της ηθικής μας δίνει τη δυνατότητα να είμαστε ενσυναίσθητοι. Η ενσυναίσθηση μάς επιτρέπει να μπαίνουμε στη θέση των υπαλλήλων που δοκιμάζονται και να αναρωτηθούμε: πώς θα ένιωθα αν μου υποσχέθηκαν ένα τόσο απαραίτητο μπόνους μόνο για να μάθουμε ότι ήταν απλώς ένα τεστ phishing; Πιθανότατα, δεν θα σκεφτόμασταν το μάθημα που θα πάρουμε, αλλά το πώς νιώθαμε εξαπατημένοι.

Η χρήση προφάσεων που δεν επηρεάζουν συναισθηματικά το άτομο μας δίνει τη δυνατότητα να παρέχουμε μια διδακτική στιγμή που επικεντρώνεται στην εκπαίδευση που παρέχουμε.

Ο Κώδικας Δεοντολογίας Κοινωνικής Μηχανικής επιτυγχάνει σημαντικούς στόχους

Ο Κώδικας Δεοντολογίας Κοινωνικής Μηχανικής επιτυγχάνει αυτούς τους τρεις σημαντικούς στόχους:

  • Προωθεί τον επαγγελματισμό στον κλάδο.
  • Καθιερώνει ηθική και πολιτικές που υπαγορεύουν πώς να είσαι επαγγελματίας SE.
  • Παρέχει καθοδήγηση σχετικά με τον τρόπο διεξαγωγής μιας επιχείρησης κοινωνικής μηχανικής.

Οι πελάτες επωφελούνται από τον Κώδικα Δεοντολογίας

Η κατοχή ενός κώδικα δεοντολογίας ως οδηγός μας ωφελεί τους πελάτες μας και τους υπαλλήλους τους. Έχουν το κεφάλι τους ήσυχο γνωρίζοντας ότι δεν θα υποβάλουμε τους υπαλλήλους τους σε δοκιμασίες που περιλαμβάνουν συναισθηματικά βλαβερές ή αποθαρρυντικές προφάσεις. Ο στόχος (εργαζόμενος) επωφελείται επίσης καθώς παρέχουμε μια ρεαλιστική και ασφαλή εμπειρία μάθησης.

Οι Κοινωνικοί Μηχανικοί Επωφελούνται από τον Κώδικα Δεοντολογίας

Η SE που κάνει τη δουλειά ωφελείται επίσης κατά την εφαρμογή της ηθικής. Shelby Dackoένα από τα πιο έμπειρα μέλη της ομάδας των vishing είπε τα εξής:

«Έχω εφαρμόσει την ηθική με διάφορους τρόπους στις επισκέψεις μου στο vishing. Για παράδειγμα, μερικές φορές έχουμε ανθρώπους στη γραμμή που έχουν μια πολύ κακή μέρα. Σε αυτές τις περιπτώσεις, μου αρέσει να επικεντρώνομαι στο να τους κάνω να νιώθουν καλύτερα. Όσο εξακολουθούν να είναι ο στόχος μου, οι σημαίες γίνονται δευτερεύουσες. Είμαστε εδώ για να κάνουμε τους ανθρώπους πιο ασφαλείς και να νιώθουν καλύτερα που μας γνώρισαν, όχι να τους γκρεμίσουμε ενώ είναι ήδη κάτω. Τους κάνει να νιώθουν καλύτερα και τους ανακουφίζει να έχουν κάποιον να μιλήσουν. Με ωφελεί επίσης γιατί, αν και η δουλειά μου είναι να τους δοκιμάζω, και πρέπει να το ακολουθήσω, δεν το κάνω με τρόπο που θα επηρεάσει αρνητικά το άτομο. Αυτό με βοηθά να νιώθω καλά για τη δουλειά που κάνω».

Η ηθική μας κάνει καλύτερους επαγγελματίες

Είναι συμβατά η ηθική και η κοινωνική μηχανική; Λέμε ανεπιφύλακτα ναι! Το να είμαστε ηθικοί μας κάνει καλύτερους επαγγελματίες. Είναι πιο εύκολο να πετύχετε έναν συμβιβασμό ή ένα «κλικ» χρησιμοποιώντας τα πιο τρομακτικά προσχήματα. Χρειάζεται όμως εφευρετικότητα και χρήση τεχνικών όπως η εκμάθηση και η οικοδόμηση σχέσεων (μεταξύ άλλων) για την εξαγωγή πληροφοριών και την επιρροή των ανθρώπων με τρόπο που τους αφήνει να αισθάνονται καλύτερα που μας γνώρισαν.

Κάποιοι μπορεί να πουν ότι οι κακοί ηθοποιοί δεν δείχνουν ενσυναίσθηση, οπότε γιατί να το κάνουμε εμείς; Η απάντηση είναι απλή: δεν είμαστε οι κακοί. Όσο συναρπαστικό κι αν είναι να έχουμε την ικανότητα να επηρεάζουμε και/ή να χειραγωγούμε άλλους, στόχος μας είναι να εκπαιδεύουμε και να εκπαιδεύουμε τους πελάτες μας ώστε να μπορούν να είναι πιο ασφαλείς στο χώρο εργασίας τους, καθώς και στην προσωπική τους ζωή. Ένας ηθικός κοινωνικός μηχανικός δεν θα επιδείκνυε ποτέ τις δεξιότητές του σε βάρος της αξιοπρέπειας κάποιου άλλου. Όταν έχουμε ενσυναίσθησημελετάμε και υποδυόμαστε τους κακούς, αλλά ποτέ γίνουν αυτοί.

Ένας Κώδικας Δεοντολογίας που βασίζεται στην Ενσυναίσθηση

Ο κώδικας δεοντολογίας μας εδράζεται στην ενσυναίσθηση. Όταν φανταζόμαστε πώς θα ένιωθε ο στόχος μας, μπορούμε να δημιουργήσουμε μια πραγματική εμπειρία μάθησης. Αν αφήσουμε τον στόχο μας εξαιρετικά αναστατωμένοι ή απογοητευμένοι, θα επικεντρωθούν στο πόσο τρομερά νιώθουν αντί στο μάθημα που θέλουμε να πάρουν. Από την άλλη πλευρά, η χρήση ενσυναίσθησης κατά τον σχεδιασμό και την εκτέλεση μιας επίθεσης προσομοίωσης αντιπάλου διασφαλίζει ότι φεύγουμε από τον στόχο με θετική νοοτροπία. Αυτό έχει ως αποτέλεσμα μια πιο αποτελεσματική μέθοδο δοκιμών και εκπαίδευση.

Θέλετε να κάνετε την επιχείρησή σας πιο ασφαλή; Οι διαχειριζόμενες υπηρεσίες μας εντοπίζουν τον κίνδυνο και αξιολογούν την ευπάθεια στο ανθρώπινο δίκτυο του οργανισμού σας. Για περισσότερες πληροφορίες σχετικά με τις υπηρεσίες που προσφέρουμε, επισκεφθείτε την ιστοσελίδα μας Social-Engineer.com.

Στην Social Engineer LLC, σκοπός μας είναι να φέρουμε εκπαίδευση και ευαισθητοποίηση σε όλους τους χρήστες της τεχνολογίας. Για μια λεπτομερή λίστα των υπηρεσιών μας και για το πώς μπορούμε να σας βοηθήσουμε να επιτύχετε τους στόχους σας για πληροφορίες/ασφάλεια στον κυβερνοχώρο, επισκεφθείτε:

https://www.Social-Engineer.com/Managed-Services/

Γραμμένο από Ρόουζ Ρόουλς

εικόνες
https://www.wired.com/story/how-we-learn-computer-science-ethics/
https://www.tabb.org/code_of_ethics.php

Schreibe einen Kommentar