Μια εταιρεία ξοδεύει πολλά χρήματα σε συστήματα ελέγχου πρόσβασης (access control), κάμερες υψηλής ευκρίνειας και βιομετρικά σκάνερ. Μερικούς μήνες μετά, ένας “εισβολέας” καταφέρνει να φτάσει μέχρι το γραφείο του Διευθύνοντος Συμβούλου και να καθίσει στην καρέκλα του. Πώς το έκανε; Δεν χρησιμοποίησε hacking εργαλεία. Φορούσε ένα γιλέκο εργασίας, κρατούσε μια σκάλα και περπατούσε με αυτοπεποίθηση. Καλωσορίσατε στον κόσμο του Physical Red Teaming και στην ψυχολογία της κοινωνικής συμμόρφωσης.
Ο Κανόνας του “Clipboard & Coffee”
Στον κλάδο της ασφάλειας υπάρχει ένας άγραφος κανόνας: Αν κρατάς ένα ντοσιέ (clipboard), ένα εργαλείο ή δύο καφέδες στα χέρια και φαίνεσαι βιαστικός, οι άνθρωποι δεν θα σε σταματήσουν. Αντιθέτως, θα σου ανοίξουν την πόρτα. Ο εγκέφαλός μας είναι προγραμματισμένος να κάνει γνωστικές συντομεύσεις (cognitive shortcuts). Όταν βλέπουμε ένα “σκηνικό” που βγάζει νόημα (ένας τεχνικός που ήρθε να φτιάξει το Wi-Fi, ένας κούριερ με ένα δέμα), η κριτική μας σκέψη απενεργοποιείται. Δεν βλέπουμε την απειλή, βλέπουμε τον “ρόλο”.
Η Παγίδα της “Κοινωνικής Ευγένειας” (Social Compliance)
Οι κακόβουλοι δράστες (social engineers) εκμεταλλεύονται την καλύτερη πλευρά της ανθρώπινης φύσης: την ευγένειά μας. Η κοινωνία μας έχει εκπαιδεύσει να βοηθάμε αυτόν που κρατάει βαριά κουτιά (Tailgating) και να αποφεύγουμε τη σύγκρουση (να ρωτήσουμε δηλαδή “συγγνώμη, εσείς ποιος είστε;”). Τα πιο ακριβά συστήματα ασφάλειας καταρρέουν καθημερινά, απλώς και μόνο επειδή ένας υπάλληλος ντράπηκε να κλείσει την πόρτα στο πρόσωπο κάποιου που ερχόταν από πίσω του.
Πώς η United Security “Χακάρει” την Ανθρώπινη Φύση
Για να προστατεύσεις μια εγκατάσταση από αυτή την ψυχολογική παγίδα, δεν χρειάζεσαι απλώς έναν φύλακα. Χρειάζεσαι έναν επαγγελματία που έχει εκπαιδευτεί να ξεπερνά το κοινωνικό ένστικτο της ευγένειας με επαγγελματισμό. Στην United Security, το προσωπικό μας εκπαιδεύεται στην “Ενεργή Αμφισβήτηση” (Active Challenging). Μαθαίνουν να διαχωρίζουν την εικόνα από την πρόθεση. Μαθαίνουν πώς να σταματούν τον φαινομενικά “βιαστικό τεχνικό” ή τον “θυμωμένο διευθυντή που ξέχασε την κάρτα του”, εφαρμόζοντας τα πρωτόκολλα ταυτοποίησης με απόλυτη ευγένεια, αλλά με μηδενικές εξαιρέσεις.
Είστε όσο ασφαλείς νομίζετε;
Αν αύριο το πρωί, ένας άγνωστος με μια στολή ταχυμεταφορών και δύο καφέδες στα χέρια έφτανε στην είσοδο της εταιρείας σας πίσω από έναν υπάλληλό σας… θα έφτανε μέχρι τον σέρβερ σας; Μην αφήνετε την ασφάλεια των δεδομένων και των ανθρώπων σας στην “ευγένεια” της στιγμής. Απαιτήστε επαγγελματική φρούρηση που κατανοεί τα κενά της ανθρώπινης ψυχολογίας.
