|
Seznam oseb:
Podatki o osebi :
|
Seznam opreme:
Podatki o sredstvu :
|
Zaščita pisarne:
Ranljivost pisarne
|
Kadrovske zadeve:![]() ![]() Ukrepi za zmanjševanje ranljivosti: Some text1 in the Modal.. ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Pogledi: 3D pogled na pisarno Numerični prikaz ranljivosti ![]() ![]() |
Simulacija poteka tako, da se vrstijo dogodki, običajno napadi, ki lahko vplivajo na ranljivost organizacije.
Po vsakem uspešnem napadu se poslabšajo zaupnost, celovitost in razpoložljivost, torej trojček kriterijev o kibernetski varnosti.
Na desni strani imamo ukrepe, ki lahko tak napad preprečijo.
Po vsakem uspešnem napadu lahko uvedemo primeren varnostni ukrep, predvsem s kliki na ukrepe na desni strani.
Seveda bi lahko vse te ukrepe odklikali še pred pričetkom simulacije,a bi bili v tem primeru vsi napadi neuspešni in simulacija nesmiselna.
Izbrani osebi lahko dodelimo status administratorja neke opreme (tipično računalnika, ki ji ga dodelimo). Vendar pravica administratorja (računalnika, tiskalnika ipd) pomeni tudi določeno tveganje oziroma ranjivost, če oseba nima pravega IT znanja.
Bolj varno je, da uporabnikom statusa administratorjev ne dodelimo, pač pa to damo (tudi za osebne računalnike) "sistemcu", torej skrbniku IT, ki smo ga v pisarni nastavili.
Osebe lahko izberemo z miško in jih zaposlimo (ali pa prekličemo zaposlitev). Nekaj na levi strani oseb je "prostih". Tako osebo lahko izberemo in zaposlimo. Zaposlenim osebam lahko tudi prekinemo delovno razmerje.
Če zaposleno osebo "povlečemo" z miško iz območja pisarne, se šteje, da opravlja delo na daljavo (torej izven interne mreže).To pa je možno le, če smo v sistemu vključili možnost oddaljenega dostopa. Tako delo je varno le, če uporabljamo za komunikacijo šifrirane, torej zaščitene kanale. Če kanali niso zaščiteni. se črtkane linije do zunanjih sodelavcev pobarvajo rdeče. Sicer pa so "zunanji" sodelavci povezani z modrimi črtkanimi liniijami.
Če osebo premaknemo v področje pisarne, se šteje, da dela v okviru interne mreže.
V začetni konfiguraciji tudi ni nobenega skrbnika za informacijsko tehnologijo, ki bi skrbel za ustrezno zaščito sistema. Vse osebe nimajo enakega predznanja z informacijsko tehnologijo. Na "prostem trgu" je še več oseb in med njimi sta dve s potrebno računalniško izobrazbo (zelena in črna oseba). Eno od teh lahko zaposlimo za skrbnika IT. A pozor, črna oseba nima dobrih namenov (a tega ne moremo vedeti). Njegovi negativni nameni so razvidni iz njegove IT usposobljenosti, ki je sicer visoka, a ima negativni predznak.
Seveda
lahko za IT skrbnika zaposlimo tudi "navadno" osebo, a dokler ni
ustrezno usposobljena, s tem ne bomo kaj prida pridobili. "IT
usposabljanje" posameznikov simuliramo tako, da jim višamo številčni
parameter "IT znanje". Bolj ko je absolutna vrednost tega parametra
visoka, večje IT znanje ima taka oseba. Negativni predznak pa pomeni,
da bo to svoje znanje uporabljala v slabe namene (nezadovoljstvo v
pisarni, maščevalnost, pohlep,..)
V levem kotu lahko opazujemo, kaj se dogaja z ranljivostno naše pisarne. Opazujemo lahko stopnjo zaščite in ranljivosti ter stanje treh klasičnih parametrov kibernetske varnosti: zaupnost, celovitost in razpoložljivost. Grafični prikaz je bolj pregleden in predstavlja kvalitativno stanje. Možen pa je tudi numeričen, torej kvantitativni prikaz.
Pred samim začetkom simulacije se lahko igramo z nastavljanjem parametrov pisarne, oseb in opreme. Te lahko spreminjamo tudi med potekom simulacije.
Sicer pa predstavlja simulacija prehod od enega dogodka do drugega. Vsak dogodek (tipično poskus napada) povzroča v pisarni neke posledice. Simulacijo lahko tudi ponavljamo, morda z drugače nastavljenimi parametri.
Osebne in poslovne naprave
Možnost uporabe osebnih naprav za delo s pošto, dokumenti, video in
avdio klici zagotavlja mobilnost zaposlenih. Hkrati obstaja veliko
tveganje, da bo naprava izgubljena ali ogrožena, gesla ali osebni
podatki pa ukradeni.
Nepooblaščena uporaba informacij podjetja
Zunaj pisarne in zunaj omrežja podjetja skrbniki IT izgubijo nadzor nad
tem, kako se uporabljajo korporativne informacije – baze podatkov in
osebni podatki zaposlenih ter pravni in finančni dokumenti.
Na katere e-poštne naslove vaši zaposleni pošiljajo e-pošto? Kateri programi so kopirani ali nameščeni na službenih računalnikih? V katere aplikacije se nalagajo delovni dokumenti? Ali lahko informacije natisnejo tretje osebe ali jih uporabijo v nezakonite namene?
Napadi z lažnim predstavljanjem in vsiljeno
pošto, škodljive priponke
Na primer, med pandemijo, ko je večina zaposlenih v podjetju začela
delati na daljavo, se je stopnja lažnega predstavljanja povečala za 667
%. Gre za napade, ko oseba prejme elektronsko pošto z na videz varnimi
informacijami. Vsebuje povezavo, ki ob kliku uporabnika odpelje na
stran z zlonamerno kodo, ki zbira identifikacijske podatke za nadaljnjo
uporabo v nezakonite namene.
Nevarne in nepooblaščene aplikacije,
nameščene iz trgovine z aplikacijami
Najbolj ranljivi so brezplačni programi, ki jih uporabljamo za delo.
Zaposleni nameščajo aplikacije iz trgovin Apple Store in Google Play na
svoje službene naprave brez nastavitve varnostnih pravilnikov.
Posledično se lahko ukradejo pripomočki, dokumenti, prijave in gesla iz
računov.
Kaotični komunikacijski kanali in vstopne
točke v interno korporativno omrežje
Shranjevanje in posredovanje dokumentov tretjim osebam prek programov,
ki jih varnostna služba ni odobrila, je ena najpogostejših vrst
uhajanja korporativnih informacij.