Professional Documents
Culture Documents
ФАКУЛТЕТ БЕЗБЕДНОСТИ
Београд, 2023
САДРЖАЈ
1. УВОД...............................................................................................3
2. ПСИХОЛОГИЈА САЈБЕР БЕЗБЕДНОСТИ...........................5
2. МОДЕЛИРАЊЕ ПРЕТЊЕ.........................................................7
3. СОЦИЈАЛНИ ИНЖЕЊЕРИНГ................................................9
3.1 Обука и свест...............................................................................13
3.2 Важност обуке и подизања свести о сајбер безбедности........13
3.3 Ефикасне методе обуке..............................................................13
4. УНУТРАШЊЕ ПРЕТЊЕ..........................................................15
4.1. Ублажавање унутрашњих претњи...........................................16
5. БЕЗБЕДНОСТ ЛОЗИНКЕ........................................................18
5.1 Кориснички интерфејс и употребљивост.................................20
5.2 Утицај културе на сајбер безбедност........................................22
6. БУДУЋНОСТ САЈБЕР-БЕЗБЕДНОСТИ КОЈЕ СЕ
ОДНОСИ НА ЉУДЕ......................................................................24
7. ЗАКЉУЧАК.................................................................................26
8.ЛИТЕРАТУРА..............................................................................27
2
1. УВОД
Поред тога, како употреба технологије постаје све присутнија у нашим личним и
професионалним животима, разумевање људског фактора у сајбер безбедности постало
је значајније него икад пре. Проучавајући начине на које се људско понашање укршта
са дигиталном безбедношћу, истраживачи и практичари могу развити ефикасније
безбедносне мере и бољу заштиту од претњи сајбер напада који се стално развија.
3
управљања лозинкама или могу постати жртве fishing (фишинг) напада који
искоришћавају њихово поверење и тактику социјалног инжењеринга. У другим
случајевима, инсајдери са злонамерном намером могу намерно да искористе
безбедносне слабости да украду податке или нанесу штету организацији.
4
2. ПСИХОЛОГИЈА САЈБЕР БЕЗБЕДНОСТИ
Емоције такође могу имати значајан утицај на сајбер безбедност. Страх, анксиозност и
друге емоције могу замаглити расуђивање и довести до импулсивних одлука које могу
угрозити безбедност. На пример, већа је вероватноћа да ће појединац кликнути на линк
у е-поруци за „пецање“ ако се осећа узнемирено или преоптерећено, чак и ако зна да
треба да буде опрезан. Разумевање како емоције могу утицати на доношење одлука је
кључно за развој ефикасних безбедносних протокола.
5
Разумевањем ових фактора, организације могу развити ефикасније безбедносне
протоколе који узимају у обзир психолошке аспекте сајбер безбедности.
Још један важан фактор који треба узети у обзир када се бавимо психологијом сајбер
безбедности је улога организационе културе. Култура организације може имати
значајан утицај на сајбер безбедност, јер обликује ставове и понашања запослених
према безбедносним праксама. На пример, организација која даје предност брзини и
ефикасности у односу на безбедност може ненамерно подстаћи запослене да користе
пречице које угрожавају безбедност. С друге стране, организација која цени безбедност
и пружа редовну обуку и подршку запосленима може бити успешнија у стварању
културе свести о сајбер безбедности. Поред организационе културе, важно је
размотрити и шири друштвени и културни контекст у коме сајбер безбедност делује.
Ово може укључивати проучавање утицаја културних норми на безбедносне праксе
или разматрање начина на које пол или старост могу утицати на ставове према сајбер
безбедности. Препознавањем ових ширих фактора, организације могу развити
ефикасније безбедносне протоколе који узимају у обзир различитост људских
искустава и перспектива.
6
укључивати редовно преиспитивање и ажурирање безбедносних протокола, улагање у
сталну обуку запослених и програме подизања свести, и ангажовање са широм
истраживачком заједницом како би били у току са новим увидима и најбољим
праксама. Суштински, овај домен безбедности и одбране од сајбер напада нзахтева
свеобухватан приступ који узима у обзир како организациону културу тако и
друштвени и културни контекст, и текућа истраживања и прилагођавање.
2. МОДЕЛИРАЊЕ ПРЕТЊЕ
7
аутентификација, што може помоћи у спречавању неовлашћеног приступа осетљивим
информацијама или системима.
8
стварају рањивости. Дизајнирањем безбедносних контрола које су лаке за корисника и
које се неприметно интегришу у ток посла, организације могу помоћи да се осигура да
ће запослени вероватније поштовати безбедносне протоколе и смањити ризик од сајбер
претњи.
3. СОЦИЈАЛНИ ИНЖЕЊЕРИНГ
9
Један уобичајени пример социјалног инжењеринга је fishing (фишинг). Fishing
(фишинг) је облик(форма) социјалног инжењеринга у којем нападач покушава да
преваром дође до поверљивих информација од жрвте, лажно се представљајући као
страна од поверења (Jagatic et al., 2005). У fishing (фишинг) нападу, нападач шаље е-
пошту или поруку за коју се чини да долази из легитимног извора, као што је банка или
продавац на мрежи. Порука обично садржи везу или прилог који, када се кликне,
инсталира малвер на уређај жртве или води жртву на лажну страницу за пријављивање
где се од ње тражи да унесе своје акредитиве за пријаву. Нападач тада може да користи
ове акредитиве да добије неовлашћени приступ налогу жртве. Такозвано Пецање
(fishing) је једна од најчешћих и најефикаснијих техника социјалног инжењеринга које
користе приликом сајбер напада. То укључује слање лажних е-порука или порука за
које се чини да долазе из легитимног извора, као што је банка, платформа друштвених
медија или онлајн продавац, у покушају да се прималац превари да открије осетљиве
информације, као што су акредитиви за пријаву или личне идентификационе
информације.
Техничкa контролa
10
Вишефакторска аутентификација
11
Baiting (бејтинг) је још једна техника социјалног инжењеринга која укључује
намамљивање жртве нечим вредним како би се добиле њихове осетљиве информације
или приступ њиховом систему. На пример, нападач може оставити УСБ диск који
садржи малициозни програм на јавном месту, као што је кафић. Ако неко подигне УСБ
диск и убаци га у свој уређај, малициозни програм ће бити инсталиран и нападач ће
моћи да приступи њиховом систему. Fishing (фишинг), лажно представљање и мамац
само су неки од примера техника социјалног инжењеринга. Друге технике
укључују ,,quid pro quo”(услуга за услугу), где нападач нуди нешто од вредности у
замену за осетљиве информације. Tailgaiting (тејлгејтинг)је врста напада социјалног
инжењеринга где неовлашћена особа добија физички приступ недозвољеној локацији
— можда области заштићеној лозинком — где могу украсти осетљиве информације,
оштетити имовину, компромитовати корисничке акредитиве или чак инсталирати
маициозни програм на рачунаре. Социјални инжењеринг је техника коју користе сајбер
криминалци да искористе људске рањивости и добију неовлашћени приступ системима
или осетљивим информацијама. Разумевањем техника које се користе у нападима
социјалног инжењеринга и едукацијом запослених о томе како да их идентификују и
избегну, организације могу помоћи у спречавању ових врста напада и заштитити своје
податке и системе. Нападе социјалног инжењеринга је тешко открити јер се ослањају
на људске рањивости, а не на техничке рањивости система или мрежа. Међутим,
постоји неколико корака које организације могу предузети да би се заштитиле од
напада социјалног инжењеринга. Један важан корак је да се запосленима обезбеди
редовна обука о безбедности. Ова обука треба да обухвати различите врсте напада
социјалног инжењеринга и да пружи упутства о томе како да их идентификујемо и
избегнемо. Запослени такође треба да буду поучени о важности да никада не деле
осетљиве информације, као што су акредитиви за пријаву или личне идентификационе
информације, путем телефона или е-поште, осим ако нису апсолутно сигурни у
идентитет особе која тражи информације.
Организације такође могу применити техничку контроле како би спречиле нападе
социјалног инжењеринга. На пример, филтери за е-пошту могу да се користе за
откривање и блокирање фишинг порука е-поште пре него што стигну у пријемно
сандуче запослених. Вишефакторска аутентификација се такође може користити да би
отежало нападачима приступ системима или мрежама користећи украдене акредитиве.
12
Организације могу да развију и тестирају планове реаговања на инциденте како би се
уверили да су припремљени да одговори на напад социјалног инжењеринга ако до њега
дође. Ово укључује идентификацију заинтересоване стране, успостављање
комуникационих протокола и вежбање одговора процедура кроз редовне стоне вежбе.
Социјални инжењеринг је техника коју користе сајбер криминалци да експлоатишу
људске рањивости да би остварили неовлашћени приступ системима или осетљивим
информацијама.
Организација заправо побољшава своју безбедност тако што се фокусира више на људе
и њихов рад, а мање на технологију. Ово може да се постигне на различите начине:
путем представљања свесности о безбедности свим запосленима, извођењем обуке,
побољшавањем безбедносне културе у организацији и константим ојачавањем и
награђивањем запослених који промовишу безбедност (Tipton et al., 2006). Обука и
свест играју кључну улогу у заштити организација од сајбер претњи. Запослени су
често прва линија одбране од сајбер напада и, као такви, кључно је да имају знања и
вештине да идентификују потенцијалне претње и одговоре на њих.
13
Постоји неколико ефикасних метода обуке које организације могу да користе за
едукацију запослених о најбољим праксама сајбер безбедности:
14
Обука и свест су кључне компоненте сваког ефикасног програма сајбер безбедности.
Едукација запослених о најбољим праксама за сајбер безбедност и обезбеђивање
редовне обуке и кампање подизања свести, организације могу смањити ризик од
безбедносних инцидената и боље заштитити њихове системе и податке.
15
4. УНУТРАШЊЕ ПРЕТЊЕ
16
системе само оним запосленима којима су потребни за обављање радних
функција.
Праћење и ревизија: Примена система за праћење и ревизију може помоћи да се
открије било шта сумњиве активности, као што је неовлашћени приступ или
ексфилтрација података.
Обука и подизање свести: Пружање редовне обуке и кампања подизања свести
запослених на важност најбоље праксе за сајбер безбедност и потенцијалне
последице инсајдера претње могу помоћи у ублажавању овог ризика.
Спровођење безбедносних контрола: Спровођење техничких безбедносних
контрола, као што су заштитни зидови, системи за откривање упада и системи
за спречавање губитка података могу помоћи у спречавању или откривању
унутрашње претње.
Стварање културе безбедности: Стварање културе безбедности унутар
организације, где запослени се подстичу да пријаве сваку сумњиву активност и
преузму власништво над својом улогом заштита осетљивих података, може
помоћи у смањењу ризика од инсајдерских претњи. Безбедносна култура је скуп
усвојених ставова, знања, вештина и правила из области безбедности
испољених као понашање и процес, о потреби, начинима и средствима заштите
личности, друштвених и међународних вредности од свих извора, облика и
носилаца угрожавања без обзира на мести или време њиховог испољавања
(Стајић и други, 2004).
5. БЕЗБЕДНОСТ ЛОЗИНКЕ
18
Још један уобичајени проблем је поновна употреба лозинке, где корисници користе
исту лозинку на више налога. Ово је посебно проблематично јер ако је једна лозинка
угрожена, она се може користити за приступ вишеструким налозима. Ово може
резултирати значајним кршењем података и финансијским губицима како за појединце
тако и за организације.
19
Аутентификација без лозинке користи различите факторе аутентификације као што су
биометријска аутентификација (препознавање лица, скенирање отиска прста, итд.) или
аутентификација заснована на токенима (паметне картице, УСБ кључеви, итд.) за
аутентификацију корисника. Ово може помоћи у ублажавању ризика повезаних са
слабим лозинкама, поновном употребом лозинке и дељењем лозинке.
20
Кориснички интерфејси (УИ) играју кључну улогу у сајбер безбедности јер су
примарно средство помоћу којег корисници комуницирају са рачунарским системима и
апликацијама. Лоше дизајниран кориснички интерфејс може створити рањивости које
могу да искористе сајбер нападачи, док добро дизајниран кориснички интерфејс може
помоћи у ублажавању ових ризика и побољшању укупне безбедности система.
21
корисничког интерфејса морају да настоје да креирају интерфејсе који су јасни,
интуитивни и тачно одражавају намеравану акцију, док истовремено примењују
ефикасне безбедносне мере које штите кориснике и спречавају неовлашћени приступ.
Успостављањем равнотеже између употребљивости и сигурности, организације могу
побољшати укупну сигурност својих система истовремено осигуравајући позитивно
корисничко искуство.
22
употребљивости и безбедности. Узимајући у обзир контекст корисника, пружајући
повратне информације, уграђујући најбоље праксе и блиско сарађујући са
професионалцима за безбедност, дизајнери корисничког интерфејса могу помоћи да се
ублаже безбедносни ризици и побољша укупна безбедност система.
Култура може да игра значајну улогу у сајбер безбедности, јер различите културне
вредности, веровања и ставови могу утицати на то како појединци перципирају и
реагују на безбедносне претње. На пример, у неким културама, дељење личних
података може бити уобичајеније и прихваћеније него у другим, што може повећати
ризик да постанете жртва пхишинг-а или напада социјалног инжењеринга. Поред тога,
културолошке разлике у стиловима комуникације и хијерархијама могу утицати на то
како запослени пријављују безбедносне инциденте или комуницирају са ИТ
одељењима. Приликом осмишљавања безбедносних мера, важно је узети у обзир
културолошке факторе и прилагодити безбедносне политике и обуку тако да буду
културолошки прикладни. Ово може укључивати обезбеђивање материјала за обуку на
различитим језицима, укључивање културних референци у кампање подизања свести о
безбедности или прилагођавање политика у складу са културним нормама.
Препознавањем и бављењем културним разликама, организације могу побољшати
ефикасност својих мера сајбер безбедности и смањити ризик од безбедносних
инцидената.
23
Друго разматрање је потенцијални утицај културних предрасуда на моделирање
претњи и процену ризика. Стручњаци за безбедност морају бити свесни сопствених
културних предрасуда и претпоставки, јер оне могу утицати на то како идентификују и
процењују потенцијалне претње. Поред тога, културолошке разлике могу утицати на то
како се одређене врсте напада перципирају и на њих се реагује. На пример, у неким
културама може се сматрати табуом пријављивање безбедносног инцидента спољним
властима, што може довести до кашњења у времену реаговања или недовољног
пријављивања инцидената.
ЉУДЕ
Област сајбер безбедности усмерене на човека брзо се развија, јер истраживачи настоје
да боље разумеју сложену интеракцију између технологије и људског понашања. Како
технологија наставља да напредује, претње сајбер безбедности такође постају све
софистицираније, што покреће потребу за новим и иновативним приступима
безбедности.
24
као што су откривање и блокирање покушаја крађе идентитета, ослобађање ресурса за
сложеније безбедносне изазове.
Штавише, како свет постаје све више међусобно повезан, значај глобалне сарадње у
сајбер безбедности наставиће да расте. Различите културе и земље могу имати
различите ставове према сајбер безбедности и приватности, што ће захтевати
нијансираније разумевање културних разлика и начина на који оне утичу на сајбер
25
безбедност. Као такви, међународни стандарди и смернице за сајбер безбедност
постаће све важнији како би се осигурало да се глобалне безбедносне претње решавају
на координисан и ефикасан начин.
Коначно, све већа употреба мобилних уређаја и Интернета ствари (ИоТ) такође ће
представљати нове изазове и могућности за сајбер безбедност усредсређену на човека.
Како се све више уређаја повезује на интернет, тако ће се повећати и потенцијална
површина напада за сајбер криминалце. Ово ће захтевати нове приступе обезбеђењу
уређаја и система који чине ИоТ, као и нове стратегије за едукацију корисника о
ризицима и најбољим праксама у вези са овим технологијама.
26
7. ЗАКЉУЧАК
Људски фактор игра кључну улогу у сајбер безбедности. Како сајбер претње постају
све софистицираније и распрострањеније, јасно је да технологија сама по себи не може
да пружи потпуно решење за ове изазове. Уместо тога, потребан је приступ сајбер
безбедности усмерен на човека, који узима у обзир сложене и често непредвидиве
начине на које људско понашање може утицати на безбедност дигиталних система.
У овом раду истражили смо низ тема везаних за људски фактор у сајбер безбедности,
укључујући психологију сајбер безбедности, друштвени инжењеринг, моделирање
претњи, инсајдерске претње, безбедност лозинки, кориснички интерфејс и
употребљивост, и утицај културе на сајбер безбедност. безбедност. Свака од ових
области наглашава начине на које људско понашање може допринети и рањивости и
отпорности дигиталних система.
27
8. ЛИТЕРАТУРА
Dhamija, R., Tygar, J. D., & Hearst, M. A. (2006). Why phishing works. In
Proceedings of the SIGCHI Conference on Human Factors in Computing Systems
(pp. 581-590). ACM.
Kirlappos, I., Parkin, S., & Sasse, M. A. (2016). Not all warnings are equal: Exploring
the characteristics of computer security warnings. International Journal of Human-
Computer Studies, 93, 1-17.
Mitnick, K. D., & Simon, W. L. (2002). The art of deception: Controlling the human
element of security. John Wiley & Sons.
National Institute of Standards and Technology. (2017). NIST special publication
800-53: Security and privacy controls for federal information systems and
organizations.
Nguyen, T. D., Nguyen, Q. H., & Thai, M. T. (2016). Human factors in information
security: The insider threat–a review. Journal of Information Security and
Applications, 28, 145-152.
Sasse, M. A., Brostoff, S., & Weirich, D. (2001). Transforming the weakest link: A
human/computer interaction approach to usable and effective security. BT technology
journal, 19(3), 122-131.
Sheng, S., Holbrook, M., Kumaraguru, P., & Cranor, L. F. (2010). Who falls for
phishng: A demographic analysis of phishing susceptibility and effectiveness of
interventions. In Proceedings of the SIGCHI Conference on Human Factors in
Computing Systems (pp. 373-382). ACM.
Vance, A., Siponen, M., & Pahnila, S. (2012). Motivating IS security compliance:
insights from habit and protection motivation theory. Information & Management,
49(3-4), 190-198.
Von Solms, R., & Von Solms, S. H. (2004). From information security to cyber
security. Computers & Security, 23(8), 638-643.
Whitman, M. E., & Mattord, H. J. (2017). Management of Information Security.
Cengage Learning.
Мандић, Г., Станојевић, П. (2021). Корпоративна безбедност. Београд:
Универзитет у Београду-Факултет безбедности.
Стајић, Љ., (2003). Основи безбедности. Београд: Полицијска академија.
28