Co je sociální inženýrství?

Bezpečnost je jen tak účinná, jak silný je její nejslabší článek. V rámci informační bezpečnosti platí, že nejslabším prvkem systému je jeho uživatel (typicky zaměstnanec společnosti). Pro útočníky je výhodnější, aby se místo překonávání složitých technických opatření pokusili docílit svého pomocí tzv. sociálního inženýrství – „manipulace lidí pomocí klamů za účelem získání informací nebo provedení akce.“

V rámci řízení informační bezpečnosti jsou totiž zaměstnanci, i navzdory uvedenému, často zanedbáváni. Možným důvodem může být, že se manažeři zodpovědní za její řízení zaměřují spíše na technologie (ochranný software), protože se jedná často o experty s technickým zaměřením.

Není tedy výjimkou, že zaměstnanci nerozpoznají čím dál propracovanější phishingové útoky, nejsou dostatečně obezřetní ohledně neznámých flash disků a jiných paměťových zařízení nebo nedodržují pravidla pro zničení dat. Může se také stát, že zaměstnanci případný bezpečnostní incident raději ani nenahlásí svému nadřízenému a útočník tak získá i časovou výhodu.

Kvalitní systém řízení informační bezpečnosti však s riziky “lidského faktoru” počítá a je způsobilý je minimalizovat, např. pomocí pravidelných srozumitelných školení pro zaměstnance.