Socijalni inženjering kao prijetnja sigurnosti informacionih sistema

Abstract

Čovjek je najranjivija karika u lancu informacione sigurnosti, a socijalni inženjering je jedna od najznačajnijih prijetnji za sigurnost informacionih sistema. Prepoznajući ovu činjenicu, prva četiri istraživačka cilja završnog rada podrazumijevaju izlaganje osnovnih teorijskih postulata u vezi sa socijalnim inženjeringom kao prijetnji za sigurnost informacionih sistema (definicija pojma), objašnjenje različitih vrsta, a zatim i faza napada socijalnim inženjeringom, te načina odbrane od napada socijalnim inženjeringom. Peti istraživački cilj je da se izvrši analiza percepcije i zaštitnog ponašanja korisnika informacionih tehnologija u Bosni i Hercegovini prema prijetnjama od napada socijalnim inženjeringom na informacionu sigurnost. Metodologija istraživanja u ovom radu podrazumijeva kombinovanje pregleda već postojeće literature i sprovođenje empirijskog istraživanja. Pristup empirijskom istraživanju je kvantitativni - sastoji se od prikupljanja podataka kroz sprovođenje online ankete, analize podataka, te interpretacije rezultata i donošenja zaključka. Primarna kvantitativna istraživačka metoda korištena u radu je strukturalno modeliranje jednačina (eng. Structural Equation Modeling, SEM). Temeljni teoretski okvir za postavljanje hipoteza proizašao je iz Teorije motivacije za zaštitu (eng. Protection Motivation Theory, PMT). Posmatrano je šest latentnih konstrukata: percipirana ozbiljnost gubitaka, percipirana ranjivost, strah, motivacija za zaštitu, zaštitno ponašanje i obuka zaposlenih. Za donošenje odluke o statističkoj značajnosti veza među konstruktima korišteni su relevantni statistički pokazatelji, t-statistika i p-vrijednost. Potvrđene hipoteze pokazuju da percepcija ozbiljnosti mogućih gubitaka i ranjivosti korisnika statistički značajno pozitivno utiču na strah korisnika od napada socijalnim inženjeringom (H1 i H2). Takođe je utvrđeno da percipirana ozbiljnost potencijalnih gubitaka ima statistički značajnu ulogu u motivaciji korisnika za zaštitu od napada socijalnim inženjeringom (H4). Osim toga, motivacija korisnika za zaštitu od napada socijalnim inženjeringom pokazala se kao statistički značajan faktor koji pozitivno utiče na zaštitno ponašanje ispitanika (H6). Nadalje, potvrđeno je da sprovođenje obuke zaposlenih o sigurnosnim procedurama ima statistički značajan pozitivan uticaj na njihovo zaštitno ponašanje (H7). S druge strane, hipoteze H3 i H5 nisu prihvaćene jer analiza podataka nije otkrila statistički značajne korelacije između straha korisnika od napada socijalnim inženjeringom i njihove motivacije za zaštitu od napada, niti između percipirane ranjivosti korisnika i njihove motivacije za zaštitu. Potencijalno ograničenje sprovedenog empirijskog istraživanja ogleda se u tome što u obzir uzima subjektivne stavove ispitanika, odnosno anketa ne simulira stvarni strah koji bi ispitanici doživjeli da zaista postanu žrtva napada socijalnim inženjeringa. Uprkos navedenim ograničenjima, sprovedena anketa pokazala se kao validan izvor podataka za testiranje postavljenih hipoteza. Najzad, rad naglašava važnost kontinuirane edukacije i podizanja svijesti korisnika informacionih sistema. Nijedan informacioni sistem nikada ne može biti apsolutno (stopostotno) siguran, ali će biti bliži tom idealu ako se u obzir uzme i ljudski faktor kao ključna karika za uspješno očuvanje informacione sigurnosti.