Iššūkiai kibernetiniam saugumui: socialinė inžinerija institucinio izomorfizmo kontekste
| Date |
|---|
2020 |
Kibernetinės atakos sudėtingėja ir tampa vis labiau rafinuotos. Vis daugiau kibernetinių incidentų paremti manipuliavimu žmonėmis, jų silpnybėmis, siekiama apeiti informacijos apsaugos sistemas bei pavogti ir užvaldyti konfidencialią informaciją. Pastebimas socialinės inžinerijos metodais paremtų kibernetinių incidentų skaičiaus didėjimas. Tokia statistika verčia organizacijas reaguoti į pokyčius ir prisitaikyti prie vyraujančio institucinio lauko, tobulinti esamą teisinį reguliavimą. Straipsnio tikslas – išanalizavus socialinės inžinerijos sąvokos turinį ir tokio tipo kibernetinių atakų atsiradimo prielaidas bei kibernetinių incidentų valdymo reglamentavimą nacionalinėje teisėje, pateikti išvadas ir rekomendacijas kibernetinio saugumo reguliavimo tobulinimui institucinio izomorfizmo kontekste. Atlikta analizė atskleidė, jog šiuo metu Lietuvoje socialinės inžinerijos institucinis izomorfizmas nukreiptas tik į techninius kibernetinį saugumą užtikrinančius veiksnius, o žmogiškajam faktoriui skiriama nepakankamai dėmesio. Siekiant įveikti socialinės inžinerijos keliamus iššūkius išauga darbuotojų švietimo kibernetinio saugumo tematika poreikis. Augant socialinės inžinerijos rūšies kibernetiniams incidentams taip pat svarbu vadovautis gerąja praktika, kuri kartu su nacionalinės teisės aktais būtų įtvirtinta organizacijų kibernetinio saugumo politikoje, numatant aiškią kibernetinių incidentų valdymo procedūrą.
Cyber attacks are becoming more complex and sophisticated. More and more cyber incidents are based on manipulation of people and their weaknesses, the aim is to deceive information security systems, steal and seize confidential information. There has been an increase in the number of cyber incidents based on social engineering methods. Such statistics force organizations to respond to change and adapt to the prevailing institutional field, to improve the existing legal framework. The aim of the article is to present conclusions and recommendations for the improvement of cyber security regulation in the context of institutional isomorphism after analyzing the content of the concept of social engineering and the preconditions for the emergence of this type of cyber attacks and the regulation of cyber incident management in national law. The aim of the article is to analyze the content of the concept of social engineering and the preconditions for the occurrence of this type of cyber attacks and the regulation of cyber incident management in national law, to provide conclusions and recommendations for improving cyber security regulation in the context of institutional isomorphism. The analysis revealed that currently in Lithuania the institutional isomorphism of social engineering is focused only on the technical factors ensuring cyber security, and insufficient attention is paid to the human factor. In order to overcome the challenges posed by social engineering, the need to educate employees on cyber security is growing. Given the growth of social engineering cyber incidents, it is also important to follow good practices, which, together with national legislation, are enshrined in organizations' cyber security policies, with a clear cyber incident management procedure.