Nors technologijos nuolat tobulėja, žmogiškosios psichologijos silpnybės išlieka pagrindiniu kibernetinių nusikaltėlių ginklu. Naujausi tyrimai atskleidžia stulbinamą tiesą apie tai, kodėl net išmaniausi iš mūsų tampa aukomis.
Ankstų 2024 metų vasario rytą finansų analitikė Ieva sulaukė skambučio iš bendrovės IT administratoriaus. Skambintojas paaiškino, kad įmonės sistemose aptikta neįprasta veikla, susijusi su jos paskyra, ir paprašė patvirtinti savo tapatybę siunčiamu kodu. Ieva, skubėdama į svarbų susitikimą, neabejodama padiktavo gautą kodą. Per kitas 48 valandas iš įmonės sąskaitų buvo pervesta 127,000 eurų.
Tai, kas atrodo kaip neįtikėtinas nerūpestingumas, iš tiesų yra tikslingai išnaudojama žmogiškosios psichologijos spraga. Naujausi kognityvinės psichologijos tyrimai rodo, kad 88% sėkmingų kibernetinių atakų įvyksta ne dėl technologinių spragų, o dėl to, ką specialistai vadina „žmogiškąja inžinerija”.
Skaičiai, kurie neduoda ramybės
Lietuvos kibernetinio saugumo centras praneša, kad 2023 metais socialinės inžinerijos atakų skaičius išaugo 43% lyginant su ankstesniais metais. Dar labiau neramina tai, kad aukštesnio išsilavinimo žmonės, kurie teoriškai turėtų būti atsparesni tokioms atakoms, 32% dažniau nei vidutiniškai tapo sukčių taikiniais.
„Stebime paradoksalią situaciją – kuo labiau technologiškai išprusęs žmogus, tuo didesnė tikimybė, kad jis taps sudėtingesnių socialinės inžinerijos atakų auka,” – paaiškina kibernetinės psichologijos ekspertė prof. dr. Rūta Navickienė. „Tai susiję su vadinamuoju ‘technologinio imuniteto’ iliuzija, kai žmonės pervertina savo gebėjimą atpažinti grėsmes.”
Dar vienas stulbinantis skaičius iš „IBM Security” metinės ataskaitos: net 95% kibernetinio saugumo incidentų įvyksta dėl žmogiškosios klaidos. Vidutinė tokių incidentų kaina Baltijos šalyse įmonei siekia 34,700 eurų, neskaitant reputacinės žalos.
Psichologiniai mechanizmai, kuriuos išnaudoja nusikaltėliai
Kibernetinis saugumas šiandien yra tiek pat psichologijos, kiek ir technologijų klausimas. Tyrėjai identifikavo kelis pagrindinius psichologinius mechanizmus, kuriuos sėkmingai išnaudoja kibernetiniai nusikaltėliai:
1. Skubos jausmas ir sprendimų priėmimo iškraipymai
Harvardo universiteto mokslininkai nustatė, kad kai žmonės jaučia laiko spaudimą, jų gebėjimas kritiškai mąstyti sumažėja 58%. Įsilaužėliai to nepamiršta.
„Klasikinis pavyzdys – el. laiškas, kuriame teigiama, kad jūsų paskyra bus užblokuota per 30 minučių, jei neatnaujinsite savo informacijos,” – sako kibernetinio saugumo ekspertas Tomas Karnickas. „Kai kuriame skubos jausmą, aktyvuojame žmogaus smegenų limbinę sistemą, atsakingą už ‘kovok arba bėk’ reakciją, ir nustelbiame prefrontalinę žievę, atsakingą už racionalų mąstymą.”
Tyrimai rodo, kad įspėjimai apie skubą padidina tikimybę, jog auka paklus nurodymams, 76%.
2. Autoriteto psichologija
Milgramo eksperimentai prieš 60 metų atskleidė žmonių polinkį paklusti autoritetams. Šiuolaikiniai kibernetiniai nusikaltėliai puikiai išnaudoja šį psichologinį principą.
„Kai auka gauna laišką tariamai iš generalinio direktoriaus, IT administratoriaus ar banko saugumo skyriaus, psichologinis barjeras kritiškai vertinti tokį pranešimą ženkliai sumažėja,” – aiškina psichologė dr. Laura Rimkutė.
Statistika patvirtina: pranešimai, apsimetantys aukšto rango vadovais, turi 54% didesnį „sėkmės” rodiklį nei standartiniai sukčiavimo bandymai.
3. Socialinio įrodymo efektas
Žmonės yra socialinės būtybės, instinktyviai linkusios sekti grupės elgesiu. Šį principą kibernetiniai nusikaltėliai išnaudoja kurdami netikrus socialinio spaudimo scenarijus.
„Vienas efektyviausių metodų – teiginys, kad ‘X% jūsų kolegų jau atnaujino savo informaciją’,” – pastebi socialinės psichologijos daktarė Agnė Zakarauskaitė. „Tai sukuria baimę atsilikti ar išsiskirti, o kartu ir legitimumo įspūdį.”
Eksperimentai rodo, kad socialinio įrodymo elementų įtraukimas į sukčiavimo schemas padidina jų efektyvumą 37%.
Naujos kartos grėsmės: dirbtinio intelekto vaidmuo
Kibernetinio saugumo ekspertai įspėja, kad generatyvinio dirbtinio intelekto technologijos dar labiau sustiprino socialinės inžinerijos atakas. 2023 metų pabaigoje atliktas eksperimentas parodė, kad AI sukurti sukčiavimo laiškai buvo 11 kartų sėkmingesni nei tradiciniai.
„AI dabar gali analizuoti jūsų viešus įrašus socialiniuose tinkluose, pritaikyti savo komunikaciją prie jūsų kalbos stiliaus ir net imituoti jūsų kolegų ar viršininkų balso toną,” – perspėja technologijų analitikas Darius Matulaitis. „Jei anksčiau sukčiavimo laiškai buvo lengvai atpažįstami dėl kalbos klaidų, dabar jie tampa praktiškai neatskiriami nuo tikrų.”
Dar didesnį nerimą kelia balso sintezės technologijos – 2023 metais užfiksuoti pirmieji sėkmingi sukčiavimo atvejai Lietuvoje, kai nusikaltėliai, naudodamiesi dirbtinio intelekto sugeneruotu vadovų balsu, įtikino finansų darbuotojus atlikti pavedimus.
Didžiausios rizikos grupės: ne tos, kurių tikėtumėtės
Priešingai populiariam įsitikinimui, vyresnio amžiaus žmonės nėra labiausiai pažeidžiama grupė. 2023 metų Nacionalinio kibernetinio saugumo centro duomenimis, 25-34 metų amžiaus grupė prarado daugiausia pinigų dėl sukčiavimo atakų – vidutiniškai 2,780 eurų per incidentą.
„Jaunesni žmonės dažnai pervertina savo technologinį išprusimą ir būna mažiau atsargūs,” – paaiškina kibernetinės psichologijos tyrinėtoja dr. Eglė Vaitkevičiūtė. „Tuo tarpu vyresnio amžiaus žmonės, nors ir turi mažiau techninių žinių, dažnai yra atsargesni ir labiau linkę pasitikrinti informaciją prieš veikiant.”
Didžiausia rizika pasižymi IT specialistai, finansų darbuotojai ir vadovaujančias pareigas užimantys asmenys – būtent jie yra tikslinių atakų taikiniai, o jų prieigos teisės organizacijose leidžia nusikaltėliams padaryti didžiausią žalą.
Psichologinė apsauga: kaip stiprinti „žmogiškąją ugniasienę”
Kadangi duomenų apsauga vis labiau priklauso nuo žmogiškųjų veiksnių, organizacijos pradeda investuoti į „psichologines ugniasienes” – mokymus, kurie sustiprina darbuotojų psichologinį atsparumą manipuliacijoms.
„Tradiciniai saugumo mokymai, pagrįsti taisyklių ir procedūrų kalte, yra neefektyvūs,” – teigia organizacinės psichologijos konsultantė Indrė Kazlauskienė. „Vietoj to, reikia ugdyti psichologinį atsparumą – gebėjimą atpažinti emocines manipuliacijas ir išlikti racionaliam streso situacijose.”
Nauji metodai, įkvėpti kognityvinės psichologijos, siūlo įdomų požiūrį. Pavyzdžiui, viena finansų įmonė Lietuvoje įdiegė „dviejų minučių taisyklę” – kiekvienas neįprastas prašymas, ypač susijęs su pinigais ar duomenimis, turi būti „padėtas į šalį” dviem minutėms prieš priimant sprendimą. Rezultatas – 63% sumažėjęs socialinės inžinerijos atakų sėkmės rodiklis.
Visuomenės psichologija: kodėl nesimokome iš klaidų?
Nepaisant daugybės istorijų apie sukčiavimo aukas ir nuolat augančio visuomenės informuotumo, kibernetinių nusikaltimų skaičius tik auga. Kodėl taip sunku mokytis iš kitų klaidų?
Socialinės psichologijos tyrimai nurodo kelis veiksnius:
- „Man tai nenutiks” efektas – 78% apklaustų lietuvių mano, kad jie yra atsparesni sukčiavimui nei vidutinis žmogus.
- Istorijų nutolimas – kai girdime apie sukčiavimo aukas, mūsų smegenys automatiškai sukuria „saugų atstumą” nuo tokių istorijų, laikydamos jas nutolusiomis nuo mūsų pačių realybės.
- Kognityvinė perkrova – vidutinis darbuotojas kasdien gauna 121 el. laišką, iš kurių 16% yra potencialiai pavojingi. Tokiame informacijos sraute būdrumas neišvengiamai sumažėja.
„Mūsų smegenys evoliucionavo medžiojant mamutus, ne kovojant su kibernetinėmis grėsmėmis,” – paaiškina evoliucinės psichologijos profesorius dr. Robertas Povilaitis. „Jos puikiai atpažįsta fizinius pavojus, bet sunkiai identifikuoja virtualias grėsmes, kurios neturi aiškių fizinių požymių.”
Ką daryti: psichologų patarimai
Remiantis naujausiais kognityvinės psichologijos tyrimais, ekspertai siūlo:
- Aktyvuoti „lėtąjį mąstymą” – prieš reaguojant į neįprastus prašymus, sąmoningai sulėtinti sprendimų priėmimą. Psichologai rekomenduoja užduoti sau tris klausimus: „Ar to tikėjausi?”, „Ar tai skubu?”, „Kodėl man kelia nerimą?”
- Taikyti „priešingos perspektyvos” metodą – pažvelgti į situaciją iš sukčiaus perspektyvos: „Kaip aš įtikinčiau kažką atlikti šį veiksmą?”
- Įdiegti emocijų atpažinimo įprotį – pastebėjus stiprias emocijas (baimę, nerimą, skubą) komunikacijoje, automatiškai įjungti padidintą budrumą.
- Naudoti socialinio patikrinimo taktiką – prieš vykdant neįprastus prašymus, patikrinti juos alternatyviu komunikacijos kanalu.
Psichologai pabrėžia, kad šie metodai turi būti praktikuojami reguliariai, kad taptų automatiškais.
Išvada: ateities perspektyvos
Kibernetinių grėsmių psichologija tampa vis svarbesnė saugumo dalis. Ekspertai prognozuoja, kad per artimiausius 3-5 metus:
- Dirbtinio intelekto sukurtos socialinės inžinerijos atakos taps dar sudėtingesnės ir sunkiau atpažįstamos
- Organizacijos vis daugiau investuos į psichologinį darbuotojų atsparumą, ne tik į technines apsaugos priemones
- Vystysis nauji sprendimai, integruojantys elgesio analitikos algoritmus, kurie padės identifikuoti anomalijas kasdienėje vartotojų veikloje
„Neabejoju, kad psichologiniai tyrimai ir apsaugos priemonių tobulinimas taps kibernetinio saugumo epicentru,” – reziumuoja psichologė ir kibernetinio saugumo ekspertė dr. Laura Petrauskienė. „Galutinis tikslas – ne tik apsaugoti duomenis, bet ir padėti žmonėms tapti atsparesniais šiame nuolat besikeičiančiame grėsmių pasaulyje.”
