CyLabs Lujo Bauer säger att det är lätt att upptäcka bedrägerier under normala omständigheter. Men det här är inte normala omständigheter. Kredit:Carnegie Mellon University
Många amerikaner har arbetat på distans i över en månad nu som svar på covid-19-pandemin, vilket har resulterat i nya paradigm i deras egna och deras arbetsgivares cybersäkerhet och integritet. CyLabs Lujo Bauer, professor vid institutionen för el- och datateknik och Institute for Software Research, har bevakat situationen.
Många experter på området säger att sociala teknikattacker och bedrägerier har potential att bli mer framgångsrika under denna pandemi. Vad är tanken bakom det?
Saker och ting är inte normalt just nu; rutiner är slutgiltiga. Det är mer troligt nu att vi får förfrågningar om att göra saker från människor vi inte känner eller för saker som vi normalt inte gör.
Det är lättare att upptäcka en bluff under normala omständigheter. De e-postmeddelanden du normalt får är från personer som du förväntar dig ska skicka e-post till dig, och de ber dig om relativt normala saker; ett bedrägerimeddelande är mer benäget att sticka ut som ovanligt.
Men nu ändrar vi hur vi arbetar, vem gör vilket arbete, där data bor, och så vidare. Att hantera dessa förändringar kräver ofta att vi gör något ovanligt eller ber någon annan att göra något ovanligt för oss, av legitima skäl. Tyvärr, som gör det svårare för en social engineering attack att sticka ut, eftersom en social ingenjörsattack blir bara en ovanlig sak i ett hav av många ovanliga saker i motsats till en ovanlig sak när allt annat är normalt.
Inte bara gömmer sig bedrägerier i ett hav av onormala förfrågningar, men hastigheten med vilken vi måste svara är också olika, höger?
Ja, vi tvingas nu oftare att fatta viktiga beslut, stor och liten, snabbare och med mindre övervägande. Detta ökar chansen att vi misslyckas med att tänka igenom saker och ting tillräckligt för att känna igen en social ingenjörsattack.
Vi måste omorganisera hur arbetsplatser fungerar. För att hundra anställda i morgon ska kunna utföra ett visst arbete hemifrån, en viss typ av säkerhetsåtgärd kan behöva lindras. Och det kan behöva vara avslappnat just nu – vi har inte tid att tänka igenom om vi verkligen vill göra det här eftersom det verkar som att arbetet helt kommer att stanna om vi inte gör det. Den här typen av press att fatta beslut nu även om vi vet att det är beslut som handlar om något riskabelt, det är återigen något som spelar i händerna på angrepp från socialingenjörer.
Hur har förändringarna av arbetsplatsens verksamhet påverkat de anställdas integritet?
Om du funderar på en mjukvara som hade coola distansfunktioner, men du var orolig för dess integritetskonsekvenser, tidigare kanske du har gjort fel på försiktighetens sida och sagt, 'Nej, vi kommer inte att välja den mjukvaran även om funktionerna är coola.' Nu, du kanske tror, 'Väl, Jag måste verkligen göra det så enkelt som möjligt för anställda att vara produktiva hemifrån, ' och det kan leda till att integritet inte är lika viktigt. Det är en av dessa situationer där vi behöver göra nya saker och därför behöver vi datorsystem som erbjuder nya funktioner. Det finns ofta en dragkamp mellan fler funktioner och mer integritet, och nu eftersom det finns en efterfrågan på fler funktioner, integriteten tappar något.
Det finns en annan inverkan på integriteten som vi har tänkt på. Under normala omständigheter, vi förväntar oss att våra personliga och professionella liv ska vara någorlunda separata; vi skulle kunna hålla de flesta aspekterna av vårt personliga liv privata för våra kollegor om vi ville. Denna separation håller nu på att urholkas. Till exempel, Jag kanske kan se bakgrunden till rummet i ditt hem som du arbetar i, vilket kanske inte är något jag någonsin skulle ha sett annars. Du kan ha familjefoton eller minnessaker i bakgrunden som avslöjar något om ditt personliga liv, något som du kanske inte tidigare berättat för en kollega om. På sätt som detta delar vi nu mer information med kollegor, men vad vi delar och konsekvenserna för våra arbetsrelationer och yrkesliv är inte nödvändigtvis genomtänkta.
Det är också anmärkningsvärt att denna typ av urholkning av privatlivet är partisk av ekonomiska omständigheter, i den meningen att personer med mer resurser är mer benägna att ha ett hemmakontor, som sannolikt kommer att avslöja mindre om ens personliga liv, sedan, säga, ett vardagsrum eller sovrum som måste göra dubbel tjänst som kontor.