Sociální inženýrství či sociotechnika – se v oblasti IT security objevilo díky kontroverzní postavě Kevina Mitnicka. Ten je definuje jako přesvědčování lidí s cílem oklamat je tak, aby uvěřili, že sociotechnik je osoba s totožností, kterou předstírá… aby získal hledané informace
(MITNICK, 2003, s. 2).
Sociální inženýrství tedy místo nabourání systému technickými prostředky cílí na lidský faktor – jedince s rozhodovacími a exekutivními pravomocemi v systému. Snaží se je zpracovat:
- buď přímočaře
- přímo přesvědčit cílovou oběť,
- přímo získat cílové informace;
- nebo méně přímočaře
- sebrat data k simulaci totožnosti, která má přesvědčit cílovou oběť,
- získat práva k cílovým informacím pomocí konstrukce totožnosti oprávněné osoby a
- následně získat samotná cílová data.
Sociotechnika se ve svých akcích spoléhá na omezenost kognitivní kapacity jedinců – Mitnick ji prozaičtěji říká hloupost. Oprávněnost složitější pojmové konstrukce „omezená kognitivní kapacita“ spočívá v tom, že oběť ovlivňování neomezují pouze její fyzické předpoklady, nebo naprostá neochota učit se. Tato schopnost vnímat, mentálně zpracovat vstupy a vypracovat adaptační strategie – tedy kognitivní kapacita – je u většiny dospělých lidských jedinců pohlcována každodenními starostmi, a navíc narušována bezpočtem civilizačních faktorů: od neschopnosti relaxace, přes kocovinu a kofeinovou hyperaktivitu po deficity neuspokojených potřeb a rozvrácené mezilidské vztahy.
Prosté spoléhání se na omezenou kognitivní kapacitu by ovšem sociotechnika přes vstupní mechanismy systému ještě nedostalo. Aby uspěl, využívá zpravidla ještě dalších nástrojů:
- oborový žargon,
- znalost vnitrosystémových procedur (bezpečnostních, funkčních i čistě existenčních),
- psychickou manipulaci.
Díky žargonu a znalosti napadaného systému oběť:
- buď identifikuje útočníka coby osobu oprávněnou (buď systémovými pravidly, nebo vnější autoritou),
- nebo se sama identifikuje s útočníkem a chápe jej jako příslušníka stejné skupiny, organizace, stejného statu apod.
V prvním případě se oběť podřizuje poslušnosti vůči autoritě osoby jako v Millgramově pokusu s elektrickými šoky (1974), nebo podléhá nátlaku situace a institucionálních zvyklostí, jak ve vězeňském experimentu dokázal Zimbardo (1973).
V druhém případě je apelována konformita se sobě rovným, či se skupinou, do níž by apelovaný i apelující měli náležet. Apelovaný je vystaven výzvě, aby odsouhlasil pohled na realitu, kterou mu předkládá příslušník stejné skupiny:
- pokud přijme
- dostává se mu potvrzení sociální role (příslušnost ke skupině);
- zavděčuje se komunikačnímu partnerovi (a očekává, že i ten se bude chovat tak, aby potvrdil jeho příslušnost ke skupině a jeho status);
- volí snazší kognitivní zpracování situace – prostě přijme nabízený koncept (složitěji řečeno redukuje kognitivní disonanci – tj. vnímaný rozpor mezi informačními vstupy, jejich vlastním mentálním zpracováním a tvrzením komunikačního partnera) a
- volí snazší operační vyústění situace;
- pokud by nepřijal
- pocítí kognitivní disonanci – nepříjemný rozpor mezi výkladem komunikačního partnera a vlastními mentálními pochody;
- není nastoleno vnímání „patříme ke stejné skupině“;
- k zachování vlastního pocitu náležitosti ke skupině (na základě kterého apelovaný jedinec v dané komunikační výměně sám sebe definuje), bude nutné alarmovat averzi vůči komunikačnímu partnerovi;
- bude ho muset vnímat jako cizince až nepřítele;
- bude muset spustit akce k ochraně systému.
K dosažení poslušnosti vůči autoritě, podvolení se nátlaku situace a institucionálních zvyklostí, konformitě se skupinou či sobě rovným jedincem sociální inženýr užívá psychické manipulace. Tu Hassan (1994) rozděluje na:
- řízení chování,
- řízení myšlení,
- řízení emocí a
- řízení informací.
K řízení chování a myšlení je užíváno znalostí systémových procedur a žargonu – oběť je apelována k chování, které běžně vykonává (ovšem kvůli neběžným záměrům), a její myšlení je řízeno díky vyvolání pojmové mapy, která se v daném prostředí používá, prostřednictvím užíváním běžných frází a argumentů.
Gros psychické manipulace spočívá v řízení emocí, které se de facto rovná zúžení emočního spektra a vyvolání emoční reakce. Toho sociotechnik dosahuje buď prostřednictvím vyvolávání strachu a viny, nebo apelem na vzájemnou atraktivitu/sympatičnost apod.
Opěrným bodem psychické manipulace je řízení informací – což je sdílení, či simulování informací směrem k dosažení požadovaného výsledku.
Esencí psychologického pohledu na sociální inženýrství je prostý fakt, že sociální inženýrství využívá metod, které jsou mezilidským a pracovním vztahům běžné: hierarchické distribuce moci, solidarity mezi kolegy, zastrašování, vyvolávání viny, vyvolávání stresu a spěchu, apelu na mezilidskou sounáležitost aj. Nejsou to senzační a hrdinské skutky obrazoborců cyberpunku osmdesátých let, a mnohdy ani investigativní bajky z let devadesátých.
Zdroje
- konformita
- ARONSON, E. Social animal. USA, New York: Viking, 1972;
- ASCH, S. E. Opinions and Social Pressure. Scientific American, 1955, 193, pp. 31 – 35;
- ASCH, S. E. Studies of Independence and Submission to Group Pressures. Psychological Monographs, 1956, 70, p. 416;
- MOSCOVICI, S.; FAUCHEUX, C. Social influence, conformity bias and the study of active minorities. In: Berkowitz, L. (Ed.) Advances in experimental social psychology, 1972, 6;
- SHERIF, M. A study of some social factors in perception. Archives of Psychology, 1935, 27, No. 187;
- ostatní
- HASSAN, S. Jak čelit psychické manipulaci zhoubných kultů. Brno: Nakladatelství Tomáše Janečka, 1994. 286 s. ISBN 80-85880-03-2;
- MILGRAM, S. Obedience to Authority. New York: Harper and Raw, 1974. 224 p.;
- MITNICK, K. Umění klamu. Glivice: Helion, 2003. 233 s. ISBN 83-7361-210-6;
- ZIMBARDO, P. G.; HANEY, C.; BANKS, . Study of prisoners and guards in a simulated prison. Naval Research Reviews, 1973, 9, pp. 1–17;
