Sociální inženýrství perspektivou psychologie

Sociální inženýrství či sociotechnika – se v oblasti IT security objevilo díky kontroverzní postavě Kevina Mitnicka. Ten je definuje jako přesvědčování lidí s cílem oklamat je tak, aby uvěřili, že sociotechnik je osoba s totožností, kterou předstírá… aby získal hledané informace (MITNICK, 2003, s. 2).

Sociální inženýrství tedy místo nabourání systému technickými prostředky cílí na lidský faktor – jedince s rozhodovacími a exekutivními pravomocemi v systému. Snaží se je zpracovat:

• buď přímočaře
  • přímo přesvědčit cílovou oběť,
  • přímo získat cílové informace;
• nebo méně přímočaře
  • sebrat data k simulaci totožnosti, která má přesvědčit cílovou oběť,
  • získat práva k cílovým informacím pomocí konstrukce totožnosti oprávněné osoby a
  • následně získat samotná cílová data.

Sociotechnika se ve svých akcích spoléhá na omezenost kognitivní kapacity jedinců – Mitnick ji prozaičtěji říká hloupost. Oprávněnost složitější pojmové konstrukce „omezená kognitivní kapacita“ spočívá v tom, že oběť ovlivňování neomezují pouze její fyzické předpoklady, nebo naprostá neochota učit se. Tato schopnost vnímat, mentálně zpracovat vstupy a vypracovat adaptační strategie – tedy kognitivní kapacita – je u většiny dospělých lidských jedinců pohlcována každodenními starostmi, a navíc narušována bezpočtem civilizačních faktorů: od neschopnosti relaxace, přes kocovinu a kofeinovou hyperaktivitu po deficity neuspokojených potřeb a rozvrácené mezilidské vztahy.

Prosté spoléhání se na omezenou kognitivní kapacitu by ovšem sociotechnika přes vstupní mechanismy systému ještě nedostalo. Aby uspěl, využívá zpravidla ještě dalších nástrojů:

• oborový žargon,
• znalost vnitrosystémových procedur (bezpečnostních, funkčních i čistě existenčních),
• psychickou manipulaci.

Díky žargonu a znalosti napadaného systému oběť:

1. buď identifikuje útočníka coby osobu oprávněnou (buď systémovými pravidly, nebo vnější autoritou),
2. nebo se sama identifikuje s útočníkem a chápe jej jako příslušníka stejné skupiny, organizace, stejného statu apod.

V prvním případě se oběť podřizuje poslušnosti vůči autoritě osoby jako v Millgramově pokusu s elektrickými šoky (1974), nebo podléhá nátlaku situace a institucionálních zvyklostí, jak ve vězeňském experimentu dokázal Zimbardo (1973).

V druhém případě je apelována konformita se sobě rovným, či se skupinou, do níž by apelovaný i apelující měli náležet. Apelovaný je vystaven výzvě, aby odsouhlasil pohled na realitu, kterou mu předkládá příslušník stejné skupiny:

• pokud přijme
  • dostává se mu potvrzení sociální role (příslušnost ke skupině);
  • zavděčuje se komunikačnímu partnerovi (a očekává, že i ten se bude chovat tak, aby potvrdil jeho příslušnost ke skupině a jeho status);
  • volí snazší kognitivní zpracování situace – prostě přijme nabízený koncept (složitěji řečeno redukuje kognitivní disonanci – tj. vnímaný rozpor mezi informačními vstupy, jejich vlastním mentálním zpracováním a tvrzením komunikačního partnera) a
  • volí snazší operační vyústění situace;
• pokud by nepřijal
  • pocítí kognitivní disonanci – nepříjemný rozpor mezi výkladem komunikačního partnera a vlastními mentálními pochody;
  • není nastoleno vnímání „patříme ke stejné skupině“;
  • k zachování vlastního pocitu náležitosti ke skupině (na základě kterého apelovaný jedinec v dané komunikační výměně sám sebe definuje), bude nutné alarmovat averzi vůči komunikačnímu partnerovi;
  • bude ho muset vnímat jako cizince až nepřítele;
  • bude muset spustit akce k ochraně systému.

K dosažení poslušnosti vůči autoritě, podvolení se nátlaku situace a institucionálních zvyklostí, konformitě se skupinou či sobě rovným jedincem sociální inženýr užívá psychické manipulace. Tu Hassan (1994) rozděluje na:

• řízení chování,
• řízení myšlení,
• řízení emocí a
• řízení informací.

K řízení chování a myšlení je užíváno znalostí systémových procedur a žargonu – oběť je apelována k chování, které běžně vykonává (ovšem kvůli neběžným záměrům), a její myšlení je řízeno díky vyvolání pojmové mapy, která se v daném prostředí používá, prostřednictvím užíváním běžných frází a argumentů.

Gros psychické manipulace spočívá v řízení emocí, které se de facto rovná zúžení emočního spektra a vyvolání emoční reakce. Toho sociotechnik dosahuje buď prostřednictvím vyvolávání strachu a viny, nebo apelem na vzájemnou atraktivitu/sympatičnost apod.

Opěrným bodem psychické manipulace je řízení informací – což je sdílení, či simulování informací směrem k dosažení požadovaného výsledku.

Esencí psychologického pohledu na sociální inženýrství je prostý fakt, že sociální inženýrství využívá metod, které jsou mezilidským a pracovním vztahům běžné: hierarchické distribuce moci, solidarity mezi kolegy, zastrašování, vyvolávání viny, vyvolávání stresu a spěchu, apelu na mezilidskou sounáležitost aj. Nejsou to senzační a hrdinské skutky obrazoborců cyberpunku osmdesátých let, a mnohdy ani investigativní bajky z let devadesátých.

Zdroje

• konformita
  • ARONSON, E. Social animal. USA, New York: Viking, 1972;
  • ASCH, S. E. Opinions and Social Pressure. Scientific American, 1955, 193, pp. 31 – 35;
  • ASCH, S. E. Studies of Independence and Submission to Group Pressures. Psychological Monographs, 1956, 70, p. 416;
  • MOSCOVICI, S.; FAUCHEUX, C. Social influence, conformity bias and the study of active minorities. In: Berkowitz, L. (Ed.) Advances in experimental social psychology, 1972, 6;
  • SHERIF, M. A study of some social factors in perception. Archives of Psychology, 1935, 27, No. 187;
• ostatní
  • HASSAN, S. Jak čelit psychické manipulaci zhoubných kultů. Brno: Nakladatelství Tomáše Janečka, 1994. 286 s. ISBN 80-85880-03-2;
  • MILGRAM, S. Obedience to Authority. New York: Harper and Raw, 1974. 224 p.;
  • MITNICK, K. Umění klamu. Glivice: Helion, 2003. 233 s. ISBN 83-7361-210-6;
  • ZIMBARDO, P. G.; HANEY, C.; BANKS, . Study of prisoners and guards in a simulated prison. Naval Research Reviews, 1973, 9, pp. 1–17;