Firmy často netušia o narušení ich kybernetickej bezpečnosti. Zlyháva ľudský faktor

Počas uplynulých mesiacov sme boli svedkami niekoľkých masívnych kybernetických útokov zameraných na organizácie po celom svete. Tieto aktivity sú poháňané nielen túžbou po peniazoch, ale aj túžbou po získaní citlivých dát či kompromitácii kritických infraštruktúr, ktoré sú často nevyhnutné pre chod spoločnosti. Kyberzločinci si však čoraz častejšie vyberajú za svoje ciele aj menšie firmy a preto je nevyhnutné zaviesť preventívne bezpečnostné opatrenia na každej úrovni – vrátane bežných zamestnancov. Zo správy Kaspersky Lab realizovanej v spolupráci s prieskumnou spoločnosťou B2B International – „Ľudský faktor v IT bezpečnosti: ako zamestnanci ohrozujú firmy zvnútra“ („Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within“) – totiž vyplýva, že ročne až 46% bezpečnostných incidentov zameraných na firmy majú na svedomí samotní zamestnanci postihnutých firiem. Tí patria často k najzraniteľnejším článkom v bezpečnostnom systéme spoločnosti.

Hackeri predo dvermi
Neznalí alebo neopatrní zamestnanci sú hneď po malvéri druhou najčastejšou príčinou kybernetických bezpečnostných incidentov. Zatiaľ čo malvér je čoraz sofistikovanejší, smutnou realitou zostáva fakt, že ľudský faktor môže byť ešte nebezpečnejší.

Najmä pri cielených útokoch je neopatrnosť zamestnancov najslabším miestom kybernetickej bezpečnosti firiem. Predtým ako hackeri použijú na mieru šitý malvér, sa totiž na získanie prístupu pokúsia ísť tou najjednoduchšou cestou – a síce zneužijú ľudskú povahu.

Podľa správy Kaspersky Lab boli v roku 2016 prvotným zdrojom každého tretieho (28%) cieleného útoku na firmu phishing a sociálne inžinierstvo. Mohlo sa napríklad stať, že neopatrní účtovník otvoril škodlivý súbor považujúc ho za faktúru od jedného z dodávateľov. To by mohlo viesť k skolabovaniu celej firemnej infraštruktúry a nič netušiaci účtovník by sa stal spolupáchateľom  útočníkov.

„Kybernetickí zločinci často využívajú zamestnancov na preniknutie do korporátnej infraštruktúry. Používajú na to phishingové e-mailové správy, slabo zabezpečené heslá či falošné telefonáty z oddelenia technickej podpory. Aj jeden jediný USB kľúč, ktorý niekomu vypadol z vrecka na firemnom parkovisku, môže ohroziť celú sieť. Všetko čo potom útočníci potrebujú je jediný zamestnanec, ktorý o stratenom USB nevie, alebo si nedáva pozor na bezpečnosť a stratený USB kľúč následne spôsobí hotovú spúšť,“ hovorí David Jacoby, bezpečnostný analytik spoločnosti Kaspersky Lab.

Sofistikovaným cieleným útokom síce organizácie nie sú vystavené každý deň – no v prípade konvenčného malvéru sa útočí na masy. Prieskum spoločnosti Kaspersky Lab bohužiaľ naznačuje, že pokiaľ ide o malvér, neopatrnosť a nevedomosť zamestnancov spôsobuje až 53% malvérových prienikov.

Hra na schovávačku:  prečo HR a top manažment zohrávajú dôležitú úlohu
Zatajovanie bezpečnostných incidentov zamestnancami firiem môže mať dramatické následky a znásobiť už spôsobené škody. Čo i len jediná nenahlásená udalosť môže vyústiť v oveľa väčšie narušenie bezpečnosti – bezpečnostní experti potrebujú bezprostredné ohrozenie čo najrýchlejšie identifikovať, aby mohli následne zvoliť najlepšiu taktiku obrany.

Zamestnanci však bezpečnostné incidenty často nenahlásia zo strachu pred potrestaním alebo znemožnením pred ostatnými. Niektoré firmy okrem samotného vyzvania zamestnancov k obozretnosti zaviedli aj prísnejšie pravidlá a ich zamestnanci nesú aj výrazne vyššiu mieru zodpovednosti. Kybernetická bezpečnosť nie je len vecou technológií, ale aj firemnej kultúry a vzdelávania. Práve z toho dôvodu je dôležitá angažovanosť oddelenia ľudských zdrojov a top manažmentu.

„Problém skrývania bezpečnostných incidentov musí byť komunikovaný nielen na úrovni samotných zamestnancov, ale aj na úrovni oddelenia ľudských zdrojov a top manažmentu. Je dôležité zistiť príčinu, prečo zamestnanci neinformujú o incidentoch. V niektorých prípadoch sú vo firmách prijaté striktné avšak nejasné pravidlá, ktoré vedú skôr k tomu, že zamestnanci sa ešte viac boja zodpovednosti za prípadné problémy. Takto nastavené pravidlá vyvolávajú skôr strach, pričom zamestnancom zostáva len jedna možnosť, ak sa chcú za každú cenu vyhnúť trestu. Pokiaľ je firemná kultúra v oblasti kybernetickej bezpečnosti pozitívna (založená na vzdelávaní a nie na princípe zákazov a obmedzení) na všetkých úrovniach, počnúc top manažmentom až po radových zamestnancov, výsledok bude zjavný,“ povedal Slava Borilin, programový manažér pre vzdelávanie v oblasti bezpečnosti spoločnosti Kaspersky Lab.

Slava Borilin uvádza príklad z praxe, kedy bol bezpečnostný model firmy založený na princípe nahlásenia incidentu a z neho vyplývajúceho ponaučenia (učenie sa na chybách). Napríklad Elon Musk, zakladateľ Tesly, nedávno povedal, že jeho zamestnanci akýkoľvek incident vplývajúci na bezpečnosť pracovníkov hlásia priamo jemu, takže v prípade nutnosti vychádza podnet na zavedenie potrebných opatrení a zmien  priamo od neho.

Ľudský faktor: v rámci aj mimo korporácie
Organizácie po celom svete si už uvedomujú, že zamestnanci sú jedným zo zraniteľných článkov ich bezpečnostného reťazca. Až 52% z opýtaných firiem pripustilo, že zamestnanci sú najväčšou slabinou v rámci IT bezpečnosti. Potreba zaviesť personálne zamerané opatrenia sa stáva čoraz zjavnejšou – 35% firiem sa snaží zvýšiť svoju kybernetickú bezpečnosť prostredníctvom školení pre zamestnancov. Ide pritom o druhé najpopulárnejšie opatrenie hneď po nasadení sofistikovanejšieho softvéru (43%).

Najlepším spôsobom ochrany organizácií pred kybernetickými hrozbami zapríčinenými ľudským faktorom je kombinácia správnych nástrojov so správnymi opatreniami overenými praxou. Dôležité sú pri tom aj snahy na úrovni HR ako aj top manažmentu motivovať a povzbudiť zamestnancov, aby boli obozretní a vždy vyhľadali pomoc v prípade kybernetického incidentu. V rámci prvých opatrení, ktoré by mali firmy zaviesť, sú školenia zamestnancov na zvyšovanie povedomia o kybernetickej bezpečnosti, jasne nastavené pravidlá a postupy (namiesto dlhých dokumentov), budovanie silných zručností a v neposlednom rade motivácia a podpora tej správnej pracovnej atmosféry.

Mnohé hrozby, ktoré sú cielené na neznalých či neopatrných zamestnancov, vrátane phishingu, je možné eliminovať nasadením vhodných bezpečnostných technológií. Koncové bezpečnostné riešenia dokážu pokryť špecifické potreby malých a strených firiem ako aj veľkých korporácií čo do funkcionality, prednastavenej ochrany, ako aj pokročilých bezpečnostných nastavení, aby minimalizovali riziko prieniku.

Správu v plnom znení s výsledkami prieskumu „Ľudský faktor v IT bezpečnosti: ako zamestnanci ohrozujú firmy zvnútra“ nájdete na oficiálnom blogu Kapersky Lab.