Angajații ascund incidentele de securitate în 40 la sută dintre companiile din toată lumea, conform unui raport Kaspersky Lab și B2B International, „Factorul uman în securitatea IT: Cum fac angajații companiile mai vulnerabile, din interior”.
Cum 46 la sută dintre incidentele de securitate IT sunt cauzate de angajați, în fiecare an, această vulnerabilitate trebuie rezolvată din mai multe direcții, nu doar prin intermediul departamentul de IT.
Cum sunt hackerii conduși până la ușă
Angajații neinformații sau neglijenți sunt una dintre cele mai răspândite cauze ale unui incident de securitate cibernetică – pe locul al doilea, după malware. Chiar dacă programele malware devin tot mai sofisticate, factorul uman poate reprezenta un pericol și mai mare.
Mai exact, neglijența angajaților este una dintre cele mai mari breșe din „armura” securității cibernetice ale unei companii, când vine vorba de atacuri direcționate. Chiar dacă hackerii specializați s-ar putea să folosească malware personalizat și tehnici hi-tech pentru a plănui un furt, este foarte posibil să înceapă cu exploatarea celui mai simplu punct de acces: natura umană.
Fiecare al treilea atac (28 la sută) asupra companiilor, anul trecut, a avut drept sursă phishing-ul sau o tehnică de social engineering. De exemplu, un contabil neatent ar putea să deschidă un fișier malware deghizat într-o factură de la unul dintre numeroșii contractori ai companiei. Acest lucru ar putea să oprească întreaga infrastructură a organizației și să făcă din respectivul contabil un complice involuntar al atacatorilor. „Infractorii cibernetici folosesc frecvent angajații drept punct de acces în interiorul infrastructurii companiei. Chiar și niște banale notițe scăpate în parcare sau lângă biroul secretarei ar putea compromite întreaga rețea. Ai nevoie doar de cineva din interior, care nu știe prea multe despre securitate sau nu-i dă atenție, și acel dispozitiv ar putea fi cu ușurință conectat la rețea, unde e posibil să facă ravagii”, spune David Jacoby, Senior Security Researcher la Kaspersky Lab.
Atacurile direcționate complexe nu se produc în fiecare zi asupra unei organizații, dar programele malware convenționale lovesc în masă. Cercetarea arată că și acolo unde avem de-a face cu malware, angajații neinformați sau neatenți sunt implicați frecvent și cauzează infecții malware în 53 la sută dintre incidente.
De-a v-ați ascunselea: de ce ar trebui să se implice departamentul de HR și top management-ul
Angajații care ascund incidentele în care au fost implicați pot crea consecințe dramatice și crește pagubele totale. Chiar și un eveniment trecut sub tăcere poate fi semnul unei breșe mai mari, iar echipele responsabile cu securitatea trebuie să fie în măsură să identifice rapid amenințările cu care se confruntă și să aleagă tehnicile potrivite de răspuns.
Dar membrii personalului preferă să pună organizațiile în pericol decât să raporteze o problemă, pentru că se tem de sancțiuni sau le e jenă că sunt responsabilii pentru o problemă. Unele companii au introdus reguli stricte și le impun angajaților responsabilități suplimentare, în loc să-i încurajeze să fie atenți și să coopereze. Asta înseamnă că protecția cibernetică nu ține doar de tehnologie, ci și de cultura organizațională și de training – domeniile în care top management-ul și departamentul de HR trebuie să se implice. „Problema reprezentată de ascunderea incidentelor ar trebui să le fie comunicată nu doar angajaților, ci și conducerii organizației și departamentului de HR. În unele cazuri, companiile impun politici stricte, dar neclare, și pun prea multă presiune pe angajați. Îi avertizează să nu facă una sau alta, altfel vor fi făcuți responsabili, dacă se întâmplă ceva. Astfel de politici creează teamă și le lasă angajaților o singură posibilitate: să evite sancțiunile, cu orice preț. Dacă o cultură organizațională de securitate cibernetică este pozitivă, bazată pe educație și nu pe restricții, rezultatele nu vor întârzia să apară”, spune Slava Borilin, Security Education Program Manager la Kaspersky Lab.
În domeniul industrial se aplică un sistem de tipul „învață din greșeli”. De exemplu, Elon Musk, de la Tesla, a cerut ca fiecare incident care afectează siguranța muncitorului să-i fie raportat direct lui, pentru a interveni în schimbare.
Factorul uman: în mediul corporate și dincolo de el
Organizații din toată lumea constată că au această problemă: angajați care le fac afacerea mai vulnerabilă. 52 la sută dintre companii recunosc că personalul e cea mai mare slăbiciune a lor în domeniul securității IT. Nevoia de a implementa măsuri axate pe angajați devine tot mai evidentă: 35 la sută dintre companii vor să-și îmbunătățească securitatea prin training-uri pentru angajați și să facă din acestea a doua metodă de apărare cibernetică, după folosirea unor programe mai sofisticate (43 la sută).
Potrivit specialiștilor de la Kaspersky Lab, cea mai bună metodă de a proteja organizațiile este îmbinarea instrumentelor și practicilor potrivite. Eforturile de HR și de management ar trebui să susțină și să încurajeze angajații să fie atenți și să ceară ajutor în eventualitatea unui incident. Training-urile pentru personal, despre conștientizarea importanței securității, reguli clare, în loc de documente cu multe pagini, dezvoltarea abilităților și a motivației și crearea unui mediu de lucru corespunzător, sunt primii pași pe care ar trebui să îi facă organizațiile.
În materie de tehnologii de securitate, majoritatea amenințărilor ce vizează angajații neinformați sau neatenți – inclusiv phishing-ul – pot fi rezolvate cu soluții de securitate endpoint. Acestea pot acoperi cerințele specifice ale unui IMM sau ale companiilor mari, din punct de vedere al funcționalității, al protecției pre-configurate sau al setărilor avansate de securitate, pentru a diminua riscurile.