W ciągu ostatnich 12 miesięcy 32% wszystkich firm zidentyfikowało przypadki naruszenia bezpieczeństwa cybernetycznego - wynika z badania "Cyber Security Breaches Survey". Najczęstsze ataki zgłaszane przez firmy, które wykryły naruszenia to phishing (80%), podszywanie się pod organizację w wiadomościach e-mail lub online (28%) oraz wirusy, oprogramowanie szpiegowskie lub złośliwe, w tym ataki typu ransomware (27%). Wszystkie te ataki wykorzystują pracowników i stanowią istotne ryzyko dla firm.
Skuteczna strategia bezpieczeństwa cybernetycznego musi obejmować odpowiednie mechanizmy kontrolne w celu utrzymania podstawowego poziomu bezpieczeństwa oraz system monitorowania w celu wykrycia prób naruszenia zasad, który powinien być poparty szkoleniami dla wszystkich pracowników. Wiele firm nie bierze pod uwagę, że ich ludzie są równie ważni jak oprogramowanie, którego używają, jeśli chodzi o ochronę przed zagrożeniami cybernetycznymi.
Dostawca technologii progresywnych, Evaris, wzywa rekruterów i kierowników działów kadr do wprowadzenia obowiązku odbycia podstawowego szkolenia informatycznego podczas procesu przyjmowania nowych pracowników, aby zmniejszyć ryzyko kosztownych naruszeń bezpieczeństwa.
Brak szkoleń IT w brytyjskich firmach
Zakłada się, że nowi pracownicy posiadają przynajmniej podstawową wiedzę z zakresu IT i bezpieczeństwa informatycznego, i mimo że firmy rozumieją zagrożenie, jakie mogą powodować użytkownicy działający w ramach infrastruktury, umiejętności te nie są sprawdzane w pierwszym miesiącu zatrudnienia.
Badanie przeprowadzone przez Evaris wykazało, że 65% brytyjskich specjalistów nie przeszło obowiązkowego szkolenia IT w pierwszym miesiącu zatrudnienia na obecnym lub ostatnim stanowisku. Spośród tych osób 74% nigdy nie przeszło żadnego szkolenia informatycznego na obecnym lub ostatnio zajmowanym stanowisku, mimo że 86% wszystkich respondentów stwierdziło, że codziennie pracuje przy komputerze.
Co więcej, panuje zgoda co do tego, że pracodawcy nie doceniają ciągłego rozwoju umiejętności informatycznych pracowników. Około 45% respondentów stwierdziło, że ich pracodawca traktuje rozwój ich wiedzy informatycznej "niezbyt poważnie" lub "zupełnie nie poważnie". Zaledwie 11% stwierdziło, że ich przełożeni traktują tę kwestię "bardzo poważnie".
Jak hakerzy namierzają pracowników
Istnieje wiele metod o niskim stopniu zaawansowania technologicznego, które hakerzy wykorzystują, aby wykorzystać pracowników - niektóre z nich mogą wydawać się zbyt proste, aby można było w nie uwierzyć. Metody te obejmują:
- Inżynieria społeczna - hakerzy podający się za osoby w organizacji, aby uzyskać dostęp do sieci, na przykład przedstawiając się jako członek działu bezpieczeństwa IT i prosząc o hasło do sieci.
- Przynęta - hakerzy wykorzystują dane przechwycone na temat pracownika, aby podstępem zmusić go do ujawnienia informacji. Przykładem może być wykorzystanie informacji podanych publicznie na LinkedIn w celu namierzenia młodszego pracownika poprzez podawanie się za dyrektora generalnego, aby zażądać wykonania jakiegoś działania.
- Przyciski rezygnacji z sub skrypcji - hakerzy nakłaniają pracowników do pobierania złośliwego oprogramowania, ukrywając linki do złośliwych stron w przyciskach rezygnacji z subskrypcji, które muszą być umieszczane we wszystkich e-mailach marketingowych.
- Keylogger - znana również jako przechwytywanie klawiatury, technika ta rejestruje i przechowuje uderzenia w klawiaturę i często może przechwycić osobiste identyfikatory e-mail, hasła i inne poufne dane.
- Zagrożenia wewnętrzne - obecni lub byli pracownicy mogą uzyskać nieuprawniony dostęp do poufnych danych lub przeniknąć do sieci firmowej w złych zamiarach. Może to obejmować infekowanie maszyn oprogramowaniem do keyloggingu lub "shoulder surfing" - obserwowanie, jak ktoś wpisuje swoje hasło.
Związek między osobowością a bezpieczeństwem cybernetycznym
Przeprowadzono wiele badań, których celem było zbadanie zależności między cechami osobowości a tym, jak wpływają one na zdolność danej osoby do przestrzegania zasad bezpieczeństwa lub zwiększają ryzyko stania się ofiarą cyberbezpieczeństwa. Chociaż wyniki tych badań różnią się między sobą i nigdy nie są ostateczne, mają one wspólny zestaw wniosków.
Osoby ekstrawertyczne są bardziej skłonne do naruszania zasad bezpieczeństwa cybernetycznego w porównaniu z osobami sumiennymi lub neurotycznymi. Użytkownicy mediów społecznościowych, którzy plasują się wysoko w rankingu otwartości na doświadczenie, częściej też ustawiają mniej ustawień prywatności, co czyni ich podatnymi na ataki.
Kobiety sklasyfikowane jako sumienne mają tendencję do padania ofiarą oszustw typu phishing. Nie wydaje się jednak, aby istniała korelacja między typem osobowości mężczyzny a jego podatnością na phishing.
W prawie wszystkich badaniach intencje jednostki i jej rzeczywiste zachowanie mogą być bardzo różne, co pogarsza zdolność przewidywania zachowań związanych z przestrzeganiem zasad bezpieczeństwa. Zbyt łatwo jest przyjąć uniwersalne podejście do bezpieczeństwa cybernetycznego, jednak nie uwzględnia ono różnych cech osobowości użytkowników. Na przykład, osoby "neurotyczne", które uważają, że skrupulatnie przestrzegają zasad bezpieczeństwa, a mimo to są otwarte na ataki typu phishing, użytkownicy mediów społecznościowych, dla których otwartość jest normą i wybiorą absolutne minimum kontroli, a także ekstrawertycy, dla których naruszenie zasad jest wyzwaniem, nie są uwzględniani w polityce bezpieczeństwa typu "catch all".
Co powinny zrobić firmy?
W najlepszym interesie wszystkich firm leży zapewnienie swoim pracownikom wiedzy, świadomości i umiejętności, których potrzebują, aby pomóc chronić firmę przed kosztownymi cyberatakami i naruszeniami danych. Oznacza to ciągłą edukację i szkolenia, przy aktywnym udziale firmowego działu IT.
Każda osoba zatrudniona w firmie - od momentu rozpoczęcia pracy - powinna przejść szkolenie w celu zrozumienia zasad zarządzania danymi, ich ochrony i najlepszych praktyk w zakresie usuwania danych. Zagrożenie atakami cybernetycznymi nie powinno być lekceważone, a do pracodawców należy zapewnienie, że ich pracownicy mają narzędzia, których potrzebują, aby zapewnić ochronę danych firmy przez cały czas.
O autorze: Mike Cohen, dyrektor generalny w firmie Evaris. Posiada ponad 35-letnie doświadczenie w sektorze IT, jest szanowanym liderem w branży, a w swojej karierze pełnił wiele wyższych funkcji, w tym stanowiska interim management i dyrektora zarządzającego.