Firmy investujú nemalé prostriedky do najmodernejších bezpečnostných riešení, ktoré ich chránia aj pred tými najpokročilejšími hrozbami. Často si však neuvedomujú, že nebezpečenstvo môže číhať aj z vlastných radov. Pred konaním nepozorných zamestnancov alebo pracovníkov s nekalými úmyslami nemusí firmu ochrániť ani špičková technológia. Desiate miesto v rebríčku najväčších hrozieb patrí hrozbám zvnútra firmy.
V tomto článku sa dočítate:
- aké hrozby predstavujú pre firmy vlastní zamestnanci,
- prečo je kľúčové zamestnancov neustále vzdelávať o digitálnej bezpečnosti,
- či sa na konkurenčný boj využívajú špióni vo vnútri organizácií,
- o hrozbách zo strany nahnevaných zamestnancov vo výpovednej lehote,
- a na čo nezabudnúť pri ukončení pracovného pomeru.
Zlyhania, pri ktorých zamestnanci nechcú firmu zámerne poškodiť, ale aj tak zabolia
Vstupnou bránou do firiem pri veľkej časti útokov sú práve nepozorní zamestnanci. Stačí, že v rýchlosti omylom stiahnu prílohu z phishingového e-mailu, ktorý imituje správu od kolegu, a oheň je na streche. Medzi ďalšie časté chyby patrí zaslanie e-mailu s citlivými údajmi nesprávnemu adresátovi.
Okrem prešľapov spojených s nedostatočnou pozornosťou sú hrozbou aj zlyhania, pri ktorých zamestnanci z dôvodu lenivosti vedome zanedbajú povinnosti či obídu pravidlá. Príkladom takéhoto konania je odkladanie aktualizácií na neskôr alebo nevenovanie dostatočnej pozornosti zabezpečeniu externých zariadení.
Ďalším problémom sú bezpečnostné lapsusy súvisiace s nedostatočným povedomím o rôznych nástrahách digitálneho sveta. Príkladom je medializovaný prípad zverejnenia hesla od pracovného počítača na sociálnej sieti ministerky investícií, regionálneho rozvoja a informatizácie Veroniky Remišovej. Aj keby notebook neobsahoval žiadne citlivé informácie, ide o bezpečnostné zlyhanie, lebo útočníci by mohli heslo MIRRI2020 v rôznych obmenách (MIRRI2021, MZV2020…) analogicky vyskúšať aj na prístup k ostatným účtom ministerstva, alebo iných štátnych inštitúcií.
Problematické je aj samotné zverejnenie citlivej informácie, v tomto prípade hesla, na verejnej sociálnej sieti. Jedným zo základných bezpečnostných pravidiel je dávať si pozor na to, aké údaje obsahuje fotografia, ktorú zverejní zamestnanec z pracovného prostredia. Okrem hesiel môžu byť zneužiteľné napríklad osobné údaje kolegov či klientov, ktoré sa nachádzajú v pozadí fotografie na nástenke. Takýmto prešľapom by sa mali organizácie snažiť predísť preventívnymi školeniami.
Ako by malo vyzerať bezpečnostné školenie pre zamestnancov?
Bezpečnostné školenie by malo byť pravidelné a aktualizované o najnovšie hrozby. Periodicita záleží na tom, akú formu školenia si organizácia zvolí. (Spear)phishinové testy, pri ktorých sa oddelenie vnútornej bezpečnosti snaží nachytať vlastných zamestnancov, sú pre zamestnanca jednoduché a môžu sa opakovať každých pár týždňov.
Ak má tréning formu materiálu, ktorý si treba naštudovať a následne urobiť test, je vhodným intervalom jeden rok. Kreativite sa pritom medze nekladú. Školenie môže byť interaktívne, či dokonca vo forme hry, pri ktorej zamestnanec prejde vždy iba jeden level. Takéto vzdelávanie sa môže uskutočňovať aj na niekoľko mesačnej báze. Platí, že čím častejšie sa budú zamestnanci s témou stretávať, ideálne aj pri bežnej práci, tým skôr sa naučia vyhnúť sa hrozbám.
„Osobne by som zvolil čo najvyššiu interaktivitu a reálne prostredie. To je moja skúsenosť zo školení za posledné roky. Je lepšie, keď človek urobí chybu vyprovokovanú internou bezpečnosťou a naučí sa jej do budúcna vyhnúť, ako keď urobí prešľap pri reálnom incidente, na ktorý doplatí celá organizácia,“ odporúča Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.
Špióni nie sú iba vo filmoch
Samostatnou hrozbou sú zamestnanci s nekalými úmyslami, pri ktorých nepomôže ani bezpečnostné školenie. Ide o pracovníkov, ktorí sa zámerne snažia zneužiť svoju pozíciu, práva a prístupy, aby si prilepšili, vyniesli citlivé údaje tretím stranám či poškodili organizáciu, ktorá ich zamestnáva.
Scenáre ako z akčných filmov sú pritom relatívne bežné aj v reálnom svete. V praxi sa skutočne stávajú prípady, pri ktorých sa zamestnanca firmy alebo štátnej inštitúcie pokúsi získať na svoju stranu konkurenčná spoločnosť alebo cudzia vláda. Takáto osoba môže do firmy zaniesť škodlivý kód alebo rovno ukradnúť citlivé informácie.
Vlani zarezonoval pokus o nalákanie zamestnanca spoločnosti Tesla ruskými agentmi, aby nainštaloval do firemnej siete ransomvér. Pracovníka sa však zlanáriť nepodarilo ani napriek vidine milióna dolárov, odmeny, ktorú mu za službu núkali. Zamestnanec namiesto toho nahlásil záškodnícku aktivitu firme a úradom, v dôsledku čoho jedného z útočníkov zatkli a medzičasom aj odsúdili.
Príklady získania spolupracovníkov na svoju stranu tajnými službami cudzích krajín poznáme aj z histórie. Nepreniknuteľnosť informácií sa nepodarilo zaistiť ani v mnohých prísne tajných projektoch, vrátane jadrového programu Západu počas Druhej svetovej vojny a Studenej vojny.
Keďže je v dnešnej dobe mnoho systémov priamo alebo nepriamo prepojených na internet, špionážne praktiky na medzištátnej aj medzikorporátnej úrovni sa prispôsobili digitálnej dobe. Rozdiel je, že pri kybernetickej špionáži útočníci často nepotrebujú na svoju stranu získať agenta, ktorý by vedome páchal škody. Stačí im, že zamestnanec na niečo nesprávne klikne, prípadne nechtiac odovzdá prístupové údaje pri útoku s využitím sociálneho inžinierstva.
V uplynulej dobe napríklad severokórejská skupina Lazarus zosnovala útok, pri ktorom vyzývala kyberbezpečnostných špecialistov na spoluprácu pri skúmaní zraniteľností. Po nadviazaní kontaktu poslali pracovníkom škodlivý kód prestrojený za projekt, na ktorom mali participovať.
Obľúbenou praktikou tajných služieb je aj pozvať zamestnancov prostredníctvom profesionálnych účtov na sociálnych sieťach či mailov na školenia do zahraničia. V rámci neformálnej časti biznis výletu sa pritom môžu od pozvaných zamestnancov pokúsiť vylákať citlivé informácie. Ďalším stupňom je získať v rámci pracovnej cesty kompromitujúci materiál, ktorým môžu pracovníka vydierať, aby pracoval pre tretiu stranu.
Nahnevaný zamestnanec, nebezpečný zamestnanec
Ďalším problémom, ktorému sa často náročne predchádza, je zamestnanec, ktorého hnacou silou je nespokojnosť či túžba po pomste. Takíto pracovníci môžu byť nahnevaní na kolegov, zlé pracovné podmienky, alebo ťažko znášajú ukončenie pracovného pomeru. Prameniace nebezpečenstvo je pritom priamo úmerné ich pozícii vo firme.
V zlom môžu odísť z firmy aj dlhoroční zamestnanci s vysokým postavením či rozsiahlymi IT právomocami, ako napríklad administrátori. Prístup ku kľúčovým systémom umožňuje takýmto pracovníkom v prípade zneužitia napáchať firme aj zákazníkom obrovské škody. Môžu napríklad vymazať zálohy, zašifrovať kľúčové dáta či ukradnúť intelektuálne vlastníctvo a následne ho skúsiť predať.
Ako na bezpečné rozviazanie spolupráce?
Keďže ľudské správanie je predvídateľné iba do určitej miery, obrana proti takýmto hrozbám je mimoriadne náročná. Firma však dokáže pri dodržiavaní určitých pravidiel riziko výrazne znížiť. Odporúčame postupovať podľa týchto zásad:
- Ihneď po prepustení zamestnanca zrušiť všetky prístupy a zmeniť heslá, ktoré by mohol poznať.
- Realizovať výstupový pohovor a odchodové podmienky nastaviť tak, aby zamestnanec nemal motiváciu škodiť.
- Využívať politiku tzv. zero-trust, pri ktorej má každý zamestnanec prístup len k tým údajom, ktoré potrebuje k vykonávaniu svojej práce.
- Chrániť kľúčové dáta vrstvou šifrovania, ktorá poskytuje ďalšiu ochranu pred neautorizovaným prístupom.
- Využívať technologické riešenia na monitorovanie aktivity zamestnancov, pohybu vybraných dát a ich presunu medzi jednotlivými systémami . Takéto riešenia dokážu tiež sledovať pripojené externé zariadenia a anomálie naznačujúce, že správanie nejakého zamestnanca predstavuje riziko.
- Mať dobrý prehľad o hardvéri zamestnancov a ubezpečiť sa o ich vrátení pri odchode.
- Pri práci na diaľku vyžadovať od zamestnancov pripojenie k firemnej VPN pre prístup k interným systémom.