Keď sa hovorí o digitálnej bezpečnosti, mnohým ľuďom zvyčajne napadnú ako prvé technologické aspekty: ochrana koncových zariadení, správcovia hesiel či šifrovanie. Hoci sú všetky tieto prvky nevyhnutnou súčasťou zabezpečenia vašej firmy, sú to zamestnanci, ktorí stoja v prvej línii a sú najviac náchylní stať sa terčom aj nástrojom kybernetických útokov. Koncept ľudského firewallu je postavený práve na tomto predpoklade. Čo je ľudský firewall? A ako ho vytvoriť?
Význam ľudského firewallu
Ako sa digitálny svet rozvíja, firmy pracujú s čoraz väčším množstvom citlivých údajov. Ak by sa citlivé digitálne informácie nejakým spôsobom dostali do nesprávnych rúk, mohla by byť ohrozená bezpečnosť celej firmy, ako aj jej partnerov alebo klientov. Mnohé firmy sa pred takouto situáciou snažia chrániť pomocou sofistikovaných technológií a dostupných riešení, ale v niektorých prípadoch zabúdajú na jeden kľúčový faktor: ľudskú chybu. Práve zlyhanie ľudského faktora býva hlavnou príčinou únikov údajov.
Pojem „ľudský firewall“ predstavuje skupinu ľudí, ktorí chránia firmu pred kybernetickými hrozbami, napríklad tým, že sa v digitálnom svete správajú obozretne, uvedomujú si kybernetické nebezpečenstvá a komunikujú s IT oddelením vždy, keď sa vyskytnú nejaké problémy.
Vytvorením ľudského firewallu môžu firmy odolávať útokom kybernetických zločincov, ktorí často využívajú zamestnancov na preniknutie do firemných systémov. Kybernetickí zločinci vychádzajú z predpokladu, že ľudia robia chyby, a preto využívajú rôzne techniky sociálneho inžinierstva, ako aj iné formy útokov zamerané práve na zamestnancov.
Aké napríklad?
Phishing
Phishingové útoky zneužívajú dôveru zamestnancov, ich zaneprázdnenosť alebo občasnú nepozornosť. S cieľom ešte viac využiť slabiny ľudského faktora útočníci často vyvolávajú v zamestnancoch pocit naliehavosti alebo im sľubujú odmenu, najmä počas sviatkov, keď firmy zvyknú vyplácať bonusy.
Útočníci pri phishingu nabádajú zamestnancov, aby rýchlo klikli na odkaz alebo si okamžite zmenili heslo, ak nechcú čeliť nepríjemným následkom, napríklad stratiť prístup k nevyhnutnej aplikácii.
Kybernetické vydieranie
Zatiaľ čo phishing je založený na myšlienke, že bežný zamestnanec je príliš zaneprázdnený alebo nepozorný na to, aby si všimol riziko, kybernetickí vydierači sa pokúšajú vymámiť od ľudí peniaze pod hrozbou, že v opačnom prípade zverejnia ich údaje. Vydierač môže napríklad tvrdiť, že sledoval príjemcu cez webkameru, a ak nedostane výkupné, zverejní snímky, ktoré urobil. V týchto prípadoch by obeť nemala podliehať panike. Často sú hrozby zločincov falošné a zaplatením požadovanej sumy sa problém nevyrieši.
Stratené alebo ukradnuté zariadenia
Kybernetickí zločinci neustále vyhľadávajú nedostatočne zabezpečené pracovné zariadenia – digitálne aj fyzicky. V digitálnom svete môžete svoj systém chrániť rôznymi bezpečnostnými riešeniami, ale v reálnom svete je to najmä zodpovedné správanie, ktoré zabráni zločincom v krádeži notebookov a nahliadnutí do cudzieho počítača.
Maskované útoky
Kybernetickí zločinci sa môžu pokúsiť oklamať zamestnancov tým, že sa vydávajú za niekoho iného – nielen online, ale aj osobne. Môžu napríklad prísť do vašej kancelárie a vydávať sa za zamestnanca, ktorý si len zabudol vstupnú kartu. Ak zamestnanci nie sú opatrní, môžu narušiteľovi umožniť vstup do budovy – a k citlivým firemným údajom. Prečítajte si príbeh o tom, ako sa Jake Moore, odborník spoločnosti ESET, dokázal dostať do golfového klubu tak, že sa vydával za asistenta televízneho producenta.
Škodlivé odkazy
Škodlivé odkazy ukryté na rôznych webových stránkach alebo v kontextových oknách sa môžu snažiť nalákať zamestnancov na zaujímavú ponuku alebo ich vyzvať, aby aktualizovali svoje aplikácie či softvér.
Škodlivé dokumenty
Útočníci tiež často prikladajú škodlivé súbory k e‑mailom. Keď ich používateľ otvorí, jeho počítač sa infikuje malvérom. Infikovaný súbor môže vyzerať rovnako nevinne ako bežný dokument Excel. Môže však obsahovať škodlivé makro, ktoré sa automaticky spustí po otvorení dokumentu.
Vytvorte si ochranný ľudský firewall
Úplný zoznam hrozieb, ktorých cieľom sú zamestnanci, je podstatne dlhší, takže vytvorenie funkčného ľudského firewallu sa stalo základným aspektom digitálneho zabezpečenia. Ako môžete vo svojej firme vybudovať ľudský firewall a udržať ho vo forme?
- Vzdelávajte zamestnancov. Musia vedieť, ako odhaliť rôzne hrozby a ako na ne bezpečne reagovať. Neustále rozvíjajte znalosti svojich zamestnancov. V ideálnom prípade začnite už od prvého dňa a zaraďte vzdelávanie o bezpečnosti do procesu pri nástupe do zamestnania – a možno zvážte úroveň povedomia uchádzača o bezpečnosti už počas náboru. Nájdite interaktívne spôsoby, ako urobiť zo školenia o bezpečnosti zábavnú, zaujímavú a zapamätateľnú aktivitu.
- V jednoduchosti je krása. Vytvorte ľahko zrozumiteľné politiky a dodržiavajte ich. Nezaťažujte zamestnancov prílišným množstvom informácií, no uistite sa, že každý zamestnanec vie, čo má robiť a ako neohroziť digitálnu bezpečnosť. Nezabúdajte na základné odporúčania a upozornite na ne svojich zamestnancov:
- používať bezpečné heslá a mať pre každý účet iné heslo,
- nikdy neklikať na neznáme odkazy, kontextové okná ani neotvárať prílohy z neznámych zdrojov,
- kontaktovať IT tím vždy, keď je k dispozícii nová aktualizácia aplikácie, a postupovať podľa jeho pokynov,
- vždy sa odhlásiť a uzamknúť obrazovku, keď zostáva zariadenie bez dozoru,
- diskutovať o citlivých pracovných informáciách len v súkromných priestoroch a pri online stretnutiach používať slúchadlá,
- používať viacúrovňové overovanie.
- Na nikoho nezabudnite. Terčom kybernetických zločincov sa môže stať ktokoľvek vrátane recepčných. Nevynechajte žiadneho zamestnanca a uistite sa, že každý vie, s akými situáciami sa môže na svojej pozícii stretnúť.
- Buďte tu pre svojich zamestnancov. Odhalenie hrozby je len jednou časťou ľudského firewallu – jej nahlásenie je ďalším a rovnako dôležitým krokom. Ak chcete, aby systém fungoval, vaši zamestnanci by mali mať pocit, že sa môžu kedykoľvek obrátiť na IT tím a prediskutovať všetky prípadné obavy.
- Vyhodnoťte pokrok. Môžete dokonca testovať povedomie zamestnancov a simulovať phishingový útok, ale pomôže aj jednoduché zhodnotenie toho, či zamestnanci dodržiavajú základné zásady a či efektívne komunikujú s IT tímom (napríklad informujú IT tím o všetkých nových „potrebných“ aktualizáciách alebo nahlasujú akékoľvek neobvyklé udalosti).
- Odmeňujte zamestnancov. Ak vidíte, že vaši zamestnanci komunikujú s IT oddelením, dodržiavajú bezpečné pracovné návyky v digitálnom svete a sú ochotní učiť sa a napredovať v oblasti digitálnej bezpečnosti, ponúknite tým, ktorí si to zaslúžia, nejakú odmenu.
- Kombinujte ľudský firewall s funkčnými softvérovými riešeniami. Používajte ochranu koncových zariadení, dvojúrovňové overovanie, VPN a firewally a nezabúdajte ani na pravidelné aktualizácie. Pamätajte na to, že technické bezpečnostné opatrenia a ľudský firewall musia ísť vždy ruka v ruke.