Drvivá väčšina kybernetických incidentov vo firmách je do určitej miery spôsobená ľudskou chybou. Mesiac október tradične patrí zvyšovaniu povedomia o kybernetickej bezpečnosti. Na ktoré oblasti by ste sa mali zameriavať v rámci bezpečnostnej osvety vašich zamestnancov?
Prečo je osveta dôležitá?
Podľa spoločnosti Verizon tri štvrtiny (74 %) všetkých globálnych prípadov narušenia bezpečnosti za posledný rok zahŕňajú ľudský faktor. V mnohých prípadoch išlo o chybu, nedbalosť alebo to, že sa používatelia stali obeťou phishingu a sociálneho inžinierstva. Programy školení a zvyšovania povedomia o bezpečnosti sú kľúčovým spôsobom, ako tieto riziká zmierniť. Neexistuje však rýchla a jednoduchá cesta k úspechu. V skutočnosti samostatné školenia nestačia. Potrebná je dlhodobá snaha o zmenu správania používateľov.
To sa môže stať len vtedy, ak budete vzdelávacie programy spúšťať priebežne, aby ste do nich zahrnuli aj najnovšie poznatky. Potrebné je tiež nevynechať absolútne nikoho vrátane brigádnikov, dodávateľov a vrcholových manažérov. Terčom môže byť ktokoľvek a stačí jedna chyba, aby ste do systému vpustili útočníkov. Taktiež uskutočňujte stretnutia po častiach, aby ste mali väčšiu šancu, že si zamestnanci zapamätajú hlavné posolstvá. A ak je to možné, ilustrujte konkrétne hrozby simuláciou a interaktívnymi cvičeniami.
Lekcie možno dokonca prispôsobiť konkrétnym úlohám a odvetviam, aby boli pre jednotlivca relevantnejšie. A techniky gamifikácie môžu byť užitočným doplnkom, aby sa školenie stalo pútavejším.
Oblasti, na ktoré sa zamerať
Keďže sa blíži koniec roka, oplatí sa premýšľať o tom, čo zaradiť do programov na budúci rok. Zvážte nasledujúce:
1. Podvody typu BEC a phishing
Podvody typu BEC (Business Email Compromise), ktoré využívajú cielené phishingové správy, zostávajú jednou z najvýnosnejších kategórií počítačovej kriminality. V prípadoch nahlásených FBI v minulom roku prišli obete o viac ako 2,7 miliardy dolárov. Ide o trestný čin, ktorý je v zásade založený na sociálnom inžinierstve, zvyčajne na tom, že obeť je podvedená, aby schválila prevod firemných finančných prostriedkov na účet podvodníka.
Existujú rôzne metódy, ktorými to dosiahnu, napríklad vydávanie sa za generálneho riaditeľa alebo dodávateľa, a tie sa dajú elegantne zaradiť do cvičení na zvýšenie povedomia o phishingu. Tie by sa mali kombinovať s investíciami do pokročilého zabezpečenia e-mailov, spoľahlivých platobných procesov a dvojitej kontroly všetkých žiadostí o platbu.
Phishing ako taký existuje už desaťročia, ale stále je jedným z hlavných vektorov počiatočného prístupu do podnikových sietí. A vďaka rozptýleným pracovníkom majú útočníci ešte väčšiu šancu dosiahnuť svoje ciele.
V mnohých prípadoch sa však taktika mení, a tak sa musia meniť aj cvičenia na zvýšenie povedomia o phishingu. Práve tu môžu živé simulácie skutočne pomôcť zmeniť správanie používateľov. Pre rok 2024 zvážte zaradenie obsahu o phishingu prostredníctvom textových aplikácií alebo aplikácií na zasielanie správ (smishing), hlasových hovorov (vishing) a nových techník, ako je obchádzanie viacfaktorovej autentifikácie (MFA).
Konkrétne taktiky sociálneho inžinierstva sa veľmi často menia, preto je dobré spolupracovať s poskytovateľom školiacich kurzov, ktorý dokáže aktualizovať ich obsah.
2. Bezpečnosť práce na diaľku a hybridnej práce
Odborníci už dlho upozorňujú, že zamestnanci pri práci z domu častejšie ignorujú bezpečnostné pokyny alebo na ne jednoducho zabudnú. V jednej štúdii sa zistilo, že 80 % zamestnancov priznalo, že v lete ich piatková práca z domu robí uvoľnenejšími a roztržitejšími. To ich môže vystaviť zvýšenému riziku kompromitácie, najmä keď domáce siete a zariadenia môžu byť horšie chránené ako firemné ekvivalenty. A práve tu by mali zasiahnuť školiace programy s radami o bezpečnostných aktualizáciách pre prenosné počítače, správe hesiel a používaní len firemných zariadení. Tieto školenia by sa mali uskutočňovať spolu so školeniami o phishingu.
Nástrahy má aj hybridný spôsob práce, pri ktorom zamestnanci často striedajú home-office s kanceláriou či prácou z kaviarne. Hrozbou je častý presun s firemnými zariadeniami (vyššie riziko straty alebo krádeže) aj pripájanie sa na verejné Wi-Fi siete. Pracovníkov môžu vystaviť útokom typu AitM (adversary-in-the-middle), pri ktorých hackeri získajú prístup do siete a odchytávajú údaje prenášané medzi pripojenými zariadeniami a routerom. Hrozbou je tiež pripojenie sa na falošnú sieť, ktorá sa vydáva za legitímnu.
Existujú aj netechnické riziká. Na verejnom mieste neviete, kto sedí vedľa vás. Školenia by mohli byť dobrou príležitosťou pripomenúť zamestnancom nebezpečenstvo špehovania obrazovky cez rameno.
3. Ochrana údajov
Pokuty za nedodržiavanie GDPR sa v roku 2022 zvýšili o 168 % ročne na viac ako 2,9 miliardy, keďže regulačné orgány pri trestaní porušovania predpisov pritvrdili. To je dosť silný dôvod na to, aby organizácie zabezpečili, že ich zamestnanci budú správne dodržiavať zásady ochrany údajov.
Pravidelné školenia sú jedným z najlepších spôsobov, ako upozorniť na potrebu dodržiavania postupov pri spracúvaní údajov. To znamená opatrenia ako používanie silného šifrovania, správna správa hesiel, uchovávanie zariadení v bezpečí a okamžité nahlasovanie akýchkoľvek incidentov príslušnému kontaktu.
Zamestnancom môže pomôcť aj osvieženie v používaní skrytej kópie (BCC), čo je bežná chyba, ktorá vedie k neúmyselnému úniku údajov z e-mailov. Vždy by tiež mali zvážiť, či to, čo zverejňujú na sociálnych sieťach, nemôže ohroziť firmu.
Školenia a kurzy zvyšovania povedomia sú dôležitou súčasťou každej bezpečnostnej stratégie. Nemôžu však fungovať izolovane. Organizácie musia mať aj nepriepustné bezpečnostné politiky presadzované pomocou silných kontrolných mechanizmov a nástrojov, ako je správa mobilných zariadení. „Ľudia, procesy a technológie“ je mantra, ktorá pomôže vybudovať kyberneticky bezpečnejšiu firemnú kultúru.