Leto vo firme má vlastný rytmus. Zamestnanci cestujú, meetingy sa presúvajú, v e-mailoch pribúdajú automatické odpovede a v práci častejšie sedí niekto, kto len zastupuje. Práve dovolenka môže priniesť situácie, ktoré nahrávajú do kariet kybernetickým útočníkom.
Najväčším problémom je, že leto mení naše bežné návyky. Pracujeme z iných miest, častejšie používame mobil, rýchlejšie vybavujeme veci medzi cestou na letisko a check-inom v hoteli. Vo firmách sa zároveň viac improvizuje. Kolega je na dovolenke, jeho agendu preberá niekto iný, faktúru treba schváliť aj bez manažéra a prístup do systému „stačí nejako vyriešiť“.
A práve improvizácia je v kyberbezpečnosti často slabým miestom.
Dovolenka a firemné dáta na cestách
Hybridná práca spôsobila, že kancelária už dávno nie je jediným miestom, odkiaľ sa pristupuje k firemným systémom. V lete sa však tento model posúva ešte ďalej. Zamestnanci odpovedajú na e-maily z hotelovej izby, kontrolujú dokumenty z letiskovej haly alebo sa pripájajú na krátky pracovný hovor z kaviarne pri mori.
Na prvý pohľad nejde o nič výnimočné. Problém nastáva vtedy, keď sa pracovné zariadenie ocitne mimo prostredia, na ktoré je firma zvyknutá. Verejné Wi-Fi siete, zdieľané priestory, odložený notebook pri bazéne alebo mobil bez aktualizácií. To všetko sú drobné riziká, ktoré sa môžu veľmi rýchlo poskladať do väčšieho problému.
Útočník pritom nepotrebuje dramatický scenár. Niekedy stačí, aby sa zamestnanec pripojil cez nezabezpečenú sieť, otvoril prílohu v e-maile, ktorý vyzerá ako potvrdenie rezervácie, alebo si nechal pracovný telefón bez dozoru v aute. V bežný pracovný deň by možno spozornel. Na dovolenke alebo tesne pred odchodom však rozhoduje rýchlosť, pohodlie a pocit, že „toto ešte vybavím a potom už naozaj vypínam“.
Letný phishing vyzerá nenápadne
Phishing sa vie veľmi dobre prispôsobiť sezóne. V decembri pracuje s doručovaním balíkov a sviatočnými nákupmi, na jar s daňami či faktúrami a v lete s dovolenkami. Falošné potvrdenie ubytovania, upozornenie na zmenu letu, informácia o batožine, výhodné cestovné poistenie alebo správa od kuriéra — nič z toho nemusí na prvý pohľad pôsobiť podozrivo.
Práve v tom je problém. Letné témy sú pre ľudí osobné a aktuálne. Ak zamestnanec naozaj čaká na pokyny k odletu alebo rieši ubytovanie, je väčšia šanca, že na podobný e-mail zareaguje automaticky. A ak to urobí z pracovného zariadenia alebo cez firemný e-mail, súkromný problém sa môže rýchlo zmeniť na firemné riziko.
Firmy preto nemusia zamestnancom zakazovať riešiť počas dňa praktické veci. Oveľa dôležitejšie je, aby im pripomínali, že útočníci pracujú s kontextom. Využívajú to, čo ľudia práve riešia, čo ich rozptyľuje a čo v nich vyvoláva pocit naliehavosti.
Typická phishingová správa nemusí byť plná gramatických chýb ani absurdných sľubov. Môže vyzerať ako úplne obyčajný e-mail s predmetom „Zmena rezervácie“, „Neuhradený poplatok“ alebo „Potvrďte údaje pred odletom“. Ak k tomu pridá časový tlak, napríklad upozornenie, že rezervácia bude zrušená do niekoľkých hodín, veľa ľudí klikne skôr, než začne premýšľať.
Zostaňte v obraze
a o krok pred útočníkmi.
Prihláste sa na odber nášho newslettra a každý mesiac získajte prehľad o aktuálnych hrozbách aj praktické rady, ako chrániť firmu.
Som mimo kancelárie, ale urgentne to zaplať
Letné obdobie môže byť zaujímavé aj pre útočníkov, ktorí sa zameriavajú na finančné podvody. Ak vedia alebo predpokladajú, že manažéri, účtovníci či konatelia sú na dovolenkách, môžu skúsiť využiť chaos v zastupovaní.
Scenár je jednoduchý. Do firmy príde e-mail, ktorý sa tvári ako správa od nadriadeného. Tvrdí, že je mimo kancelárie, nemôže telefonovať, ale potrebuje urgentne uhradiť faktúru alebo zmeniť platobné údaje dodávateľa. Tlak na rýchlosť, autorita odosielateľa a dovolenkový kontext vytvárajú kombináciu, pri ktorej sa aj skúsený zamestnanec môže pomýliť.
Pri takýchto situáciách je dôležité mať správne nastavené procesy. Platby, zmeny bankových účtov či mimoriadne požiadavky by mali mať jasné pravidlá overovania. Ak niekto žiada urgentný prevod, nestačí odpoveď na e-mail. Pomôže telefonické overenie, druhý komunikačný kanál alebo schválenie ďalšou osobou.
V kyberbezpečnosti často rozhoduje práve krok navyše — zastaviť sa, overiť si požiadavku a nenechať sa vtlačiť do umelo vytvorenej naliehavosti.
Keď kolega oddychuje, niekto iný má jeho prístupy
Veľká časť rizík počas dovolenkovej sezóny súvisí so zastupovaním. Prevziať na čas niekoho agendu je bežné, no ak proces nie je dopredu pripravený, môže viesť k obchádzaniu pravidiel.
Niekto potrebuje schváliť dokument, ale človek s prístupom je mimo kancelárie. Niekto musí odoslať report, no nemá oprávnenie do systému. Niekto rieši urgentnú požiadavku klienta a najjednoduchšie riešenie sa zdá byť požičané heslo.
Zdieľané heslá sú problémom aj v prípade kolegov, ktorí si dôverujú. Firma potom nevie presne určiť, kto čo urobil, prístupy sa ťažšie kontrolujú a dočasné výnimky často prežijú oveľa dlhšie než samotná dovolenka. To, čo malo byť rýchle praktické riešenie, sa môže zmeniť na trvalú dieru v bezpečnostnom nastavení.
Dobrá príprava na leto preto nie je len otázkou HR kalendára. Je to aj otázka prístupových práv, schvaľovacích procesov a jasných pravidiel. Kto koho zastupuje? Aké oprávnenia potrebuje? Na ako dlho? A kto po návrate skontroluje, že dočasné prístupy už nie sú aktívne?
Technológia má pomôcť tam, kde človek nestíha
Od zamestnancov sa nedá očakávať, že budú neustále v strehu. Najmä v lete, keď sa mieša pracovný režim s cestovaním, zastupovaním a rozptýlením, je dôležité, aby bezpečnosť nestála len na individuálnej opatrnosti, ale aj spoľahlivej technológii.
Riešenia ako ESET PROTECT pomáhajú firmám spravovať a chrániť koncové zariadenia, kombinovať prevenciu, detekciu a reakciu na hrozby, pracovať s bezpečnostnými politikami či získavať lepší prehľad o tom, čo sa deje na firemných zariadeniach.
Pre firmu to v praxi znamená, že ak sa notebook ocitne mimo kancelárie, nemusí byť mimo kontroly. Ak sa objaví podozrivá aktivita, bezpečnostný tím má väčšiu šancu ju zachytiť. Ak zamestnanec pracuje na diaľku, zariadenie môže stále podliehať rovnakým pravidlám ako v kancelárii. A ak firma využíva šifrovanie alebo viacfaktorové overovanie, strata zariadenia či prihlasovacích údajov nemusí automaticky znamenať únik dát.
Technológia však nie je náhrada opatrného prístupu ani vhodne nastavených interných pravidiel. Je to sieť, ktorá zachytáva chyby skôr, než prerastú do incidentu.
Pravidlá skôr ako dovolenka
Najlepšie bezpečnostné opatrenia sú tie, ktoré netreba vymýšľať v strese. Ak firma začne riešiť prístupy, zastupovanie a pravidlá až v momente, keď je polovica tímu preč, zvyšuje sa riziko improvizácie. A improvizácia býva síce pohodlná, ale nebezpečná.
Pred letom sa oplatí zamestnancom jednoducho pripomenúť základné pravidlá. Nie formou dlhého manuálu, ktorý nikto nečíta, ale prakticky a ľudsky: čo si skontrolovať pred cestou, ako sa pripájať mimo kancelárie, komu hlásiť stratené zariadenie, ako overovať podozrivé e-maily a prečo sa heslá neposielajú ani kolegom.
Rovnako dôležité je pripraviť procesy vo vnútri firmy. Zástupy by mali byť oficiálne nastavené, nie riešené cez preposlané heslo. Dočasné prístupy by mali mať dátum ukončenia. Platobné požiadavky by mali mať jasné overovanie. A každý by mal vedieť, koho kontaktovať, ak sa niečo pokazí.
Nejde predsa o to, aby kyberbezpečnosť komplikovala leto. Práve naopak. Dobre nastavené pravidlá umožnia ľuďom skutočne vypnúť, pretože firma nemusí počas ich neprítomnosti hasiť zbytočné problémy.
Krátky letný bezpečnostný checklist pre firmy
Pred dovolenkovou sezónou sa oplatí skontrolovať najmä niekoľko vecí:
- či majú zamestnanci aktualizované pracovné zariadenia,
- či je zapnuté viacfaktorové overovanie pri dôležitých službách,
- či sú zástupy a prístupy nastavené oficiálne,
- či nikto nemusí zdieľať heslá, aby „sa veci pohli“,
- či existuje jasný postup pri strate notebooku alebo mobilu,
- či sa mimoriadne platby a zmeny účtov overujú druhým kanálom,
- či zamestnanci vedia, že letný phishing môže vyzerať ako bežná dovolenková komunikácia.
Leto je obdobím oddychu, nie obdobím vypnutej pozornosti. Firemná kyberbezpečnosť nemusí byť počas dovoleniek komplikovanejšia než inokedy. Musí však rátať s tým, že ľudia pracujú inak, z iných miest a často v inom mentálnom nastavení.
A práve tam, kde sa mení rutina, vzniká priestor pre chyby. Odolná firma ich nenechá na náhodu.
