Studiu Kaspersky Lab: Cum fac angajații companiile mai vulnerabile, din interior
Angajații ascund incidentele de securitate în 40% dintre companiile din toată lumea, conform unui raport Kaspersky Lab și B2B International, “Factorul uman în securitatea IT: Cum fac angajații companiile mai vulnerabile, din interior”.
Având în vedere că 46% dintre incidentele de securitate IT sunt cauzate de angajați, în fiecare an, această vulnerabilitate trebuie rezolvată din mai multe direcții, nu doar prin intermediul departamentul de IT.
Cum sunt hackerii conduși până la ușă
Angajații neinformații sau neglijenți sunt una dintre cele mai răspândite cauze ale unui incident de securitate cibernetică – pe locul al doilea după malware. Chiar dacă programele malware devin din ce în ce mai sofisticate, factorul uman poate reprezenta un pericol și mai mare.
Mai exact, neglijența angajaților este una dintre cele mai mari breșe din “armura” securității cibernetice a unei companii, atunci când vine vorba de atacuri direcționate. Chiar dacă hackerii specializați s-ar putea să folosească malware personalizat și tehnici hi-tech pentru a plănui un furt, este foarte posibil să înceapă cu exploatarea celui mai simplu punct de acces: natura umană.
Potrivit cercetării, fiecare al treilea atac (28%) asupra companiilor, de anul trecut, a avut drept sursă phishing-ul sau o tehnică de social engineering. De exemplu, un contabil neatent ar putea să deschidă un fișier malware deghizat într-o factură de la unul dintre numeroșii contractori ai companiei. Acest lucru ar putea să oprească întreaga infrastructură a organizației, făcând din respectivul contabil un complice involuntar al atacatorilor.
“Infractorii cibernetici folosesc frecvent angajații drept punct de acces în interiorul infrastructurii companiei”, spune David Jacoby, Senior Security Researcher la Kaspersky Lab. “Chiar și niște banale notițe scăpate în parcare sau lângă biroul secretarei ar putea compromite întreaga rețea. Ai nevoie doar de cineva din interior care nu știe prea multe despre securitate sau nu-i dă atenție și acel dispozitiv ar putea fi cu ușurință conectat la rețea, unde e posibil să facă ravagii.”
Atacurile direcționate complexe nu se produc în fiecare zi asupra unei organizații, dar programele malware convenționale lovesc în masă. Din păcate, însă, cercetarea arată că și acolo unde avem de-a face cu malware, angajații neinformați sau neatenți sunt implicați frecvent, cauzând infecții malware în 53% dintre incidente.
De-a v-ați ascunselea: de ce ar trebui să se implice departamentul de HR și top management-ul
Angajații care ascund incidentele în care au fost implicați pot crea consecințe dramatice, crescând pagubele totale. Chiar și un eveniment trecut sub tăcere poate fi semnul unei breșe mult mai mari, iar echipele responsabile cu securitatea trebuie să fie în măsură să identifice rapid amenințările cu care se confruntă și să aleagă tehnicile potrivite de răspuns.
Dar membrii personalului preferă să pună organizațiile în pericol decât să raporteze o problemă, pentru că se tem de sancțiuni sau le e jenă că ei sunt responsabilii pentru o problemă. Unele companii au introdus reguli stricte și le impun angajaților responsabilități suplimentare, în loc să-I încurajeze, pur și simplu, să fie atenți și să coopereze. Acest lucru înseamnă că protecția cibernetică nu ține doar de tehnologie, ci și de cultura organizațională și de training. Acestea sunt și domeniile în care top management-ul și departamentul de HR trebuie să se implice.
“Problema reprezentată de ascunderea incidentelor ar trebui să le fie comunicată nu doar angajaților, ci și conducerii organizației și departamentului de HR”, spune Slava Borilin, Security Education Program Manager la Kaspersky Lab. “În unele cazuri, companiile impun politici stricte, dar neclare, și pun prea multă presiune pe angajați, avertizându-i să nu facă una sau alta, altfel urmând să fie făcuți responsabili, dacă se întâmplă ceva. Astfel de politici creează teamă și le lasă angajaților o singură posibilitate: să evite sancțiunile, cu orice preț. Dacă o cultură organizațională de securitate cibernetică este pozitivă, bazată pe educație și nu pe restricții, rezultatele nu vor întârzia să apară.”
Borilin amintește, de asemenea, un model de securitate din domeniul industrial, în care se aplică un sistem de tipul “învață din greșeli”. De exemplu, într-o declarație recentă, Elon Musk de la Tesla, a cerut ca fiecare incident care afectează siguranța muncitorului să-i fie raportat direct lui, pentru a interveni în schimbare.
Factorul uman: în mediul corporate și dincolo de el
Organizații din toată lumea constată că au această problemă: angajați care le fac afacerea mai vulnerabilă: 52% dintre companiile participante recunosc că personalul este cea mai mare slăbiciune a lor în domeniul securității IT. Nevoia de a implementa măsuri axate pe angajați devine din ce în ce mai evidentă: 35% dintre companii vor să-și îmbunătățească securitatea prin training-uri pentru angajați, făcând din acestea a doua metodă de apărare cibernetică, după folosirea unor programe mai sofisticate (43%).
Cea mai bună metodă de a proteja organizațiile de amenințări cibernetice este îmbinarea instrumentelor și a practicilor potrivite. Eforturile de HR și de management ar trebui să susțină și să încurajeze angajații să fie atenți și să ceară ajutor în eventualitatea unui incident. Training-urile pentru personal despre conștientizarea importanței securității, reguli clare, în loc de documente cu multe pagini, dezvoltarea abilităților și a motivației și crearea unui mediu de lucru corespunzător sunt primii pași pe care ar trebui să îi facă organizațiile.
În materie de tehnologii de securitate, majoritatea amenințărilor care vizează angajații neinformați sau neatenți – inclusiv phishing-ul – pot fi rezolvate cu soluții de securitate endpoint. Acestea pot acoperi cerințele specifice ale unui IMM sau ale companiilor mari, din punct de vedere al funcționalității, al protecției pre-configurate sau al setărilor avansate de securitate, pentru a diminua riscurile.
Pentru a citi întregul raport “Factorul uman în securitatea IT: Cum fac angajații companiile mai vulnerabile, din interior”, vizitați blog-ul Kasperky Lab.