Използването на човешките слабости значително по-лесно и по-евтино за киберпрестъпниците
(снимка: CCO Public Domain)
След като организациите инсталираха модерни фишинг филтри и защитни стени и разполагат със специализирани инструменти за контрол на киберзаплахи, престъпниците насочиха вниманието си към служителите като начална точка на навлизане в информационните системи на компаниите.
Използването на пропуски в познанията на потребителите или използването на човешки слабости като невнимание, невежество или небрежност е значително по-лесно и по-евтино, отколкото да се опитват да заблудят сложен софтуер за защита.
52% от фирмите признават, че служителите са най-голямата им слабост в ИТ сигурността, със своите небрежни действия или липса на знания, компрометиращи стратегията за корпоративна ИТ сигурност, сочи проучване на Kaspersky и B2B International.
Причините за това са очевидни – служителите все още проявяват опасно поведение. Според доклад на Wombat, анализиращ рисковете за потребителите през 2018 г., цели 55% от работещите възрастни позволяват на приятели и членове на семейството да имат достъп до работния компютър или телефон, а 66% от анкетираните, които не използват инструмент за управление на пароли, признават, че използват повторно 60% от своите пароли за различни профили онлайн.
Около 60% от служителите имат поверителни данни на своето корпоративно устройство (финансови данни, имейл база данни и т.н.), а 30% признават, че споделят паролата за работния си компютър с колеги. Според доклад на Verizon, за кражбите на данни за 2018 г., 4% от хората все още вярват, че щракването върху подозрително прикачено приложение не представлява голяма заплаха.
Никоя организация не е твърде малка или твърде голяма, за да не попадне в полезрението на киберпрестъпниците:
- През 2018 г. 43% от кибератаките са били фокусирани върху малки и средни бизнеси;
- През 2017 г. течът на данни от Equifax изложи на неоторизиран достъп данните на 146 млн. души, а беше резултат от човешка грешка – служител, пренебрегнал съобщение свързано със сигурността.
Просто не е достатъчно да има внедрена политика за ИТ сигурност, за да бъде разрешен този проблем. Сама по себе си една политика няма да защити бизнеса от заплахи – отчасти защото политиките за сигурност в ИТ не винаги се следват от персонала, за който са предназначени, и отчасти защото не могат да покрият всеки възможен риск.
„Обучението е от съществено значение за повишаване на осведомеността сред служителите – мотивирайте ги да обръщат внимание на киберпрестъпленията и противодействията, дори ако това първоначално не се възприема от тях, като част от техните служебни ангажименти”, заяви Богдан Писмиченко, директор за България, Румъния и Молдова в Kaspersky.
Обучението на персонала и привличането на специализиран персонал в компанията за прилагането на политиките за сигурност е логичен отговор на проблема с небрежността на служителите. И това е отговорът, който много фирми по целия свят искат да прилагат. Трябва да се постигне правилен баланс между фирмената политиката и ангажираността на служителите, за да се предотврати небрежността на персонала или опасностите поради слаба информираност на работещите в организацията.
Инсталирането на актуализации, гарантирането, че защитата срещу злонамерен софтуер е включена и правилното управление на личните пароли не трябва винаги да бъде в дъното на списъка със задачи на служителите.
Задклавиатурното устройство да се замени с автоматизирани блокчейни