Малка част от служителите, само 10%, са отговорни за цели 73% от рисковото поведение, което води до кибер-пробиви, сочи нова статистика. Това ще рече, че е-защитата на бизнеса в 2025 г. означава управление на хората, а не само на технологичните системи.
„Екипите по сигурност винаги са знаели, че човешкият фактор играе критична роля при пробивите. Но досега липсваше достатъчно ясна видимост. Повечето анализи винаги са разчитали на оскъдни доказателства или тесни индикатори като фишинг-кликванията,“ казва Ашли Роуз, главен изпълнителен директор и съосновател на Living Security – компания, специализирана в управлението на човешкия риск (HRM).
Проучване на Living Security, проведено съвместно с изследователската фирма Cyentia Institute, откри, че една десета от служителите са причината за близо три четвърти от пробивите в ИТ инфраструктурите.
Докладът предостави безпрецедентен поглед върху поведенческия риск в организациите и разкри как стратегическите HRM програми могат да намалят риска с 60% по-бързо от „традиционните“ методи.
Опирайки се на поведенчески данни от повече от 100 предприятия и стотици милиони потребителски събития, проучването формира първа по рода „карта“ на това къде точно „се намира“ кибер-рискът у работната сила – и как организациите могат да го намалят.
Рисковете в цифри
Ключови констатации от доклада говорят, че:
- Човешкият риск е „концентриран“, а не широко разгърнат: едва 10% от служителите са отговорни за близо три четвърти (73%) от цялото рисково поведение;
- Видимостта е тревожно ниска: организациите, които разчитат единствено на обучение за повишаване на осведомеността за сигурността, имат видимост само за 12% от рисковото поведение, в сравнение с 5 пъти повече за зрелите HRM програми;
- Рискът често пъти се идентифицира погрешно: противно на общоприетото схващане, работещите дистанционно и на непълен работен ден са по-малко склонни към рисково поведение в сравнение със своите колеги в офиса.
От осъзнатост към действие
За разлика от традиционните анализи на киберзащитата, които се фокусират върху външни заплахи или одити за съответствие, фокусирането върху човешкия кибер-риск насочва погледа към вътрешните рискови поведения – и как те се променят при наличието на правилните интервенции.
С овладяването на бюджетите и развитието на заплахите, залозите са ясни: киберсигурността вече не може да разчита само на осъзнатост. Лидерите трябва да дадат приоритет на поведенческата видимост, целенасочените действия и резултатите, ориентирани към възвръщаемостта на инвестициите.
„Киберсигурността не е само технология, а въпрос на поведение“, казва Роуз. „Ако не разбираме кои са нашите най-рискови потребители, защо са изложени на риск и как да им помогнем да се подобрят – ние ще продължим да преследваме симптомите, вместо да решаваме коренния проблем“.
Поглед напред
Откритията идват на бял свят в момент, когато агентите с изкуствен интелект и дигиталните „колеги“ навлизат в бизнеса и атакуемата повърхност се разширява много бързо. Living Security вижда ясно тази еволюция: бъдещето на киберустойчивостта изисква управление на поведенческия риск, откъдето и да произлиза.
