Zaměstnanci zatajují kybernetické incidenty, bojí se potrestání

18. 7. 2017. (redaktor: František Doupal, zdroj: Kaspersky Lab)
Zaměstnanci se ve 40 % firem snaží zatajit bezpečnostní IT incident, který se jim stal. Přitom právě zaměstnanci ročně způsobí skoro polovinu (46 %) těchto událostí a jejich pochybení je po malwaru nejpravděpodobnější příčinou kyberbezpečnostního ohrožení firmy.
Foto: Pixabay.com

V případě cílených útoků představuje neopatrnost zaměstnanců nejvážnější trhlinu v celkovém zabezpečení korporátní kyberbezpečnosti. Ačkoliv současní hackeři využívají speciální malware a hi-tech techniky k uskutečnění svých plánů, vždy začínají tím, že se pokusí prolomit nejslabší článek zabezpečení – lidský faktor.

Data z průzkumu poukazují na to, že phishing nebo sociální inženýrství byly v minulém roce zdrojem každého třetího (28 %) cíleného útoku na firmy. Nepozorný účetní tak například mohl otevřít škodlivý soubor, který byl maskován jako faktura od jednoho z mnoha dodavatelů společnosti. Tímto postupem mohlo dojít k odstavení infrastruktury celé společnosti, přičemž se účetní nechtěně stal komplicem útočníků.

„Kyberzločinci často využívají zaměstnance jako vstupní vrátka do firemní infrastruktury. Phishingové e-maily, slabá hesla, falešné telefonáty z oddělení technické podpory – to vše jsme už zažili. Dokonce i běžná paměťová karta ‚ztracená‘ na parkovišti nebo zanechaná v blízkosti recepce dokáže ohrozit celou firemní síť. Vše, co totiž kyberzločinci potřebují, je někdo uvnitř organizace, kdo se o bezpečnost nezajímá nebo o ní nic neví. Připojením této flashky k počítači získávají zločinci přístup do celé sítě, kde mohou napáchat rozsáhlé škody,“ varoval David Jacoby, bezpečnostní expert v Kaspersky Lab.

Sofistikované cílené útoky neohrožují organizace každý den, zato běžný malware útočí neustále. Průzkum také poukázal na fakt, že i v případech těchto útoků jsou součástí procesu jejich šíření neopatrní zaměstnanci. Ti stojí za 53 % incidentů malwarovými infekcemi.

Zapojení HR a top managementu

V případě, že se pracovníci snaží zamlčet skutečnost, že byli zapojeni do kyberútoku, může takové chování vést k vážným následkům a ještě větším škodám. Pouhá jedna nenahlášená událost by mohla poukázat na závažnější narušení bezpečnosti. Bezpečnostní týmy přitom potřebují rychle identifikovat hrozby, kterým čelí, tak aby mohly zvolit správný postup pro jejich potlačení.

Nicméně zaměstnanci, ve strachu z případného potrestání, raději vystaví organizaci riziku, než aby problém nahlásili. Často se také cítí trapně, že právě oni zapříčinili nějaký problém. Některé společnosti totiž zavedly přísná pravidla a převedly na zaměstnance více zodpovědnosti namísto toho, aby je nabádaly k vyšší ostražitosti a spolupráci. Základy kybernetické bezpečnosti by proto měly spočívat nejen na technologiích, ale i na firemní kultuře a vzdělávání. Na tomto místě by se proto měla zapojit jak HR oddělení, tak top management.

„Problémy spojené se zamlčováním incidentů by měly být komunikovány nejen směrem k zaměstnancům, ale i k nejvyššímu vedení společnosti a HR oddělením. Zaměstnanci musí mít pro zamlčování incidentů důvod. V některých případech zavádějí společnosti přísná, ale nejednoznačná pravidla, která vystavují zaměstnance přílišnému tlaku, protože jsou nuceni převzít případnou zodpovědnost za následky aktivit, kterým příliš nerozumí. Taková pravidla v nich mohou vyvolávat strach a nabízí jim pouze jednu možnost – zabránit potrestání jakýmkoliv způsobem. Proto by se kyberbezpečnostní strategie firem měla zaměřit na vzdělávání všech zaměstnanců spíše než na jejich trestání,“ vysvětlil Petr Kuboš, regionální obchodní manažer pro východní Evropu ve společnosti Kaspersky Lab.

Takový model průmyslové bezpečnosti, založený na pravidelných reportech a „učení se chybami“, je například běžnou praxí ve společnosti Tesla Elona Muska. Ten chce, jak sám před nedávnem uvedl, aby byl jakýkoliv incident, který ovlivní bezpečnost zaměstnanců, nahlášen přímo jemu. Chce tak hrát ústřední roli při rozhodování o efektivních změnách.

Lidský faktor

Organizace se začínají čím dál více zajímat o problematiku spojenou s aktivitami svých zaměstnanců, kteří je vystavují potenciálním nebezpečím. Celých 52 % dotázaných firem připouští, že jsou zaměstnanci největší slabinou jejich IT bezpečnosti. Stále více společností také cítí potřebu zaměřit se na opatření, která zahrnují lidský faktor – 35 % společností chce zlepšit svoji kyberbezpečnost prostřednictvím proškolení zaměstnanců. Tato metoda kybernetické bezpečnosti se tak stává druhou nejrozšířenější, když na prvním místě je využívání sofistikovaného softwaru (43 %).

Nejúčinnější způsob, jak ochránit organizace před kybernetickými hrozbami ovlivněnými lidským faktorem, spočívá v kombinaci správných nástrojů a odpovídajících postupů. Mezi ně by měla spadat snaha HR a předních manažerů motivovat zaměstnance k větší opatrnosti. Ti by se zároveň neměli bát požádat o pomoc v případě incidentu. Mezi první kroky, které by organizace v tomto směru měly podniknout, patří proškolení zaměstnanců o kybernetické bezpečnosti, vypracování jednoduchých a jasných směrnic namísto mnohastránkových dokumentů a především podpora rozvoje dovedností zaměstnanců a zajištění příjemné pracovní atmosféry.

Celý průzkum „Lidský faktor v IT bezpečnosti: Jak zaměstnanci vystavují firmy riziku zevnitř“ je dostupný na blogu společnosti.

Štítky: 
Bezpečnost, Kaspersky

Podobné články

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více
Foto: Algotech

Tržby z prodeje bezpečnostních produktů vloni vzrostly o 15,6 %

8. 7. 2024. (redaktor: František Doupal, zdroj: IDC)
Celosvětové tržby za bezpečnostní produkty dosáhly v roce 2023 celkem 106,8 miliardy dolarů, což představuje nárůst o 15,6 % oproti roku 2022. Růst tržeb byl výrazný – podle IDC zaznamenalo dvouciferný meziroční nárůst všech šest sledovaných kategorií. Růst by měl navíc pokračovat přinejmenším do roku 2028. Čtěte více