Wydaje ci się, że największym zagrożeniem dla bezpieczeństwa informatycznego w firmie są wyrafinowane ataki hakerów i organizacji przestępczych lub wady systemu? Nic bardziej mylnego. Równie dużym wyzwaniem dla specjalistów od IT security są sami pracownicy, którzy swoim zachowaniem przyczyniają się do zwiększenia poziomu ryzyka utraty danych o kluczowym znaczeniu.
Fatalna w skutkach nieświadomość
Świadomość polskich firm co do ryzyka, jakie wiąże się z utratą najbardziej wrażliwych danych, z roku na rok wzrasta. Rosną też ich nakłady na ochronę informacji, ale to wcale nie oznacza, że jest ona skuteczna. Wynika to z faktu, że wiele firm budując systemy zabezpieczeń koncentruje się na ryzyku zewnętrznych ataków, nie poświęcając dostatecznie dużo uwagi zagrożeniom płynącym z wewnątrz organizacji. Według badania przeprowadzonego przez PwC aż 70 proc. nadużyć wynika z błędów obecnych lub byłych pracowników firmy, często popełnianych nieświadomie – bardziej z powodu ignorancji niż złej woli. W ostatnich latach nie brak przykładów na to, jak zwykła niefrasobliwość potrafi niejednemu cyberprzestępcy otworzyć firmowe drzwi. Jednym z nich jest wpadka pracownika Getin Noble Banku, który najprawdopodobniej przez otworzenie załącznika ze skrzynki mailowej zainfekował złośliwym oprogramowaniem swój komputer i umożliwił dostęp do niego włamywaczowi. Efekt? W posiadaniu oszusta znalazły się dane 18 tysięcy dłużników banku.
Złe nawyki
Otwieranie e-maili zawierających podejrzane linki czy załączniki to nie jedyne zachowania niosące największe ryzyko pod względem cyberbezpieczeństwa. Równie nagminne jest stosowanie niewystarczająco złożonych haseł lub, co gorsza, używanie tego samego szyfru podczas logowania do rozmaitych kont osobistych i firmowych, w dodatku zapisanego w przeglądarce. Duże zagrożenie mogą stwarzać także wszelkie pliki do pobrania z sieci. Błędy pracowników polegają na samowolnym ściąganiu oraz instalowaniu na biurowych komputerach aplikacji, które później okazują się prawdziwymi trojańskim koniami. Powszechnym źródłem wyłudzania danych przez oszustów są także portale społecznościowe, z których mnóstwo osób korzysta w godzinach pracy. Często nawet nie zdajemy sobie sprawy, jak wiele treści w ten sposób bezwiednie generujemy, jak choćby adres IP. Wśród równie ryzykownych praktyk pracowników znajdują się ponadto: podłączanie komputera do Internetu za pośrednictwem niezabezpieczonej sieci bezprzewodowej, przynoszenie do pracy prywatnych urządzeń i praca na nich lub strata urządzenia firmowego przez pracowników znajdujących się w podróży.
Przede wszystkim edukacja
Konieczność modyfikacji polityki bezpieczeństwa tak, aby w najlepszy możliwy sposób chroniła ona nie tylko przed atakami zewnętrznymi, ale brała również pod uwagę realne zachowania pracowników, to jedno z największych wyzwań, jakie stoją przed współczesnymi organizacjami. Przede wszystkim należy zadbać o przeszkolenie pracowników w zakresie cyberbezpieczeństwa i uświadomić im możliwe konsekwencje, jakie mogą wyniknąć z braku ostrożności. Do dyspozycji pracodawców jest coraz więcej technologicznych rozwiązań pozwalających zminimalizować skutki takiej niefrasobliwości. Jednym z najnowszych jest uwierzytelnianie dostępu nie tylko za pomocą haseł, ale też odcisków palców czy poprzez skanowanie biometrii twarzy. Warto również rozważyć wdrożenie rozwiązań, które zapobiegają wykonywaniu złośliwych kodów. Dzięki temu nawet, kiedy pracownik kliknie w złośliwy link lub otworzy załącznik, kod po prostu nie wykona się.
Czynnik ludzki ze swoją niedoskonałością jest i prawdopodobnie zawsze będzie zagrożeniem dla bezpieczeństwa poufnych danych. Z drugiej strony – trudno o bardziej skuteczną metodę ochrony niż pracownicy świadomi zagrożeń, znający i stosujący się do zasad bezpieczeństwa…
