Prema izvještaju kompanija Kaspersky Lab i B2B International, „Ljudski faktor u IT bezbjednosti: Kako zaposleni čine kompanije ranjivim”, zaposleni prikrivaju IT sigurnosne incidente u 40 odsto kompanija širom svijeta. Budući da 46 odsto IT sigurnosnih incidenata svake godine izazivaju zaposleni, ranjivosti kompanija mora se pristupiti na više nivoa, ne samo kroz sektor IT bezbjednosti.
“Otvaranje vrata“ hakerima
Pored malvera, neinformisani ili nepažljivi zaposleni su jedan od najčešćih uzroka sajber bezbjednosnih incidenata. Dok malveri postaju sve sofisticiraniji, ljudski faktor, nažalost, može predstavljati još veću opasnost.
Kada su u pitanju ciljani napadi, neobazrivost zaposlenih je jedna od najvećih slabosti u korporativnom sistemu sajber bezbjednosti. Iako napredni hakeri uvek mogu koristiti posebno napravljene malvere i složene tehnologije za planiranje napada, najvjerovatnije je da će početi od najslabije tačke – zaposlenih.
Prema istraživanju, svaki treći ciljani napad (28 odsto) na kompanije u protekloj godini počinjao je pokretanjem „fišing“ napada na zaposlene. Na primjer, nepažljivi knjigovođa može lako otvoriti maliciozni fajl maskiran u fakturu jednog od mnogih saradnika kompanije. Ovo može ugasiti infrastrukturu cele organizacije, čineći zaposlenog saučesnikom napadača.
„Sajber kriminalci često koriste zaposlene kao ulaznu tačku za upad u korporativnu infrastrukturu. „Fišing“ i- mejlovi, slabe lozinke, lažni pozivi iz tehničke podrške, sve je već isprobano. Čak i obična flash memorija sa stola sekretarice ili izgubljena na parkingu može ugroziti čitavu mrežu. Sve što vam treba je neko unutar kompanije, ko nije informisan ili ne obraća pažnju na bezbjednost, i uređaj se može povezati na mrežu odakle može izazvati katastrofu”, istakao je Dejvid Džekobi (David Jacoby), bezbjedonosni istraživač u kompaniji Kaspersky Lab.
Sofisticirani ciljani napadi ne dešavaju se organizacijama svakog dana, ali konvencionalni malveri sprovode masovne napade. Nažalost, istraživanje je takođe pokazalo da čak i tamo gdje je riječ o malveru, neupućeni i nepažljivi zaposleni takođe utiču na napade, pri čemu izazivaju infekciju u 53 odsto slučajeva.
Zbog čega bi sektor ljudskih resursa trebalo da bude uključen sakrivanjem incidenta u koji su umiješani, zaposleni mogu izazvati ogromne posljedice, povećavajući ukupnu štetu za kompaniju. Samo jedan neprijavljen događaj može napraviti veliki problem, a bezbjedonosni timovi moraju biti u stanju da za kratko vrijeme identifikuju prijetnje sa kojima se suočavaju kako bi primijenili odgovarajuće odbrambene taktike.
Međutim, zaposleni bi radije postavili organizaciju u rizičnu poziciju nego da prijave problem, budući da se plaše kazne ili ih je sramota zato što su odgovorni za incident. Umjesto da ohrabre zaposlene da budu pažljiviji i da više sarađuju, kompanije su uvele stroga pravila i nametnule dodatne odgovornosti. To znači da sajber zaštita ne zavisi samo od tehnoloških rješenja već i od kulture same organizacije i obuke zaposlenih. Vrhovni menadžment i sektor ljudskih resursa moraju biti angažovani na tom polju.
„O problemu prikrivanja incidenta trebalo bi da budu obaviješteni ne samo zaposleni, već i vrhovni menadžment i sektor ljudskih resursa. Ako zaposleni prikrivaju incidente, za to mora da postoji razlog. U nekim slučajevima, kompanije postavljaju striktna, ali nejasna pravila i nameću preveliki prtisak na zaposlene, upozoravajući ih šta da ne rade jer će u suprotnom snositi odgovornost u slučaju da nešto krene naopako. Takve politike nameću strah i ostavljaju zaposlenima samo jednu opciju – da izbjegnu kaznu po svaku cijenu. Ako je vaša kultura sajber bezbjednosti pozitivna, zasnovana na edukativnom umjesto restriktivnom pristupu, i sprovedena od vrha na dolje, rezultati će biti očigledni”, izjavio je Slava Borilin, menadžer za program sigurnosne edukacije u kompaniji Kasrpersky Lab.
Borilin izdvaja model industrijske sigurnosti, čiju osnovu poslovanja čine izvještavanje i pristup „učenja na greškama”. Na primjer, Elon Musk iz kompanije Tesla, u svom nedavnom saopštenju zahtijeva da svaki incident povezan sa bezbjednošću zaposlenih bude prijavljen direktno njemu, kako bi odigrao ključnu ulogu u sprovođenju promena.
Ljudski faktor
Organizacije širom svijeta postaju svjesne činjenice da zaposleni čine kompanije ranjivijim: 52 odsto ispitanih kompanija priznaje da su zaposleni najslabija tačka u njihovoj IT bezbjednosti. Potreba da se uvedu mjere fokusirane na zaposlene postaje sve više očigledna: 35 odsto kompanija nastoji da poboljša bezbjednost kroz obučavanje zaposlenih, zbog čega ovo postaje drugi po redu metod sajber odbrane, odmah iza uvođenja sofisticiranijeg softvera (43 odsto).
Najbolji način da se organizacije zaštite od ljudskog faktora jeste da kombinuju odgovarajuće alate sa bezbjedonosnim praksama. To podrazumijeva zalaganje sektora ljudskih resursa i menadžmenta u ohrabrivanju zaposlenih da budu obazriviji i da potraže pomoć u slučaju incidenta. Podizanje svijesti o bezbjednosti kod zaposlenih, pružanje jasnih smjernica umjesto predugih dokumenata, izgradnja jakih vještina i motivacije, i njegovanje odgovarajuće radne atmosfere neki su od prvih koraka koje organizacija treba da preduzme.
Vesti.rs
