Remiantis „Kaspersky Lab“ ir „B2B International“ ataskaitos „Žmogiškasis faktorius IT saugume: kaip darbuotojai daro įmones pažeidžiamas iš išorės“ duomenimis, darbuotojai sukelia 40 proc. IT saugumo incidentų viso pasaulio įmonėse. Atsižvelgiant į tai, kad kiekvienais metais 46 proc. IT saugumo incidentų kyla dėl įmonių darbuotojų, šis verslo pažeidžiamumas turi būti sprendžiamas įvairiais lygmenimis, ne tik IT saugumo departamentų.
Darbuotojų neatsargumas yra vienas didžiausių pažeidžiamumų įmonių kibernetinio saugumo ginkluotėje, kalbant apie tikslinius išpuolius. Nors patyrę programišiai visada gali taikyti specialiai sukurtas kenkėjiškas programas ir aukštąsias technologijas, greičiausiai jie pradės išnaudoti lengviausią įsilaužimo būdą – žmogaus prigimtį.
Remiantis tyrimu, kas trečiame (28 proc.) tiksliniame išpuolyje prieš verslo įmones per pastaruosius metus buvo taikoma sukčiavimo ir socialinė inžinerija. Pavyzdžiui, nerūpestinga buhalterė gali lengvai atidaryti kenksmingą failą kaip sąskaitą faktūrą, neva siųstą vieno iš daugelio bendrovės rangovų. Tai gali pažeisti visą organizacijos infrastruktūrą, o apskaitininką paversti puolėjų bendrininku.
„Kibernetiniai nusikaltėliai dažnai per darbuotoju įsilaužia į įmonės infrastruktūrą. Šlamštlaiškiai, silpni slaptažodžiai, netikri techninės pagalbos skambučiai – visa tai jau žinome. Net paprasta atminties kortelė, pamesta biuro automobilių aikštelėje ar šalia administratorės stalo, gali pakenkti visam tinklui“, – sako Davidas Jacoby, „Kaspersky Lab“ saugumo ekspertas.
Sudėtingi tiksliniai išpuoliai prieš organizacijas neįvyksta kasdien, bet įprasta kenkėjiška programinė įranga smogia vis dažniau. Deja, tyrimai taip pat rodo, kad net ir kenkėjiškų programų užkrėtimo atveju dažnai dalyvauja neatsargūs darbuotojai, dėl jų kaltės sukeliama 53 proc. užkrėtimo kenkėjiškomis programomis incidentų.
Slėpynės su darbuotojais
Darbuotojai, slepiantys incidentus, į kuriuos galėjo būti įtraukti, gali sukelti dramatiškų padarinių ir padidinti padarytą žalą. Net vienas nutylėtas įvykis gali rodyti gerokai didesnį pažeidimą, o saugumo tarnyboms turi būti suteikta galimybė greitai nustatyti grėsmes, kad būtų pasirinkta tinkama rizikos mažinimo taktika.
Tačiau darbuotojai labiau linkę sukelti pavojų organizacijai, nei pranešti apie problemą. Kai kurios bendrovės nustatė griežtas taisykles ir įpareigoja darbuotojus imtis papildomos atsakomybės, bet neskatina jų būti budriems ir bendradarbiauti. Kibernetinė gynyba priklauso ne tik nuo technologijų, bet ir nuo organizacijos kultūros bei švietimo. Būtent į šią sritį turėtų įsitraukti aukščiausio lygio vadovai ir personalo valdymo skyrius.
„Incidentų slėpimo problema turi būti aiškinama ne tik darbuotojams, bet ir aukščiausios grandies vadovams bei personalo departamentams. Darbuotojai kibernetinius incidentus slepia ne be priežasties. Kai kuriais atvejais įmonės pateikia griežtą, tačiau neaiškią politiką ir pernelyg spaudžia darbuotojus. Tokia politika skatina baimę ir palieka vienintelę galimybę – visais būdais bandyti išvengti atsakomybės ir bausmės. Jei jūsų kibernetinio saugumo kultūra yra pozityvi, rezultatai bus akivaizdūs“, – komentuoja Slava Borilinas, „Kaspersky Lab“ saugumo švietimo programos vadovas.
S.Borilinas taip pat primena pramoninio saugumo modelį, kai skatinama pranešti apie incidentus ir pasimokyti iš klaidų. Pavyzdžiui, bendrovės „Tesla“ vadovas Elon Musk savo neseniai pateiktame pareiškime paprašė, kad apie kiekvieną darbuotojų saugai įtakos turintį įvykį būtų tiesiogiai pranešama jam, kad jis galėtų atlikti svarbų vaidmenį pokyčiuose.
Žmogiškasis faktorius
Viso pasaulio organizacijos jau pripažįsta problemą, kad dėl darbuotojų kaltės pažeidžiamas jų verslas: 52 proc. apklaustų įmonių pripažįsta, kad personalas yra didžiausias jų IT saugumo trūkumas. Vis akivaizdžiau, kad reikia įgyvendinti į personalą orientuotas priemones: 35 proc. įmonių siekia pagerinti saugumą, rengdami mokymus darbuotojams. Todėl tai antras populiariausias kibernetinės gynybos metodas po sudėtingesnės programinės įrangos diegimo (43 proc.).
Geriausias būdas apsaugoti organizacijas nuo su žmonėmis susijusių kibernetinių grėsmių – tinkamas priemones derinti su tinkama praktika. Tai turėtų apimti žmogiškųjų išteklių ir verslo valdymo pastangas, motyvuoti ir skatinti darbuotojus būti budriems ir įvykio atveju ieškoti pagalbos. Pirmieji organizacijų žingsniai turėtų būti darbuotojų informavimas apie saugumą, pateikiant aiškias gaires, formuojant įgūdžius, stiprinant motyvaciją ir palaikant tinkamą darbo aplinką.
Kalbant apie saugumo technologijas, daugumą į nerūpestingus darbuotojus nukreiptų grėsmių, įskaitant sukčiavimą, galima sumažinti taikant pažangius saugumo sprendimus, atitinkančius konkrečius smulkaus, vidutinio ir stambaus verslo įmonių poreikius funkcionalumo prasme. Siekiant sumažinti riziką, juose iš anksto sukonfigūruoti apsaugos ar pažangaus saugumo nustatymai.
