Prema izveštaju kompanija Kaspersky Lab i B2B International, „Ljudski faktor u IT bezbednosti: Kako zaposleni čine kompanije ranjivim”, zaposleni prikrivaju IT sigurnosne incidente u 40 odsto kompanija širom sveta. Budući da 46 odsto IT sigurnosnih incidenata svake godine izazivaju zaposleni, ranjivosti kompanija mora se pristupiti na više nivoa, ne samo kroz sektor IT bezbednosti.
„Otvaranje vrata“ hakerima
Pored malvera, neinformisani ili nepažljivi zaposleni su jedan od najčešćih uzroka sajber bezbednosnih incidenata. Dok malveri postaju sve sofisticiraniji, ljudski faktor, nažalost, može predstavljati još veću opasnost.
Kada su u pitanju ciljani napadi, neobazrivost zaposlenih je jedna od najvećih slabosti u korporativnom sistemu sajber bezbednosti. Iako napredni hakeri uvek mogu koristiti posebno napravljene malvere i složene tehnologije za planiranje napada, najverovatnije je da će početi od najslabije tačke – zaposlenih.
Prema istraživanju, svaki treći ciljani napad (28 odsto) na kompanije u protekloj godini počinjao je pokretanjem „fišing“ napada na zaposlene. Na primer, nepažljivi knjigovođa može lako otvoriti maliciozni fajl maskiran u fakturu jednog od mnogih saradnika kompanije. Ovo može ugasiti infrastrukturu cele organizacije, čineći zaposlenog saučesnikom napadača.
„Sajber kriminalci često koriste zaposlene kao ulaznu tačku za upad u korporativnu infrastrukturu. „Fišing“ i-- mejlovi, slabe lozinke, lažni pozivi iz tehničke podrške, sve je već isprobano. Čak i obična flash memorija sa stola sekretarice ili izgubljena na parkingu može ugroziti čitavu mrežu. Sve što vam treba je neko unutar kompanije, ko nije informisan ili ne obraća pažnju na bezbednost, i uređaj se može povezati na mrežu odakle može izazvati katastrofu”, istakao je Dejvid Džekobi (David Jacoby), bezbednosni istraživač u kompaniji Kaspersky Lab.
Sofisticirani ciljani napadi ne dešavaju se organizacijama svakog dana, ali konvencionalni malveri sprovode masovne napade. Nažalost, istraživanje je takođe pokazalo da čak i tamo gde je reč o malveru, neupućeni i nepažljivi zaposleni takođe utiču na napade, pri čemu izazivaju infekciju u 53 odsto slučajeva.
Zbog čega bi sektor ljudskih resursa trebalo da bude uključen Sakrivanjem incidenta u koji su umešani, zaposleni mogu izazvati ogromne posledice, povećavajući ukupnu štetu za kompaniju. Samo jedan neprijavljen događaj može napraviti veliki problem, a bezbednosni timovi moraju biti u stanju da za kratko vreme identifikuju pretnje sa kojima se suočavaju kako bi primenili odgovarajuće odbrambene taktike.
Međutim, zaposleni bi radije postavili organizaciju u rizičnu poziciju nego da prijave problem, budući da se plaše kazne ili ih je sramota zato što su odgovorni za incident. Umesto da ohrabre zaposlene da budu pažljiviji i da više sarađuju, kompanije su uvele stroga pravila i nametnule dodatne odgovornosti. To znači da sajber zaštita ne zavisi samo od tehnoloških rešenja već i od kulture same organizacije i obuke zaposlenih. Vrhovni menadžment i sektor ljudskih resursa moraju biti angažovani na tom polju.
„O problemu prikrivanja incidenta trebalo bi da budu obavešteni ne samo zaposleni, već i vrhovni menadžment i sektor ljudskih resursa. Ako zaposleni prikrivaju incidente, za to mora da postoji razlog. U nekim slučajevima, kompanije postavljaju striktna, ali nejasna pravila i nameću preveliki prtisak na zaposlene, upozoravajući ih šta da ne rade jer će u suprotnom snositi odgovornost u slučaju da nešto krene naopako.
Takve politike nameću strah i ostavljaju zaposlenima samo jednu opciju – da izbegnu kaznu po svaku cenu. Ako je vaša kultura sajber bezbednosti pozitivna, zasnovana na edukativnom umesto restriktivnom pristupu, i sprovedena od vrha na dole, rezultati će biti očigledni”, izjavio je Slava Borilin, menadžer za program sigurnosne edukacije u kompaniji Kasrpersky Lab.
Borilin izdvaja model industrijske sigurnosti, čiju osnovu poslovanja čine izveštavanje i pristup „učenja na greškama”. Na primer, Elon Musk iz kompanije Tesla, u svom nedavnom saopštenju zahteva da svaki incident povezan sa bezbednošću zaposlenih bude prijavljen direktno njemu, kako bi odigrao ključnu ulogu u sprovođenju promena.
Ljudski faktor
Organizacije širom sveta postaju svesne činjenice da zaposleni čine kompanije ranjivijim: 52 odsto ispitanih kompanija priznaje da su zaposleni najslabija tačka u njihovoj IT bezbednosti. Potreba da se uvedu mere fokusirane na zaposlene postaje sve više očigledna: 35 odsto kompanija nastoji da poboljša bezbednost kroz obučavanje zaposlenih, zbog čega ovo postaje drugi po redu metod sajber odbrane, odmah iza uvođenja sofisticiranijeg softvera (43 odsto).
Najbolji način da se organizacije zaštite od ljudskog faktora jeste da kombinuju odgovarajuće alate sa bezbednosnim praksama. To podrazumeva zalaganje sektora ljudskih resursa i menadžmenta u ohrabrivanju zaposlenih da budu obazriviji i da potraže pomoć u sučaju incidenta. Podizanje svesti o bezbednosti kod zaposlenih, pružanje jasnih smernica umesto predugih dokumenata, izgradnja jakih veština i motivacije, i negovanje odgovarajuće radne atmosfere neki su od prvih koraka koje organizacija treba da preduzme.