Významným kyberbezpečnostním rizikem jsou i vlastní zaměstnanci
Praha 9. června 2023 (PROTEXT) – Mnoho malých a středních firem si myslí, že se obejdou bez řešení kybernetické bezpečnosti, jelikož věří, že pro kyberzločince nepředstavují dostatečně zajímavý cíl.
Nedávná studie však uvádí, že na takové firmy míří téměř 46 % všech kybernetických útoků. Podle údajů Světového ekonomického fóra je přitom95 % případů narušení kybernetické bezpečnosti připisováno lidské chybě.
Tyto údaje ukazují, že firmy si možná ani neuvědomují, že jejich zaměstnanci mohou neúmyslně, či dokonce úmyslně, narušit prosperitu svého zaměstnavatele. Některé nevhodné chování může vést k finančním ztrátám, poškození pověsti nebo snížení produktivity celé firmy.
Prozkoumejme, jak mohou zaměstnanci a jejich nedbalost či pomstychtivost ovlivnit kybernetickou bezpečnost nebo fungování malé a střední firmy. V tomto článku si na tyto otázky posvítí odborníci společnosti Kaspersky a žádná z nich nezůstane bez odpovědi.
Malá neopatrnost může způsobit velké škody
Podle průzkumuKaspersky 2022 IT Security Economics, který zahrnoval rozhovory s více než 3 000 manažery IT bezpečnosti ve 26 zemích, bylo přibližně 22 % úniků dat v sektoru malých a středních firem zaviněno zaměstnanci, přičemž téměř stejný podíl byl způsoben kybernetickými útoky. V nadsázce lze říci, že zaměstnanci mohou být téměř stejně nebezpeční jako hackeři, i když ve většině případů k tomu samozřejmě dochází kvůli jejich nedbalosti nebo nedostatečné informovanosti.
Existují různé způsoby, jak může jednání zaměstnanců nechtěně vést k závažnému narušení a poškození kybernetické bezpečnosti malých a středních firem. Mezi ty hlavní patří:
1. Slabá hesla
Zaměstnanci mohou používat jednoduchá nebo snadno uhodnutelná hesla, která mohou kyberzločinci lehce odhalit, což v konečném důsledku vede k neoprávněnému přístupu k citlivým údajům. Existuje dokonce seznamnejčastěji prolomených hesel – zkontrolujte, zda mezi nimi není i to vaše.
2. Phishingové podvody
Zaměstnanci mohou nevědomky nebo omylem kliknout na phishingové odkazy v e-mailech, což může vést k infekci malwarem a neoprávněnému přístupu do firemní sítě. Většina podvodníků dokáže napodobit e-mailovou adresu legitimní organizace a z odeslaného e-mailu s přiloženým dokumentem nebo archivem se může vyklubat malware. Nedávným příkladem je útokAgent Tesla, který postihl uživatele po celém světě.
3. Používání soukromých zařízení zaměstnanců (BYOD)
Praktiky BYOD získaly na významu v důsledku řady lockdownů v době vrcholící pandemie COVID-19. V této době byli zaměstnanci, jejichž přítomnost na pracovišti nebyla nezbytná, nuceni pracovat z domova a v myslích manažerů firem byla na prvním místě kontinuita provozu, nikoli bezpečnost.
Zaměstnanci používají pro připojení k firemním sítím často vlastní zařízení, což může představovat vážnou bezpečnostní hrozbu, pokud tato zařízení nemají odpovídající ochranu proti kybernetickým útokům. Vzhledem k tomu, že se každý den objeví více než 400.000 nových škodlivých programů a počet cílených útoků na firmy roste, ocitají se firmy ve velmi nebezpečné situaci. Zároveň většina firem neplánuje (nebo považuje za nemožné) zcela zablokovat přístup osobních zařízení k firemním datům.
Nezabezpečená firemní data uložená v osobním notebooku, který se ztratí na letišti nebo je zapomenut v taxíku,jsou typickou noční můrou nepřipraveného IT oddělení. Řada firem to řeší tak, že zaměstnancům povolí pracovat pouze v kanceláři na schválených počítačích s velmi omezenými možnostmi odesílání dat a zákazem používání USB flash disků. Tento přístup však nelze použít ve firmě, která kvůli větší flexibilitě spoléhá na vlastní zařízení zaměstnanců – to by však nemělo znamenat rezignaci na bezpečnost. Ideálním řešením problému ztráty zařízení je úplné nebo částečné šifrování firemních dat, které je vynucováno firemními předpisy. Tak by ani v případě odcizení notebooku nebo USB disku nebyla data na něm přístupná bez znalosti hesla.
4. Nedostatečné záplatování
Pokud zaměstnanci používají vlastní zařízení, pracovníci IT oddělení nemusí být schopni sledovat jejich zabezpečení nebo řešit případné bezpečnostní problémy. Zaměstnanci mohou navíc zanedbávat pravidelné instalace záplat nebo aktualizace svých systémů a softwaru, což může vést ke zranitelnostem, které mohou zneužít kyberzločinci.
5. Ransomware
Pro případ útoku ransomwaru je důležité zálohovat data tak, abyste je měli k dispozici i v případě, že se kyberzločincům podařilo ovládnout systém organizace a zašifrovat důležité informace.
6. Sociální inženýrství
Zaměstnanci mohou v reakci na taktiku sociálního inženýrství nebo phishingové podvody neúmyslně poskytnout citlivé informace, jako jsou přihlašovací údaje, hesla nebo jiné důvěrné údaje. Snadněji se nechají oklamat noví zaměstnanci, kteří ještě nevědí, „jak to ve firmě chodí“. Podvodník se například může před nováčkem vydávat za „šéfa“ a pak se pokusit ukrást některé důležité interní informace nebo vylákat peníze.
Jedním z příkladů, jak podvodníci pracují, je zaslání
e-mailu, v němž se vydávají za šéfa nebo nějakého nadřízeného
(s použitím neoficiální adresy) a žádají zaměstnance, aby „neodkladně“ splnil nějaký úkol. Nováček mu rád vyhoví. Úkolem může být například převod finančních prostředků dodavateli nebo nákup dárkových certifikátů v určité hodnotě. A ve zprávě je uvedeno, že to má být „ASAP“ a „peníze dostanete zpět do konce dne“. Podvodníci zdůrazňují právě naléhavost úkolu, aby zaměstnanec neměl čas si to promyslet nebo ověřil u někoho jiného.
Jsou to chyby, kterých se zaměstnanci mohou dopustit z neznalosti nebo nedbalosti. Co se však může stát, když se zaměstnanec snaží úmyslně narušit bezpečnost organizace v době, kdy je zaměstnán, nebo těsně po odchodu z firmy? Pak mohou nastat další potíže.
Touha po pomstě
Začněme několika statistikami získanými společností Kaspersky. Ačkoli za většinou úniků stojí nevinné chyby nebo ignorování zásad kybernetické bezpečnosti, bezpečnostní manažeři uvedli, že zhruba třetina
rocent) úniků způsobených zaměstnanci byla úmyslnými akty sabotáže nebo průmyslové špionáže.
Společnost Kaspersky informovala o několika problémech souvisejících s úmyslnou sabotáží. Jeden z příkladů nastal, když bývalý
pracovník dodavatele zdravotnických prostředků sabotoval dodávky zákazníkům
– poté, co byl propuštěn, použil vlastní „tajný účet“, aby zdržel proces dodávek. Jelikož zdravotnická organizace nebyla schopna dodávat zboží včas, byla nucena dočasně pozastavit všechny obchodní operace a přerušení přetrvávalo i o několik měsíců později. Nakonec byla firma nucena obrátit se na orgány činné v trestním řízení.
Dalším takovým případem bylo, když
zaměstnanec IT oddělení podal na organizaci stížnost kvůli rasové diskriminaci
. Když mu byl nabídnut příspěvek na změnu pracoviště, odmítl a trval na práci z domu. Byl proto propuštěn a rozhodl se svému bývalému zaměstnavateli pomstít. Změnil heslo k firemnímu účtu na Googlu, čímž znemožnil dřívějším kolegům přístup k e-mailu a zablokoval více než 2 000 studentů přístup ke studijním materiálům.
Tyto příklady ukazují, jak mohou propuštění zaměstnanci v touze po pomstě způsobit svému někdejšímu zaměstnavateli opravdu velkou škodu.
Co by měly malé a střední firmy udělat?
Velký počet kybernetických incidentů, které jsou důsledkem jednání zaměstnanců, ukazuje, že všechny organizace potřebují důkladné školení o kybernetické bezpečnosti, aby se zaměstnanci naučili, jak se vyhnout běžným bezpečnostnímchybám.
Firmy by měly používat ochranu koncových bodů s funkcemi detekce hrozeb a reakce na ně, aby snížily riziko útoků a narušení dat. S vyšetřováním útoků a profesionální reakcí mohou organizacím pomoci také spravované služby ochrany. Pro snížení možnosti incidentů způsobených zaměstnanci jsou také nezbytná výše zmíněná školení.
Abyste si mohli být opravdu jistí, že je s kybernetickou bezpečností vaší firmy vše v pořádku, připravila společnost Kaspersky následující seznam doporučení:
· Používejte řešení ochrany koncových bodů a e-mailových serverů s antiphishingovými funkcemi, abyste snížili pravděpodobnost nákazy prostřednictvím phishingového e-mailu.
· Zaveďte nezbytná opatření na ochranu dat. Vždy zabezpečte firemní data a zařízení, včetně zapnutí ochrany heslem, šifrování na pracovních zařízeních a zajištění zálohování dat.
· Dbejte na fyzickou bezpečnost pracovních zařízení – nenechávejte je bez dozoru na veřejnosti, vždy je zamykejte a používejte silná hesla a šifrovací software.
· I malé firmy by se měly chránit před kybernetickými hrozbami bez ohledu na to, zda zaměstnanci pracují na firemních nebo soukromých zařízeních. Můžete použít například řešení Kaspersky Small Office Security, které lze nainstalovat vzdáleně a spravovat z cloudu – nevyžaduje to mnoho času, zdrojů ani specifických znalostí pro jeho nasazení a správu.
· Najděte si vhodné specializované řešení pro malé a střední firmy s jednoduchou správou a osvědčenými ochrannými funkcemi, například Kaspersky Endpoint Security Cloud. Údržbu kybernetické bezpečnosti můžete svěřit také poskytovateli služeb, který dokáže nabídnout ochranu na míru vašeho podnikání.
O společnosti Kaspersky
Kaspersky je globální společnost zaměřená na kybernetickou bezpečností a digitální soukromí, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují v inovativní bezpečnostní řešení a služby na ochranu podniků, kritické infrastruktury, vlád a spotřebitelů po celém světě. Komplexní portfolio zabezpečení společnosti zahrnuje špičkovou ochranu koncových bodů, specializovaná bezpečnostní řešení a služby a také řešení Cyber Immune pro boj se sofistikovanými a neustále se vyvíjejícími digitálními hrozbami. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a víc než 220 000 firemním klientům pomáháme chránit vše, co je pro ně v digitální oblasti nejdůležitější. Další informace naleznete na adrese www.kaspersky.cz.