40 % uzņēmumu visā pasaulē darbinieki slēpj IT drošības incidentus - par to liecina Kaspersky Lab un B2B International jaunais pārskats «Cilvēkfaktors IT drošībā: kā darbinieki no iekšienes padara uzņēmumus ievainojamus». Katru gadu darbinieki izraisa 46 % IT drošības incidentu, tāpēc šī uzņēmumu ievainojamība ir jānovērš vairākos līmeņos, nevis tikai ar IT drošības nodaļas starpniecību.
Neinformēti vai pavirši darbinieki ir viens no biežāk sastopamajiem kiberdrošības incidentu cēloņiem
- otrajā vietā aiz ļaunprogrammatūrām. Lai gan ļaunprogrammatūras kļūst arvien sarežģītākas, skumjā īstenība ir tāda, ka mūžīgais cilvēkfaktors var radīt vēl lielākas briesmas.
Jo īpaši attiecībā uz mērķuzbrukumiem darbinieku neuzmanība ir viena no lielākajām plaisām uzņēmuma kiberdrošības bruņās. Kaut gan progresīvi hakeri vienmēr var izmantot pielāgotu ļaunprogrammatūru un augsto tehnoloģiju metodes, lai izplānotu ielaušanos, visticamāk, viņi sāks ar vienkāršākā ieejas punkta - cilvēka dabas - izmantošanu.
Saskaņā ar pētījumu pagājušajā gadā trešdaļas (28 %) mērķuzbrukumu uzņēmumiem pirmsākums bija pikšķerēšana vai sociālā inženierija. Piemēram, bezrūpīgs grāmatvedis viegli var atvērt ļaundabīgu datni, kas ir nomaskēta par rēķinu no uzņēmuma daudzajiem līgumpartneriem. Tādā veidā var izslēgt visu organizācijas infrastruktūru un padarīt grāmatvedi par uzbrucēju neapzinātu līdzdalībnieku.
«Kibernoziedznieki bieži izmanto darbiniekus par ieejas punktu iekļūšanai uzņēmuma infrastruktūrā. Pikšķerēšanas e-vēstules, vājas paroles un viltus zvani no tehniskā atbalsta dienesta - viss ir bijis.
Pat parasta zibatmiņas karte, kas nomesta biroja stāvlaukumā vai pie sekretāra rakstāmgalda, var apdraudēt visu tīklu
- tikai nepieciešams, lai uzņēmumā ir kāda persona, kura nezina vai nepievērš uzmanību drošībai, un šī ierīce var tikt vienkārši pievienota tīklam un nodarīt postījumus,» norāda Kaspersky Lab pētnieks Deivids Jakobi.
Sarežģīti mērķuzbrukumi organizācijām nenotiek katru dienu, bet parastas ļaunprogrammatūras uzbrūk masveidīgi. Diemžēl pētījums vēl parāda, ka pat tad, kad ir iejaukta ļaunprogrammatūra, bieži vien ir iesaistīti arī neinformēti un bezrūpīgi darbinieki, kas izraisa inficēšanos ar ļaunprogrammatūru 53 % incidentu.
Paslēpes: kāpēc ir jāiesaistās personāla speciālistiem un augstākajai vadībai
Darbinieki, kas slēpj incidentus, kuros viņi ir iesaistīti, var izraisīt traģiskas sekas, palielinot kopējo nodarīto kaitējumu. Pat viens nepaziņotais gadījums var norādīt uz daudz lielāku pārkāpumu, un drošības dienestiem ir jāspēj ātri identificēt draudus, ar ko tie saskaras, lai izvēlētos pareizo seku mazināšanas taktiku.
Taču
darbinieki drīzāk pakļauj riskam organizācijas, nevis ziņo par problēmu, jo baidās no soda vai apkaunojuma
par to, ka ir atbildīgi par kādu nepareizu darbību. Daži uzņēmumi ir ieviesuši stingrus noteikumus un uzliek darbiniekiem papildu atbildību, nevis mudina viņus tikai būt modriem un sadarboties. Tas nozīmē, ka kiberaizsardzība ietilpst ne vien tehnoloģiju, bet arī organizācijas kultūras un mācību sfērā. Tieši tur ir jāiesaistās augstākajai vadībai un personāla speciālistiem.
«Par incidentu slēpšanas problēmu ir jāinformē ne tikai darbinieki, bet arī augstākā vadība un personāla nodaļas. Ja darbinieki slēpj incidentus, tam ir kāds iemesls. Dažkārt uzņēmumi ievieš stingras, bet neskaidras politikas un izdara pārāk lielu spiedienu uz darbiniekiem, brīdinot, lai viņi nedara šo vai to, citādi būs atbildīgi, ja notiks kaut kas slikts. Šādas politikas veicina bailes un atstāj darbiniekiem tikai vienu iespēju - lai lūst vai plīst, izvairīties no soda. Ja jūsu kiberdrošības kultūra no augšas līdz apakšai ir pozitīva un balstīta uz izglītojošu, nevis ierobežojošu pieeju, rezultāti būs acīmredzami,» komentē Kaspersky Lab drošības izglītības programmas vadītājs Vjačeslavs Boriļins.
Turklāt V. Boriļins atgādina par industriālās drošības modeli, kur uzņēmējdarbības centrā ir ziņošanas un mācīšanās no kļūdām pieeja. Piemēram, nesenajā paziņojumā Tesla vadītājs Īlons Masks lūdz ziņot tieši viņam par katru incidentu, kas skart darbinieku drošību, lai viņš var spēlēt galveno lomu pārmaiņās.
Cilvēkfaktors: uzņēmuma klimats un ne tikai
Organizācijas visā pasaulē jau apzinās problēmu, ka darbinieki padara uzņēmumus ievainojamus: 52 % aptaujāto uzņēmumu atzina, ka personāls ir to IT drošības vājākais punkts. Aizvien skaidrāk ir redzama nepieciešamība ieviest darbiniekiem paredzētus pasākumus: 35 % uzņēmumu grasās uzlabot drošību, rīkojot personāla mācības. Tādējādi šī ir otrā populārākā kiberaizsardzības metode pēc sarežģītākas programmatūras izvietošanas (43 %).
Lai aizsargātu organizācijas no kiberdraudiem, kas saistīti ar cilvēkiem, vislabākais veids ir pareizo rīku un prakses apvienošana. Tam ir jāietver personāla speciālistu un vadības centieni motivēt un iedrošināt darbiniekus būt modriem un meklēt palīdzību, ja ir noticis incidents. Pirmie pasākumi, kas organizācijām jāveic, ir drošības izpratnes mācības personālam, precīzu vadlīniju, nevis daudzlapu dokumentu ieviešana, spēcīgu prasmju un motivācijas veidošana un atbilstīgas darba atmosfēras veicināšana.
No drošības tehnoloģiju viedokļa raugoties, lielāko daļu pret neinformētiem vai neuzmanīgiem darbiniekiem vērsto apdraudējumu, tostarp pikšķerēšanu, var novērst ar galiekārtu drošības risinājumiem. Tie var aptvert gan mazu, gan lielu uzņēmumu īpašās vajadzības saistībā ar funkcionalitāti, iepriekš konfigurētu aizsardzību vai papildu drošības iestatījumiem, lai mazinātu riskus.
