Home Bezpieczeństwo Połowa pracowników boi się zgłaszać cyberincydenty

Połowa pracowników boi się zgłaszać cyberincydenty

0
0
116

Nawet połowa pracowników na świecie obawia się zgłaszać incydenty związane z cyberzagrożeniami ze względu na możliwe konsekwencje[1]. W branży cyberbezpieczeństwa przyjęło się stwierdzenie, że najsłabszym ogniwem firmowych zabezpieczeń jest człowiek. Jednak, jak wskazuje ekspert WithSecure, to technologia powinna się skupić na ułatwieniu użytkownikom zachowania bezpieczeństwa, nawet jeżeli popełnią błąd.

Pracownicy mogą się mylić – nawet 31% przyznaje, że popełniło w ubiegłym roku błędy, które mogły mieć wpływ na cyberbezpieczeństwo ich miejsca pracy (phishing, kliknięcie linku lub pobranie złośliwej zawartości, utrata lub kradzież urządzenia służbowego, udostępnianie haseł współpracownikom)[2]. We wrześniu 2023 roku sieć hoteli i kasyn MGM padła ofiarą cyberataku po tym jak haker, podszywając się pod pracownika firmy, zadzwonił do działu IT z prośbą o pomoc w zalogowaniu się na konto (tzw. vishing scam). W wyniku ataku organizacja notowała straty rzędu 8,4 mln dolarów dziennie[3].

Zadanie niemożliwe do wykonania?

Cyberataki zdarzają się nagle i często zawierają element nacisku – może to być e-mail z działu HR lub od szefa z ważnym raportem do natychmiastowego przejrzenia, telefon od osoby z „pomocy technicznej”, która prosi o zdalny dostęp do komputera, aby naprawić pilną usterkę, wiadomość od „działu IT” informująca o zagrożeniu z pilną prośbą o zresetowanie haseł pod podanym linkiem. W morzu maili i zadań łatwo stracić czujność i kliknąć w złośliwy załącznik czy link. Według badań ponad 40% pracowników jako przyczynę „złapania się” na atak phishingowy podaje zmęczenie i rozproszenie uwagi[4]. Sam incydent także nie pozostaje bez wpływu na dobrostan pracowników. Dwóch na pięciu (40%) badanych w raporcie Veeam Ransomware Trends 2024 specjalistów IT wskazuje, że po cyberataku zaobserwowali u siebie podwyższony poziom stresu, który rzutował na ich codzienną pracę i życie osobiste.

Nie do końca zgadzam się ze stwierdzeniem, że człowiek jest najsłabszym ogniwem w systemie. Użytkownik staje przed zadaniem praktycznie niemożliwym do wykonania – w natłoku setek wiadomości, maili, linków i załączników musi wyłapać ten jeden, w który absolutnie nie należy klikać. Warto pamiętać, że aby zwiększać skuteczność ataków przestępcy w swoich wiadomościach nakładają na ofiary presję czasową, np. wskazują, że trzeba się spieszyć i zareagować natychmiast. Przez to odbiorca takiego maila czy telefonu działa pod wpływem impulsu i strachu, często nie mając możliwości zastanowienia się – mówi Leszek Tasiemski, ekspert ds. cyberbezpieczeństwa i VP w firmie WithSecure.

Obawy przed zgłaszaniem incydentów

W wielu firmach brakuje wykwalifikowanych specjalistów IT, a kadra odpowiedzialna za systemy pracuje pod presją – cyberatak może się zdarzyć w każdej chwili. Odpowiedzialność za cyberataki często jest więc rozkładana na wszystkich pracowników, zwłaszcza tych, którzy padli ofiarą oszustów. W efekcie nawet połowa pracowników obawia się zgłaszać swoim przełożonym błędy związane z bezpieczeństwem. Poza edukowaniem kadry i zapewnieniem regularnych szkoleń z zakresu cyberzagrożeń, potrzebne jest również zapewnienie im pomocy, gdy napotykają na jakieś problemy, wątpliwości czy otrzymają podejrzaną wiadomość. Każdy powinien wiedzieć jakie kroki wtedy podjąć i do kogo się zgłosić. Kluczowe jest też jednak to, aby budować otwartą i szczerą atmosferę oraz przestrzeń do zadawania pytań.

 Szkolenia i bieżące symulacje ataków są bardzo istotne i pomagają trenować czujność. Jednak to przede wszystkim technologia powinna ułatwiać użytkownikom zachowanie bezpieczeństwa, nawet jeżeli popełnią błąd. Link czy załącznik muszą zostać przeskanowane, zanim wylądują w skrzynce odbiorczej. Uprawnienia mogą być automatycznie odbierane po upływie zadanego czasu, żeby zmniejszyć zakres strat po skutecznym ataku. Uwierzytelnianie wieloskładnikowe zminimalizuje straty w przypadku, gdy użytkownik przez przypadek poda hasło oszustowi. Nie mniej istotne jest zachęcanie zatrudnionych w firmie do raportowania wszelkich incydentów, nawet jeżeli wynikają one z nieostrożności czy błędu. W wielu przypadkach wymaga to zmiany kulturowej i przełamania obawy użytkowników przed karą czy zawstydzeniem – wskazuje Leszek Tasiemski.

Rozwiązania ochronne oraz bazujące na AI mogą zbierać i analizować dane o obszarach systemu firmy potencjalnie zagrożonych atakiem, wyłapywać ryzykowne wiadomości i pliki oraz interweniować w czasie rzeczywistym, podpowiadając pracownikom odpowiednie działanie. Przede wszystkim, po cyberataku należy skupić się nie na szukaniu winnych, ale na przeanalizowaniu w jaki sposób do niego doszło i na zamknięciu luk w zabezpieczeniach, aby podobny incydent się nie powtórzył.

[1] Badania ThinkCyber: Fear and Silence: Half of Employees Afraid to Report Security Mistakes (thinkcyber.co.uk)

[2] https://www.strategic-risk-global.com/cyber-/-technology-risks/employees-are-the-weakest-link-when-it-comes-to-cyber-security-how-to-strengthen-defences/1445890.article

[3] https://westoahu.hawaii.edu/cyber/global-weekly-exec-summary/alphv-hackers-reveal-details-of-mgm-cyber-attack/

[4] [Tessian Research] Psychology of Human Error 2022.pdf (hubspotusercontent20.net)

Dodaj komentarz

Przeczytaj również

WordPress wymusza 2FA i oddzielne poświadczenia dla administratora witryny

WordPress ogłosił, że od 1 października dla autorów wtyczek i motywów zacznie obowiązywać …