Zgłosić incydent cyberbezpieczeństwa czy przemilczeć? – wyniki badania „Czynnik ludzki: czy pracowników można nauczyć unikania błędów?”

Pracownicy zatajają incydenty naruszenia bezpieczeństwa IT w 40% firm na całym świecie — tak wynika z nowego badania „Czynnik ludzki: czy pracowników można nauczyć unikania błędów?” przeprowadzonego przez Kaspersky Lab oraz B2B International. Zważywszy na to, że każdego roku 46% incydentów naruszenia bezpieczeństwa IT jest powodowanych przez pracowników, niezbędne są działania na wielu poziomach, nie tylko działów bezpieczeństwa IT, aby wyeliminować ten słaby punkt w wielu firmach.

 

Zaproszenie cyberprzestępców do środka

Niedoinformowani lub nieuważni pracownicy stanowią jedną z najczęstszych przyczyn incydentów naruszenia cyberbezpieczeństwa — ustępując miejsca jedynie szkodliwemu oprogramowaniu. Mimo wzrostu wyrafinowania cyberzagrożeń większe zagrożenie może stanowić ciągle aktualny czynnik ludzki. W szczególności niedbalstwo pracowników stanowi jedną z największych luk w systemie cyberbezpieczeństwa korporacyjnego, jeśli chodzi o ataki ukierunkowane. Prawdą jest, że zaawansowani atakujący zawsze wykorzystują szkodliwe oprogramowanie „szyte na miarę” oraz zaawansowane techniki, aby zaplanować swój atak. Zwykle jednak zaczynają od wykorzystania najłatwiejszego punktu dostępu — natury ludzkiej.

Według badania co trzeci (28%) atak ukierunkowany przeprowadzony na firmy w ostatnim roku miał u swego źródła phishing/socjotechnikę. Jako przykład można podać tu sytuację, gdy nieuważny księgowy otwiera szkodliwy załącznik, sądząc, że jest to faktura od jednego z licznych kontrahentów firmy. Takie działanie mogłoby spowodować wyłączenie całej infrastruktury firmy, czyniąc z księgowego nieświadomego wspólnika osób atakujących.

Cyberprzestępcy często wykorzystują pracowników, aby wniknąć do infrastruktury firmowej. Wiadomości phishingowe, słabe hasła, fałszywe telefony z działu pomocy technicznej — wszystko to już widzieliśmy. Nawet zwykła karta pamięci upuszczona na parkingu biurowym lub w pobliżu biurka pracownika może spowodować infekcję całej sieci — potrzeba tylko kogoś wewnątrz, kto nie jest świadomy lub nie zwraca uwagi na bezpieczeństwo, aby urządzenie to zostało podłączone do sieci, wyrządzając w efekcie ogromne szkody — powiedział David Jacoby, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

Wyrafinowane ataki ukierunkowane nie przytrafiają się organizacjom codziennie — ale konwencjonalne szkodliwe oprogramowanie uderza na skalę masową. Niestety, z badania wynika również, że nawet jeśli incydent został wywołany przez szkodliwe oprogramowanie, często mają w nim udział nieświadomi lub nierozważni pracownicy, którzy odpowiadają za infekcje szkodliwym oprogramowaniem w 53% incydentów.

 

Zabawa w chowanego: konieczny wkład działu kadr oraz kierownictwa najwyższego szczebla

Zatajanie przez personel incydentów może prowadzić do dramatycznych konsekwencji, zwiększając łączne szkody. Już za jednym niezgłoszonym incydentem może kryć się znacznie poważniejszy problem, a zespoły ds. bezpieczeństwa muszą być w stanie szybko zidentyfikować zagrożenia, aby dobrać odpowiednie taktyki ochrony i usuwania skutków ataku. Jednak pracownicy często wolą narazić organizację na ryzyko niż zgłosić problem, ponieważ obawiają się kary lub wstydzą się tego, że ponoszą odpowiedzialność za zaistniałą sytuację. Niektóre firmy wprowadziły surowe reguły i obarczyły pracowników dodatkową odpowiedzialnością, zamiast po prostu zachęcać ich do czujności i współpracy. To pokazuje, że cyberochrona dotyczy nie tylko obszaru technologii, ale również kultury organizacyjnej i szkoleń, dlatego w działania te należy zaangażować również kierownictwo najwyższego szczebla oraz dział kadr.

Problem zatajania incydentów należy przedstawić nie tylko pracownikom, ale również kierownictwu najwyższego szczebla i działom kadr. Pracownicy, którzy tuszują incydenty, nie robią tego bez powodu. W niektórych przypadkach firmy wprowadzają surowe, ale niejasne zasady i wywierają zbyt dużą presję na pracownikach, informując ich, że jeśli przyczynią się do incydentu, zostaną pociągnięci do odpowiedzialności. Takie reguły wywołują strach i sprawiają, że pracownicy za wszelką cenę dążą do unikania kary. W przypadku pozytywnej kultury cyberbezpieczeństwa, która opiera się na edukacji, a nie na zakazach, gdzie przykład idzie z góry, efekty będą oczywiste — powiedział Sława Borilin, menedżer programu edukacji w zakresie bezpieczeństwa, Kaspersky Lab.

Borilin przywołuje również model bezpieczeństwa przemysłowego, gdzie centralne znaczenie ma raportowanie i podejście polegające na uczeniu się na błędach. Na przykład w swoim niedawnym oświadczeniu dyrektor generalny firmy Tesla, Elon Musk, zażądał, aby każdy incydent, który ma wpływ na bezpieczeństwo pracowników, był zgłaszany bezpośrednio jemu, tak aby mógł odegrać główną rolę we wprowadzaniu zmian.

 

Czynnik ludzki: klimat korporacyjny i nie tylko

Organizacje na całym świecie uświadamiają sobie, że personel może narazić firmy na ataki: 52% badanych firm przyznaje, że pracownicy to ich największy słaby punkt, jeśli chodzi o bezpieczeństwo IT. Konieczność wdrożenia środków skoncentrowanych na personelu staje się coraz bardziej oczywista: 35% firm dąży do zwiększenia bezpieczeństwa poprzez organizowanie szkoleń dla pracowników — które stanowią drugą najpopularniejszą metodę cyberochrony, ustępując miejsca jedynie instalacji bardziej zaawansowanego oprogramowania (43%).

Najlepszym sposobem zabezpieczenia organizacji przed cyberzagrożeniami związanymi z czynnikiem ludzkim jest połączenie odpowiednich narzędzi z dobrymi praktykami. Jednym z elementów takiego podejścia są działania działu kadr i kierownictwa ukierunkowane na motywowanie i zachęcanie pracowników, aby byli czujni i prosili o pomoc w razie incydentu. Szkolenia personelu w celu zwiększenia jego świadomości bezpieczeństwa, przekazywanie jasnych wytycznych zamiast wielostronicowych dokumentów, rozwijanie umiejętności i motywacji, jak również budowanie odpowiedniej atmosfery w miejscu pracy to pierwsze kroki, jakie powinny podjąć organizacje.

Jeśli chodzi o technologie ochrony, rozwiązania bezpieczeństwa punktów końcowych mogą poradzić sobie z większością zagrożeń wykorzystujących nieświadomych lub nieuważnych pracowników, łącznie z phishingiem. Spełniają one potrzeby małych i średnich firm oraz przedsiębiorstw w zakresie funkcjonalności, ochrony oraz zaawansowanych ustawień bezpieczeństwa w celu zminimalizowania zagrożeń.

 

Źródło: Kaspersky Lab