Zlyhanie ľudského faktora. Hrozby vo firme pochádzajú aj zvnútra
Vstupnou bránou do spoločnosti pri veľkej časti útokov sú práve nepozorní zamestnanci. Stačí, že v rýchlosti omylom stiahnu prílohu z phishingového e-mailu, a oheň je na streche.
Firmy investujú nemalé prostriedky do najmodernejších bezpečnostných riešení, ktoré ich chránia aj pred tými najpokročilejšími hrozbami. Často si však neuvedomujú, že nebezpečenstvo môže číhať aj z vlastných radov. Pred konaním nepozorných zamestnancov alebo pracovníkov s nekalými úmyslami nemusí firmu ochrániť ani špičková technológia.
Neúmyselné zlyhania
Vstupnou bránou do firiem pri veľkej časti útokov sú práve nepozorní zamestnanci. Stačí, že v rýchlosti omylom stiahnu prílohu z phishingového e-mailu, ktorý imituje správu od kolegu, a oheň je na streche. Medzi ďalšie časté chyby patrí zaslanie e-mailu s citlivými údajmi nesprávnemu adresátovi.
Okrem prešľapov spojených s nedostatočnou pozornosťou sú hrozbou aj zlyhania, pri ktorých zamestnanci z dôvodu lenivosti vedome zanedbajú povinnosti či obídu pravidlá. Príkladom takéhoto konania je odkladanie aktualizácií na neskôr alebo nevenovanie dostatočnej pozornosti zabezpečeniu externých zariadení.
Ďalším problémom sú bezpečnostné lapsusy súvisiace s nedostatočným povedomím o rôznych nástrahách digitálneho sveta. Príkladom je neopatrné zverejňovanie fotografií z pracovného prostredia. Niektorí zamestnanci majú ešte stále prilepené heslá na svojich zariadeniach, ktoré zverejnením fotografie dobrovoľne odovzdajú do rúk útočníkom. Okrem hesiel môžu byť zneužiteľné napríklad osobné údaje kolegov či klientov, ktoré sa nachádzajú v pozadí fotografie na nástenke. Podobným prešľapom by sa mali organizácie snažiť predísť preventívnymi školeniami.
Špióni nie sú iba vo filmoch
Samostatnou hrozbou sú zamestnanci s nekalými úmyslami. Ide o pracovníkov, ktorí sa zámerne snažia zneužiť svoju pozíciu, práva a prístupy, aby si prilepšili, vyniesli citlivé údaje tretím stranám či poškodili organizáciu, ktorá ich zamestnáva.
Scenáre ako z akčných filmov sú pritom relatívne bežné aj v reálnom svete. V praxi sa skutočne stávajú prípady, pri ktorých sa zamestnanca firmy alebo štátnej inštitúcie pokúsi získať na svoju stranu konkurenčná spoločnosť alebo cudzia vláda. Takáto osoba môže do firmy zaniesť škodlivý kód alebo rovno ukradnúť citlivé informácie.
Ďalším problémom, ktorému sa často náročne predchádza, je zamestnanec, ktorého hnacou silou je nespokojnosť či túžba po pomste. Takíto pracovníci môžu byť nahnevaní na kolegov, zlé pracovné podmienky alebo ťažko znášajú ukončenie pracovného pomeru. Prameniace nebezpečenstvo je pritom priamo úmerné ich pozícii vo firme.
V zlom môžu odísť z firmy aj dlhoroční zamestnanci s vysokým postavením či rozsiahlymi IT právomocami, ako napríklad administrátori. Prístup ku kľúčovým systémom umožňuje takýmto pracovníkom v prípade zneužitia napáchať firme aj zákazníkom obrovské škody. Môžu napríklad vymazať zálohy, zašifrovať kľúčové dáta či ukradnúť intelektuálne vlastníctvo a následne ho skúsiť predať.
Bezpečné kroky
Keďže ľudské správanie je predvídateľné iba do určitej miery, obrana proti takýmto hrozbám je mimoriadne náročná. Firma však dokáže pri dodržiavaní určitých pravidiel riziko výrazne znížiť. Odborníci odporúčajú ihneď po prepustení zamestnanca zrušiť všetky prístupy a zmeniť heslá, ktoré by mohol poznať. Ďalej radia realizovať výstupový pohovor a odchodové podmienky nastaviť tak, aby zamestnanec nemal motiváciu škodiť.
Firmy by mali využívať politiku zero-trust, pri ktorej má každý zamestnanec prístup len k tým údajom, ktoré potrebuje na vykonávanie svojej práce. Oplatí sa tiež chrániť kľúčové dáta vrstvou šifrovania, ktorá poskytuje ďalšiu ochranu pred neautorizovaným prístupom.
Zabudnúť by nemali ani na využívanie technologického riešenia na monitorovanie aktivity zamestnancov, pohybu vybraných dát a ich presunu medzi jednotlivými systémami. Takéto riešenia dokážu tiež sledovať pripojené externé zariadenia a anomálie naznačujúce, že správanie nejakého zamestnanca predstavuje riziko.
Oplatí sa mať dobrý prehľad o hardvéri zamestnancov a ubezpečiť sa o jeho vrátení pri odchode a pri práci na diaľku môžete vyžadovať od zamestnancov pripojenie k firemnej VPN pre prístup k interným systémom.
Okrem prešľapov
spojených s nedostatočnou pozornosťou sú nebezpečné aj vedomé zlyhania.
eset