W wielu naszych artykułach często przebija się twierdzenie, że najlepszy system cyberbezpieczeństwa to własna głowa, a najsłabszym ogniwem w tym całym łańcuchu jest człowiek. Mimo, że na pierwszy rzut oka może wydawać się to jakimś banalnym truizmem, to całe masy statystyk nie pozostawiają nam w tej kwestii żadnych złudzeń – większość ataków na firmy zaczyna się od błędu ludzkiego.
Rybka, która połknie haczyk
Weźmy na tapet klasykę gatunku, czyli phishing – jedno z najprostszych, ale wciąż najbardziej skutecznych narzędzi do przeprowadzania cyberataków. Możemy mieć doskonałe narzędzia cyberbezpieczeństwa, oparte na sztucznej inteligencji, ale jeśli nieświadomy pracownik kliknie w podejrzany link, sam wpisze swoje dane logowania na fałszywej stronie, albo otworzy załącznik z malware w środku, to robi się kłopot. Dlaczego? Bo człowiek to istota podatna na sztukę socjotechniki. Po co atakujący ma przebijać się przez skomplikowane systemy cybersecurity, skoro wystarczy, że przekona kogoś do samodzielnego otwarcia drzwi?
Hasła
Kolejna plagą są hasła. Standardem jest, że wciąż wiele osób używa bardzo słabych kombinacji typu „123456”, a jeszcze więcej ludzi stosuje jedno hasło do wielu serwisów. W efekcie wyciek z jednej platformy, w firmie, która nie posiada odpowiednio rozwiniętej świadomości cyberbezpieczeństwa, to potencjalny dostęp do e-maila, systemów firmowych, a w działach księgowych nawet bankowości. Administratorzy mogą tworzyć polityki haseł, uwierzytelnianie dwuskładnikowe, ale jeśli pracownik z wygody zapisze wszystko w notatniku na biurku, to wszelkie zabezpieczenia tracą sens.
Bring Your Own Device
Kultura „Bring Your Own Device” (tzw. BYOD) to kolejny element układanki i prawdziwa. Wielu pracowników korzysta z prywatnych urządzeń (komputerów, smartfonów) do pracy służbowej, często bez jakiejkolwiek kontroli działu IT. To oznacza, że nie wiadomo, w jakim stanie pod względem bezpieczeństwa takie urządzenie się znajduje, a co za tym idzie – nieodpowiednio zabezpieczone urządzenia jest zawsze potencjalnym wektorem ataku, np. poprzez zainfekowane systemy, brak aktualizacji lub korzystanie z otwartych sieci Wi-Fi.
Nadużycia wewnętrzne
Nie można też zapominać fakcie, jakim jest zagrożenie, które pochodzi z samego wnętrza organizacji. Czasem może być to zwykła nieostrożność, ale zdarzają się również celowe działania, od wykradania danych po nawet sabotaż. Zdarzają się sytuację, byli pracownicy, którym nie odebrano dostępu do systemów, mogą stać się poważnym problemem, bo administrator był zbyt zajęty czymś innym i nie miał kiedy tego wykonać. Wewnętrzne zagrożenia są często o wiele trudniejsze do wykrycia i wymagają nie tyle co technologii, ale właśnie świadomości cyberbezpieczeństwa.
Edukacja jako klucz do sukcesu
Czy da się całkowicie wyeliminować czynnik ludzki jako zagrożenie? Oczywiście, że nie. Jednakże można go zminimalizować poprzez budowanie świadomości za pomocą regularnych szkoleń, testów penetracyjnych, symulacji phishingowych – to wszystko są elementy układanki, które pomagają budować świadomość. Należy dążyć do tego, aby pracownicy przestali traktować cyberbezpieczeństwo jako uciążliwy obowiązek, a nie priorytet.
Technologia
Systemy do analizy i automatyzacji wykrywania zagrożeń, systemy analizy behawioralnej oparte na sztucznej inteligencji analizujące podejrzane zachowania, narzędzia zero-trust i wiele innych – to rozwiązania, które mogą pomóc, ale finalnie nigdy nie zastąpią zdrowego rozsądku użytkownika. Oczywiście warto je wdrażać, jako wspomaganie linii obrony, która nie pozwoli zagrożeniu przeniknąć do wnętrza organizacji.
Wniosek
Czy więc pracownicy są największym zagrożeniem dla cyberbezpieczeństwa firmy? Może nie tyle zagrożeniem, co bardziej najsłabszym ogniwem – i to od nich najczęściej zależy, czy organizacja stanie się celem skutecznego ataku.
Dziękujemy, że dotarli Państwo do końca naszej lektury.
Polecamy usługi Grupy E, polegające na wdrażaniu systemów cyberbezpieczeństwa, a także zapraszamy do bezpłatnej konsultacji dot. poprawy poziomu cyberodporności i dostosowania naszych usług do Państwa potrzeb.
Wróć
