Chcete minimalizovať bezpečnostné riziko vo firme? Začnite so zamestnancami

Najzraniteľnejším článkom vo firmách sú zamestnanci. Ako sa vyhnúť potenciálnym problémom?

Kybernetický útok, ktorý uškvarí komponenty počítača. Chyby v internetovom prehliadači Internet Explorer 9, 10 a ich zneužívanie útočníkmi. Čierna diera v kódovaní operačných systémov Applu, ktoré majú povesť bezpečených platforiem. Nebezpečný kód, ktorý dokáže obísť aj dvojfaktorovú autorizáciu. V médiách sa v posledných dňoch objavuje čoraz viac príkladov kybernetických útokov a hrozieb. Hoci sa hovorí o hrozbách z pohľadu spotrebiteľov, nebezpečenstvo číha aj vo vašej firme. A to aj napriek tomu, že máte správne nakonfigurovaný firewall, aktuálnu antivírusovú databázu a zašifrované dáta. V roku 2012 sa podarilo čínskym hackerom napadnúť denník New York Times. Použili 45 rôznych škodlivých kódov. Antivírusové riešenie dokázalo rozpoznať iba jeden z nich.

Bezpečnostných hrozieb je viacero. Niektoré sedia za počítačmi a pracujú. Rovnako ako vy. Každý zamestnanec spoločnosti predstavuje hrozbu. Bez ohľadu na to, či ide o vysokopostaveného vedúceho pracovníka, IT administrátora alebo radovú pracovníčku napr. v oddelení marketingu. Nebezpečenstvo pritom nespočíva iba v tom, že si niekto poznačí heslo na papier a nalepí si ho na monitor. Potenciálnych hrozieb je viacero, často sú skryté a ich počet rastie s príchodom nových trendov. Integrácia cloudových služieb a BYOD (Bring Your Own Device) vyžaduje modernejší prístup k bezpečnosti a pravidlám v organizáciách.

Hrozba menom zamestnanec

Každý používateľ predstavuje hrozbu – či už väčšiu alebo menšiu. Líši sa v závislosti od jeho právomocí, prístupu ku konkrétnym dátam, službám, zariadeniam a pod. Zamestnanci robia chyby, ktoré sú často spôsobené nevedomosťou alebo nepozornosťou a ohrozujú celú spoločnosť.

Útoky typu phishing sú v ostatnom čase jednou z najčastejšie používaných techník, pomocou ktorej hackeri útočia na spotrebiteľov aj spoločnosti. Phishing je čoraz sofistikovanejší a od používateľov chce získať citlivé údaje vytvorením falošnej stránky, ktorá je často na nerozoznanie od originálu. Podvodná stránka môže vyzerať ako prihlasovací formulár do firemného systému, sociálnej siete alebo banky. Zadané údaje sa posielajú hackerom, a tí používajú získanú kombináciu meno/heslo aj na iných portáloch.

Útočníci vďaka rôznym malvérom dokážu získať vzdialený prístup k napadnutému počítaču. Inštalácia malvéru je v princípe veľmi jednoduchá – zamestnanec klikne na zaslaný (podvodný) odkaz alebo prílohu v emaili. Škodlivý kód sa pritom navonok tvári ako regulérne PDF alebo Word dokument. Hackeri takýmto spôsobom získajú napríklad prístup k dátam v počítači, alebo k tomu, čo používateľ píše na klávesnici. Často ide o začiatok útoku, ktorý môže mať pre firmu oveľa fatálnejšie následky.

Čo s tým? – Tréning a vzdelávanie základom úspechu

Vzdelávanie v oblasti bezpečnosti a upozorňovanie na bezpečnostné riziká je prvým krokom, ako chrániť zamestnancov aj svoju firmu. Snažte sa tomuto kroku venovať náležitú pozornosť a nerobiť to len pro forma. Skôr ako pristúpite k testovaniu svojich zamestnancov či dokážu reagovať na útok v praxi, poskytnite im správnou formou, nie len príkazom čítať smernice, minimálne základné zásady správania sa v „krízovej“ situácii. Potom s odstupom času, môžete pristúpiť aj k interným testom. Tu je dôležité mať na pamäti legislatívnu stránku testov a ich prípravu mať zvládnutú tak, aby z testov nebol nakoniec súdny spor, lebo či už  vytvoríte podvodnú phishing stránku, ktorá vyzerá na prvý pohľad ako firemný portál a rozpošlete podvodné emaily, alebo zvolíte inú formu testu, ide z pohľadu legislatívy o porušenie viacerých zákonov.

Ako sa teda chrániť?

Ochrana voči kybernetickým hrozbám nekončí aktualizáciou operačného systému, internetového prehliadača, antivírusového systému a nastavením firewallu. Mnohé úspešné hackerské útoky profitujú z nepozornosti a nevzdelanosti ľudí. Preto je potrebné vytvárať bezpečnostné pravidlá, zamestnancov vzdelávať, budovať bezpečnostné povedomie, a až potom správnou a vhodnou formou overovať znalosti a zručnosti zamestnancov.

Viac informácií v sekcii – Penetračné testy a testy zraniteľností

Bezpecnostne rizika