Firmy často netušia o narušení ich kybernetickej bezpečnosti

Bratislava 12.júla 2017 (TASR/HSP/Foto:TASR/Oleg Reshetnyak via AP)

Ročne až 46 % bezpečnostných incidentov zameraných na firmy majú na svedomí samotní zamestnanci postihnutých firiem. Tí patria často k najzraniteľnejším článkom v bezpečnostnom systéme spoločnosti. Vyplýva to zo správy spoločnosti Kaspersky Lab realizovanej v spolupráci s prieskumnou spoločnosťou B2B International –”Ľudský faktor v IT bezpečnosti: ako zamestnanci ohrozujú firmy zvnútra”.

Neznalí alebo neopatrní zamestnanci sú hneď po malvéri druhou najčastejšou príčinou kybernetických bezpečnostných incidentov. Zatiaľ čo malvér je čoraz sofistikovanejší, realitou zostáva fakt, že ľudský faktor môže byť ešte nebezpečnejší. Najmä pri cielených útokoch je neopatrnosť zamestnancov najslabším miestom kybernetickej bezpečnosti firiem. Predtým ako hackeri použijú na mieru šitý malvér, sa totiž na získanie prístupu pokúsia ísť tou najjednoduchšou cestou zneužitia ľudskej povahy.

Reklama

Podľa správy boli v roku 2016 prvotným zdrojom každého tretieho (28 %) cieleného útoku na firmu phishing a sociálne inžinierstvo. Mohlo sa napríklad stať, že neopatrný účtovník otvoril škodlivý súbor považujúc ho za faktúru od jedného z dodávateľov. To by mohlo viesť k skolabovaniu celej firemnej infraštruktúry a nič netušiaci účtovník by sa stal spolupáchateľom útočníkov.

“Kybernetickí zločinci často využívajú zamestnancov na preniknutie do korporátnej infraštruktúry. Používajú na to phishingové e-mailové správy, slabo zabezpečené heslá či falošné telefonáty z oddelenia technickej podpory. Aj jeden jediný USB kľúč, ktorý niekomu vypadol z vrecka na firemnom parkovisku, môže ohroziť celú sieť. Všetko čo potom útočníci potrebujú je jediný zamestnanec, ktorý o stratenom USB nevie, alebo si nedáva pozor na bezpečnosť a stratený USB kľúč následne spôsobí hotovú spúšť,” hovorí David Jacoby, bezpečnostný analytik spoločnosti Kaspersky Lab.

Reklama

Zatajovanie bezpečnostných incidentov zamestnancami firiem môže mať vážne následky a znásobiť už spôsobené škody. Aj jediná nenahlásená udalosť môže vyústiť v oveľa väčšie narušenie bezpečnosti. Bezpečnostní experti potrebujú bezprostredné ohrozenie čo najrýchlejšie identifikovať, aby mohli následne zvoliť najlepšiu taktiku obrany.

Zamestnanci však bezpečnostné incidenty často nenahlásia zo strachu pred potrestaním alebo znemožnením sa pred ostatnými. Niektoré firmy okrem samotného vyzvania zamestnancov k obozretnosti zaviedli aj prísnejšie pravidlá a ich zamestnanci nesú aj vyššiu mieru zodpovednosti. Kybernetická bezpečnosť nie je len vecou technológií, ale aj firemnej kultúry a vzdelávania.

Reklama

Prihláste sa k odberu newslettra Hlavných správ

Chcem podporiť predplatným

Pošlite nám tip

Reklama

Odporúčame

Reklama

Varovanie

Vážení čitatelia - diskutéri. Podľa zákonov Slovenskej republiky sme povinní na požiadanie orgánov činných v trestnom konaní poskytnúť im všetky informácie zozbierané o vás systémom (IP adresu, mail, vaše príspevky atď.) Prosíme vás preto, aby ste do diskusie na našej stránke nevkladali také komentáre, ktoré by mohli naplniť skutkovú podstatu niektorého trestného činu uvedeného v Trestnom zákone. Najmä, aby ste nezverejňovali príspevky rasistické, podnecujúce k násiliu alebo nenávisti na základe pohlavia, rasy, farby pleti, jazyka, viery a náboženstva, politického či iného zmýšľania, národného alebo sociálneho pôvodu, príslušnosti k národnosti alebo k etnickej skupine a podobne. Viac o povinnostiach diskutéra sa dozviete v pravidlách portálu, ktoré si je každý diskutér povinný naštudovať a ktoré nájdete tu. Publikovaním príspevku do diskusie potvrdzujete, že ste si pravidlá preštudovali a porozumeli im.