Pracownicy zdalni, wykonujący służbowe zadania na własnym sprzęcie, często nieumyślnie ułatwiają cyberprzestępcom dostęp do firmowej sieci. Eksperci Fortinetu zaobserwowali, że – w związku z gwałtownym przejściem na model pracy zdalnej – cyberprzestępcy zmienili narrację w atakach socjotechnicznych wykorzystujących phishing. Pracownicy często nieświadomie narażają się na ryzyko cyberataku. Badania wskazują, że 68% przedsiębiorstw jest bezradnych w obliczu
ataków pochodzących z wewnątrz sieci. Obejmują one zarówno nieumyślne, jak i zamierzone działania. Te pierwsze stanowią 38% wszystkich przypadków naruszenia bezpieczeństwa, a drugie odpowiadają za 21% z nich. Wśród pozostałych źródeł cyberataków można wskazać używanie słabych haseł (16%) oraz przeglądanie podejrzanych stron internetowych (7%). Tymczasem jedno nierozważne kliknięcie w podejrzany link lub pobranie i otwarcie złośliwego pliku może przyczynić się do wycieku poufnych danych.
Nieostrożność pracowników może mieć długofalowe skutki dla interesów firmy. Co więcej, pracownicy zdalni, w perspektywie zetknięcia z phishingiem, mają ograniczoną możliwość kontaktu z kolegami z biura i zweryfikowania wątpliwości dotyczących treści otrzymanego e-maila, co zwiększa szanse na powodzenie ataków socjotechnicznych. Mając to na uwadze, osoby odpowiedzialne za bezpieczeństwo IT powinny dokładać wszelkich starań, by edukować personel w kwestii cyberhigieny, redukując w ten sposób ryzyko wystąpienia wewnętrznych naruszeń bezpieczeństwa.
Kultura cyberbezpieczeństwa w walce z hakerami
– Pracownicy mogą być pierwszą i najskuteczniejszą linią obrony przed zagrożeniami. Ważne jest więc, aby szkolenia były wpisane do strategii cyberbezpieczeństwa w przedsiębiorstwach. Dzięki temu personel może zostać właściwie przygotowany do stawienia czoła internetowym zagrożeniom – mówi Jolanta Malak, dyrektor Fortinet w Polsce.
Przede wszystkim pracownicy powinni rozumieć konsekwencje naruszenia bezpieczeństwa, mieć świadomość w jaki sposób może ono wpłynąć na firmę i na nich samych. Znaczenie takiego strategicznego podejścia w skali całego przedsiębiorstwa zostało podkreślone w ankiecie Forbes Insights z 2019 roku, przeprowadzonej wśród ponad 200 osób na stanowisku CISO (Chief Information Security Officer). Zapytani o działania z zakresu bezpieczeństwa, jakie planują wdrożyć w ciągu najbliższych pięciu lat, 16% zwróciło uwagę na tworzenie „kultury bezpieczeństwa”.
Jest to krok w dobrym kierunku, a wszystkie procesy związane z cyberhigieną powinny uwzględniać działania CISO. Ich rolą jest uświadomienie pracownikom konieczności przemyślanego działania w sieci. Można to osiągnąć na różne sposoby.
1. Uzmysłowić realne zagrożenie
Ataki socjotechniczne wciąż są bardzo skuteczne. Według raportu firmy Verizon, 1/3 przypadków kradzieży poufnych danych ma miejsce głównie za sprawą phishingu oraz smishingu (czyli z wykorzystaniem phishingowych wiadomości SMS). Szkolenia dla pracowników powinny zawierać m.in. takie elementy, jak rozpoznawanie phishingowych wiadomości.
2. Zachęcać do współpracy międzyzespołowej
Pracownicy IT nie są w stanie sami zadbać o bezpieczeństwo w firmie, zwłaszcza, że cyberzagrożenia stają się coraz trudniejsze do wykrycia. Korzystna dla przedsiębiorstwa byłaby współpraca pomiędzy zespołem ds. bezpieczeństwa, a pozostałymi pracownikami. Podczas gdy eksperci z obszaru IT będą służyć fachową wiedzą, inne działy odegrają kluczową rolę, np. w opracowaniu zasad cyberhigieny. Efekty ich współpracy pomogą pracownikom zdalnym i stacjonarnym lepiej zrozumieć zasady cyberochrony.
– Będąc częścią zespołu, pracownicy mogą zwracać większą uwagę na zachowania, które stwarzają potencjalne zagrożenie dla bezpieczeństwa firmy. Im więcej pracowników będzie się do tego poczuwało, tym większa szansa na uniknięcie zagrożeń – mówi Jolanta Malak.
3. Stosować podstawowe zasady cyberhigieny
Pojedyncze szkolenia przyniosą efekty, jednak niedoświadczeni pracownicy będą potrzebowali dalszego wsparcia w walce z cyberatakami. Phishing jest często trudny do wykrycia, dlatego w razie wątpliwości odbiorca wiadomości powinien zadać sobie kilka pytań kontrolnych, które pomogą rozpoznać próbę oszustwa. Czy znam jej nadawcę? Czy spodziewałem się jej? Czy ten e-mail wywołuje we mnie silne emocje, takie jak ekscytacja lub strach? Czy nawołuje mnie do pilnego działania?
Eksperci Fortinetu zalecają również, by najechać kursorem na link w podejrzanej wiadomości, sprawdzając czy adres na pewno prowadzi tam, gdzie spodziewa się odbiorca. Ponadto, nie należy otwierać załączników, co do autentyczności których nie ma się pewności, a do działu IT zgłaszać próby oszustwa oraz skontaktować się z nadawcą inną drogą, aby potwierdzić, że to on wysłał wiadomość. – Bierna postawa wobec cyberzagrożeń nie może być dłużej akceptowana w firmach. Pracownicy często nie zdają sobie sprawy z tego, że ich działania lub zaniechania mogą zapewnić cyberprzestępcom bezpośredni dostęp do newralgicznych danych – podsumowuje dyrektor Fortinet. – Odpowiednie szkolenia i współpraca między działami firmy mogą stworzyć mocne fundamenty pod wewnętrzną „kulturę bezpieczeństwa.