Darbuotojai sukelia kone pusę IT saugumo incidentų viso pasaulio įmonėse

 (4)
Remiantis „Kaspersky Lab“ ir „B2B International“ ataskaitos „Žmogiškasis faktorius IT saugume: kaip darbuotojai daro įmones pažeidžiamas iš išorės“ duomenimis, darbuotojai sukelia 40 proc. IT saugumo incidentų viso pasaulio įmonėse.
© AFP / Scanpix

Atsižvelgiant į tai, kad kiekvienais metais 46 proc. IT saugumo incidentų kyla dėl įmonių darbuotojų, šis verslo pažeidžiamumas turi būti sprendžiamas įvairiais lygmenimis, ne tik IT saugumo departamentų, rašoma pranešime spaudai.

Neinformuoti ar neatsargūs darbuotojai yra viena labiausiai tikėtinų kibernetinio saugumo incidentų priežasčių, antra po kenkėjiškų programų. Nors kenkėjiškos programos tampa vis sudėtingesnės, žmogiškasis faktorius gali kelti dar didesnį pavojų.

Darbuotojų neatsargumas yra vienas didžiausių pažeidžiamumų įmonių kibernetinio saugumo ginkluotėje, kalbant apie tikslinius išpuolius. Nors patyrę programišiai visada gali taikyti specialiai sukurtas kenkėjiškas programas ir aukštąsias technologijas, greičiausiai jie pradės išnaudoti lengviausią įsilaužimo būdą – žmogaus prigimtį.

Remiantis tyrimu, kas trečiame (28 proc.) tiksliniame išpuolyje prieš verslo įmones per pastaruosius metus buvo taikoma sukčiavimo ir socialinė inžinerija. Pavyzdžiui, nerūpestinga buhalterė gali lengvai atidaryti kenksmingą failą kaip sąskaitą faktūrą, neva siųstą vieno iš daugelio bendrovės rangovų. Tai gali pažeisti visą organizacijos infrastruktūrą, o apskaitininką paversti puolėjų bendrininku.

„Kibernetiniai nusikaltėliai dažnai per darbuotoju įsilaužia į įmonės infrastruktūrą. Šlamštalaiškiai, silpni slaptažodžiai, netikri techninės pagalbos skambučiai – visa tai jau žinome. Net paprasta atminties kortelė, pamesta biuro automobilių aikštelėje ar šalia administratorės stalo, gali pakenkti visam tinklui“, – sako Deividas Džiakobi (David Jacoby), „Kaspersky Lab“ saugumo ekspertas.

Sudėtingi tiksliniai išpuoliai prieš organizacijas neįvyksta kasdien, bet įprasta kenkėjiška programinė įranga smogia vis dažniau. Deja, tyrimai taip pat rodo, kad net ir kenkėjiškų programų užkrėtimo atveju dažnai dalyvauja neatsargūs darbuotojai, dėl jų kaltės sukeliama 53 proc. užkrėtimo kenkėjiškomis programomis incidentų.

Slėpynės: kodėl personalo valdymo skyrius ir valdyba turi būti įtraukti

Darbuotojai, slepiantys incidentus, į kuriuos galėjo būti įtraukti, gali sukelti dramatiškų padarinių ir padidinti padarytą žalą. Net vienas nutylėtas įvykis gali rodyti gerokai didesnį pažeidimą, o saugumo tarnyboms turi būti suteikta galimybė greitai nustatyti grėsmes, kad būtų pasirinkta tinkama rizikos mažinimo taktika.

Tačiau darbuotojai labiau linkę sukelti pavojų organizacijai, nei pranešti apie problemą. Kai kurios bendrovės nustatė griežtas taisykles ir įpareigoja darbuotojus imtis papildomos atsakomybės, bet neskatina jų būti budriems ir bendradarbiauti. Kibernetinė gynyba priklauso ne tik nuo technologijų, bet ir nuo organizacijos kultūros bei švietimo. Būtent į šią sritį turėtų įsitraukti aukščiausio lygio vadovai ir personalo valdymo skyrius.

„Incidentų slėpimo problema turi būti aiškinama ne tik darbuotojams, bet ir aukščiausios grandies vadovams bei personalo departamentams. Darbuotojai kibernetinius incidentus slepia ne be priežasties. Kai kuriais atvejais įmonės pateikia griežtą, tačiau neaiškią politiką ir pernelyg spaudžia drabuotojus. Tokia politika skatina baimę ir palieka vienintelę galimybę – visais būdais bandyti išvengti atsakomybės ir bausmės. Jei jūsų kibernetinio saugumo kultūra yra pozityvi, rezultatai bus akivaizdūs“, – komentuoja Slava Borilinas (Slava Borilin), „Kaspersky Lab“ saugumo švietimo programos vadovas.

S.Borilinas taip pat primena pramoninio saugumo modelį, kai skatinama pranešti apie incidentus ir pasimokyti iš klaidų. Pavyzdžiui, bendrovės „Tesla“ vadovas Elonas Muskas (Elon Musk) savo neseniai pateiktame pareiškime paprašė, kad apie kiekvieną darbuotojų saugai įtakos turintį įvykį būtų tiesiogiai pranešama jam, kad jis galėtų atlikti svarbų vaidmenį pokyčiuose.

Žmogiškasis faktorius: bendrovės kultūra ir daugiau

Viso pasaulio organizacijos jau pripažįsta problemą, kad dėl darbuotojų kaltės pažeidžiamas jų verslas: 52 proc. apklaustų įmonių pripažįsta, kad personalas yra didžiausias jų IT saugumo trūkumas. Vis akivaizdžiau, kad reikia įgyvendinti į personalą orientuotas priemones: 35 proc. įmonių siekia pagerinti saugumą, rengdami mokymus darbuotojams. Todėl tai antras populiariausias kibernetinės gynybos metodas po sudėtingesnės programinės įrangos diegimo (43 proc.).

Geriausias būdas apsaugoti organizacijas nuo su žmonėmis susijusių kibernetinių grėsmių – tinkamas priemones derinti su tinkama praktika. Tai turėtų apimti žmogiškųjų išteklių ir verslo valdymo pastangas, motyvuoti ir skatinti darbuotojus būti budriems ir įvykio atveju ieškoti pagalbos. Pirmieji organizacijų žingsniai turėtų būti darbuotojų informavimas apie saugumą, pateikiant aiškias gaires, formuojant įgūdžius, stiprinant motyvaciją ir palaikant tinkamą darbo aplinką.

Kalbant apie saugumo technologijas, daugumą į nerūpestingus darbuotojus nukreiptų grėsmių, įskaitant sukčiavimą, galima sumažinti taikant pažangius saugumo sprendimus, atitinkančius konkrečius smulkaus, vidutinio ir stambaus verslo įmonių poreikius funkcionalumo prasme. Siekiant sumažinti riziką, juose iš anksto sukonfigūruoti apsaugos ar pažangaus saugumo nustatymai.
Išsamiai susipažinti su ataskaita „Žmogiškasis faktorius IT saugume: kaip darbuotojai daro įmones pažeidžiamas iš išorės“ galite mūsų tinklaraštyje.

Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją
 
Naujienų prenumerata

Technologijos

Bankas „UniCredit“ pranešė apie stambias kibernetines atakas

Didžiausias Italijos bankas pranešė, kad per pastaruosius dešimt mėnesių programišiai įvykdė dvi prieš banką nukreiptas atakas, kurių metu buvo prieita prie maždaug 400 000 klientų Italijoje duomenų - tai buvo didžiausias duomenų nuotėkis tarp šios šalies bankų, informuoja „Reuters“.

Neleista dalintis keleivių duomenimis: tai pažeistų privatumą

Dabartinė Europos Sąjungos (ES) ir Kanados susitarimo dėl dalijimosi oro keleivių duomenimis kovos su terorizmu tikslais versija negali būti patvirtinta, nes pažeistų pagrindines teises, trečiadienį paskelbė ES Teisingumo Teismas.

Su šnipinėjimu siejama „Kaspersky Lab“ pradeda platinti nemokamą antivirusinę programą (43)

Sankcijų JAV dėl įtariamų ryšių su Rusijos specialiosiomis tarnybomis sulaukusi ir pareiškimą Europos Komisijai dėl galimo antimonopolinio tyrimo prieš korporaciją „Microsoft“ pateikusi Rusijos kibernetinio saugumo priemonių kūrėja „Kaspersky Lab“ pristatė nemokamą antivirusinės programos versiją, kurią tikisi iki metų platinti visame pasaulyje, rašo „Deutsche Welle“.

Būkite atidūs: „Tele2“ klientas pastebėjo klaidą (77)

Į DELFI kreipėsi skaitytojas, kuris iš mobiliojo ryšio operatoriaus „Tele2“ sulaukė skirtingos informacijos: trumpąja SMS žinute vyras sulaukė pranešimo, kad beveik išnaudojo kredito limitą, kai savitarnos programėlėje paslaugų sąskaita buvo mažesnė. Bendrovė atsiprašo kliento ir dėkoja atradus klaidą, kuri pradėta taisyti.

Gedimino kalnas atgims „Minecraft“ pasaulyje (3)

Greitai atstatyti Gedimino kalną – misija nepaprasta, bet įmanoma virtualiame pasaulyje. Gedimino kalnas ir ant jo stūksanti pilis yra brangūs kiekvienam lietuviui, todėl greitai atgims populiariame žaidime „Minecraft“.