Cum fac angajații companiile mai vulnerabile, din interior

Cum fac angajații companiile mai vulnerabile, din interior

Angajații ascund incidentele de securitate în 40% dintre companiile din toată lumea. Acestea sunt rezultatele unui raport Kaspersky Lab și B2B International, „Factorul uman în securitatea IT: Cum fac angajații companiile mai vulnerabile, din interior”. Având în vedere că 46% dintre incidentele de securitate IT sunt cauzate de angajați, în fiecare an, această vulnerabilitate trebuie rezolvată din mai multe direcții, nu doar prin  intermediul departamentul de IT.

Pentru a vă îndruma mai eficient în evitarea acestor incidente și luarea unor măsuri de precauție, am solicitat o opinie avizată în acest domeniu. Andra Zaharia – Security Evangelist and Online Sales Manager la Heimdal Security – ne-a vorbit despre cele mai frecvente metode folosite de către atacatorii virtuali, ce măsuri de precauție își pot angajații și ce rol trebuie să aibă conducerea și departamentul de HR în educarea acestora.

Cum sunt hackerii conduși până la ușă

Angajații neinformații sau neglijenți sunt una dintre cele mai răspândite cauze ale unui incident de securitate cibernetică – pe locul al doilea după malware. Potrivit cercetării menționate, fiecare al treilea atac (28%) asupra companiilor, de anul trecut, a avut drept sursă phishing-ul sau o tehnică de social engineering.

Chiar dacă programele malware devin din ce în ce mai sofisticate, factorul uman poate reprezenta un pericol și mai mare. Angajații neinformați sau neatenți sunt implicați frecvent, cauzând infecții malware în 53% dintre incidente.

Andra Zaharia remarcă faptul că cea mai frecventă tactică de atac este exploatarea încrederii pe care oamenii o au în alți oameni sau în diverse entități, de la branduri și până la instituții de stat.

La nivel practic, sunt trei tipuri de atacuri extrem de des întâlnite, care trebuie menționate:

  • atacuri prin email, cu anexe ori link-uri infectate, care pare că vin din partea unor companii de încredere;
  • atacuri de tip social engineering, care se bazează pe tactici de manipulare și persuasiune și au scopul de a convinge angajații unei companii să divulge informații confidențiale (pe email, prin telefon, prin intermediul rețelelor sociale etc.);
  • atacuri prin intermediul furnizorilor companiilor, care uneori nu își securizează corespunzător bazele de date sau alte elemente din infrastructură. Sunt o mulțime de exemple de atacuri în care infractorii cibernetici s-au infiltrat inclusiv prin intermediul acestor furnizori.

Evitarea acestor atacuri nu presupune doar să știi de existența lor. Metodele de atac pot lua forme extrem de credibile, care pot înșela și vigilența oamenilor cu experiență (mai ales că ”nu li se poate întâmpla tocmai lor”).

Componenta esențială este training-ul constant și bine făcut, care să antreneze tot timpul atenția și capacitatea de observație a tuturor oamenilor din companie.

Este important și ca mediul de lucru să fie unul cât mai organizat, care să nu favorizeze multitasking-ul (și, prin urmare, atenția distribuită, care duce la neatenție) și care să ofere momente de răgaz angajaților. Unei persoane cu mintea limpede îi va fi mult mai ușor să identifice un potențial atac, decât unui om obosit, care va da click fără să verifice de la cine a primit emailul respectiv.