Významným kyberbezpečnostním rizikem jsou pro firmy i vlastní zaměstnanci

by | Čvn 22, 2023 | Bezpečná firma, Nejnovější | 0 comments

Mnoho malých a středních firem si myslí, že se obejdou bez řešení kybernetické bezpečnosti. Věří totiž, že pro kyberzločince nepředstavují dostatečně zajímavý cíl.

Nedávná studie však uvádí, že na takové firmy míří téměř 46 % všech kybernetických útoků. Podle údajů Světového ekonomického fóra je přitom 95 % případů narušení kybernetické bezpečnosti připisováno právě lidské chybě. Tyto údaje ukazují, že firmy si možná ani neuvědomují, že jejich zaměstnanci mohou neúmyslně, či dokonce úmyslně, narušit prosperitu svého zaměstnavatele. Některé nevhodné chování může vést k finančním ztrátám, poškození pověsti nebo snížení produktivity celé firmy.

Prozkoumejme, jak mohou zaměstnanci a jejich nedbalost či pomstychtivost ovlivnit kybernetickou bezpečnost nebo fungování malé a střední firmy. V tomto článku si na tyto otázky posvítí odborníci společnosti Kaspersky a žádná z nich nezůstane bez odpovědi.

Malá neopatrnost může způsobit velké škody

Podle průzkumu Kaspersky 2022 IT Security Economics, který zahrnoval rozhovory s více než 3 000 manažery IT bezpečnosti ve 26 zemích, bylo přibližně 22 % úniků dat v sektoru malých a středních firem zaviněno zaměstnanci, přičemž téměř stejný podíl byl způsoben kybernetickými útoky. V nadsázce lze říci, že zaměstnanci mohou být téměř stejně nebezpeční jako hackeři, i když ve většině případů k tomu samozřejmě dochází kvůli jejich nedbalosti nebo nedostatečné informovanosti.

Existují různé způsoby, jak může jednání zaměstnanců nechtěně vést k závažnému narušení a poškození kybernetické bezpečnosti malých a středních firem. Mezi ty hlavní patří:

1. Slabá hesla

Zaměstnanci mohou používat jednoduchá nebo snadno uhodnutelná hesla, která mohou kyberzločinci lehce odhalit, což v konečném důsledku vede k neoprávněnému přístupu k citlivým údajům. Existuje dokonce seznam nejčastěji prolomených hesel – zkontrolujte, zda mezi nimi není i to vaše.

2. Phishingové podvody

Zaměstnanci mohou nevědomky nebo omylem kliknout na phishingové odkazy v e-mailech, což může vést k infekci malwarem a neoprávněnému přístupu do firemní sítě. Většina podvodníků dokáže napodobit e-mailovou adresu legitimní organizace a z odeslaného e-mailu s přiloženým dokumentem nebo archivem se může vyklubat malware. Nedávným příkladem je útok Agent Tesla, který postihl uživatele po celém světě.

3. Používání soukromých zařízení zaměstnanců (BYOD)

Praktiky BYOD získaly na významu v důsledku řady lockdownů v době vrcholící pandemie COVID-19. V této době byli zaměstnanci, jejichž přítomnost na pracovišti nebyla nezbytná, nuceni pracovat z domova a v myslích manažerů firem byla na prvním místě kontinuita provozu, nikoli bezpečnost.

Zaměstnanci používají pro připojení k firemním sítím často vlastní zařízení, což může představovat vážnou bezpečnostní hrozbu, pokud tato zařízení nemají odpovídající ochranu proti kybernetickým útokům. Vzhledem k tomu, že se každý den objeví více než 400.000 nových škodlivých programů a počet cílených útoků na firmy roste, ocitají se firmy ve velmi nebezpečné situaci. Zároveň většina firem neplánuje (nebo považuje za nemožné) zcela zablokovat přístup osobních zařízení k firemním datům.

Nezabezpečená firemní data uložená v osobním notebooku, který se ztratí na letišti nebo je zapomenut v taxíku,jsou typickou noční můrou nepřipraveného IT oddělení. Řada firem to řeší tak, že zaměstnancům povolí pracovat pouze v kanceláři na schválených počítačích s velmi omezenými možnostmi odesílání dat a zákazem používání USB flash disků. Tento přístup však nelze použít ve firmě, která kvůli větší flexibilitě spoléhá na vlastní zařízení zaměstnanců – to by však nemělo znamenat rezignaci na bezpečnost. Ideálním řešením problému ztráty zařízení je úplné nebo částečné šifrování firemních dat, které je vynucováno firemními předpisy. Tak by ani v případě odcizení notebooku nebo USB disku nebyla data na něm přístupná bez znalosti hesla.

4. Nedostatečné záplatování

Pokud zaměstnanci používají vlastní zařízení, pracovníci IT oddělení nemusí být schopni sledovat jejich zabezpečení nebo řešit případné bezpečnostní problémy. Zaměstnanci mohou navíc zanedbávat pravidelné instalace záplat nebo aktualizace svých systémů a softwaru, což může vést ke zranitelnostem, které mohou zneužít kyberzločinci.

5. Ransomware

Pro případ útoku ransomwaru je důležité zálohovat data tak, abyste je měli k dispozici i v případě, že se kyberzločincům podařilo ovládnout systém organizace a zašifrovat důležité informace.

6. Sociální inženýrství

Zaměstnanci mohou v reakci na taktiku sociálního inženýrství nebo phishingové podvody neúmyslně poskytnout citlivé informace, jako jsou přihlašovací údaje, hesla nebo jiné důvěrné údaje. Snadněji se nechají oklamat noví zaměstnanci, kteří ještě nevědí, „jak to ve firmě chodí“. Podvodník se například může před nováčkem vydávat za „šéfa“ a pak se pokusit ukrást některé důležité interní informace nebo vylákat peníze.

Jedním z příkladů, jak podvodníci pracují, je zaslání e-mailu, v němž se vydávají za šéfa nebo nějakého nadřízeného (s použitím neoficiální adresy) a žádají zaměstnance, aby „neodkladně“ splnil nějaký úkol. Nováček mu rád vyhoví. Úkolem může být například převod finančních prostředků dodavateli nebo nákup dárkových certifikátů v určité hodnotě. A ve zprávě je uvedeno, že to má být “ASAP” a “peníze dostanete zpět do konce dne”. Podvodníci zdůrazňují právě naléhavost úkolu, aby zaměstnanec neměl čas si to promyslet nebo ověřil u někoho jiného.

Jsou to chyby, kterých se zaměstnanci mohou dopustit z neznalosti nebo nedbalosti. Co se však může stát, když se zaměstnanec snaží úmyslně narušit bezpečnost organizace v době, kdy je zaměstnán, nebo těsně po odchodu z firmy? Pak mohou nastat další potíže.

Touha po pomstě

Začněme několika statistikami získanými společností Kaspersky. Ačkoli za většinou úniků stojí nevinné chyby nebo ignorování zásad kybernetické bezpečnosti, bezpečnostní manažeři uvedli, že zhruba třetina (36 procent) úniků způsobených zaměstnanci byla úmyslnými akty sabotáže nebo průmyslové špionáže.

Společnost Kaspersky informovala o několika problémech souvisejících s úmyslnou sabotáží. Jeden z příkladů nastal, když bývalý pracovník dodavatele zdravotnických prostředků sabotoval dodávky zákazníkům – poté, co byl propuštěn, použil vlastní „tajný účet“, aby zdržel proces dodávek. Jelikož zdravotnická organizace nebyla schopna dodávat zboží včas, byla nucena dočasně pozastavit všechny obchodní operace a přerušení přetrvávalo i o několik měsíců později. Nakonec byla firma nucena obrátit se na orgány činné v trestním řízení.

Dalším takovým případem bylo, když zaměstnanec IT oddělení podal na organizaci stížnost kvůli rasové diskriminaci . Když mu byl nabídnut příspěvek na změnu pracoviště, odmítl a trval na práci z domu. Byl proto propuštěn a rozhodl se svému bývalému zaměstnavateli pomstít. Změnil heslo k firemnímu účtu na Googlu, čímž znemožnil dřívějším kolegům přístup k e-mailu a zablokoval více než 2 000 studentů přístup ke studijním materiálům.

Tyto příklady ukazují, jak mohou propuštění zaměstnanci v touze po pomstě způsobit svému někdejšímu zaměstnavateli opravdu velkou škodu.

Co by měly malé a střední firmy udělat?

Velký počet kybernetických incidentů, které jsou důsledkem jednání zaměstnanců, ukazuje, že všechny organizace potřebují důkladné školení o kybernetické bezpečnosti, aby se zaměstnanci naučili, jak se vyhnout běžným bezpečnostním chybám.

Firmy by měly používat ochranu koncových bodů s funkcemi detekce hrozeb a reakce na ně, aby snížily riziko útoků a narušení dat. S vyšetřováním útoků a profesionální reakcí mohou organizacím pomoci také spravované služby ochrany. Pro snížení možnosti incidentů způsobených zaměstnanci jsou také nezbytná výše zmíněná školení.

 

Michael Fanta, redakce Cyberblog
Zdroj: ČTK
Foto: Bing
0 Comments
Submit a Comment
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.

Významným kyberbezpečnostním rizikem jsou pro firmy i vlastní zaměstnanci