Angajatii ascund incidentele de securitate in 40% dintre companiile din toata lumea, conform unui raport Kaspersky Lab si B2B International, “Factorul uman in securitatea IT: Cum fac angajatii companiile mai vulnerabile, din interior”. Avand in vedere ca 46% dintre incidentele de securitate IT sunt cauzate de angajati, in fiecare an, aceasta vulnerabilitate trebuie rezolvata din mai multe directii, nu doar prin  intermediul departamentul de IT.

Cum sunt hackerii condusi pana la usa

Angajatii neinformatii sau neglijenti sunt una dintre cele mai raspandite cauze ale unui incident de securitate cibernetica – pe locul al doilea dupa malware. Chiar daca programele malware devin din ce in ce mai sofisticate, factorul uman poate reprezenta un pericol si mai mare.

Mai exact, neglijenta angajatilor este una dintre cele mai mari brese din “armura” securitatii cibernetice a unei companii, atunci cand vine vorba de atacuri directionate. Chiar daca hackerii specializati s-ar putea sa foloseasca malware personalizat si tehnici hi-tech pentru a planui un furt, este foarte posibil sa inceapa cu exploatarea celui mai simplu punct de acces: natura umana.

Potrivit cercetarii, fiecare al treilea atac (28%) asupra companiilor, de anul trecut, a avut drept sursa phishing-ul sau o tehnica de social engineering. De exemplu, un contabil neatent ar putea sa deschida un fisier malware deghizat intr-o factura de la unul dintre numerosii contractori ai companiei. Acest lucru ar putea sa opreasca intreaga infrastructura a organizatiei, facand din respectivul contabil un complice involuntar al atacatorilor.

“Infractorii cibernetici folosesc frecvent angajatii drept punct de acces in interiorul infrastructurii companiei”, spune David Jacoby, Senior Security Researcher la Kaspersky Lab. “Chiar si niste banale notite scapate in parcare sau langa biroul secretarei ar putea compromite intreaga retea. Ai nevoie doar de cineva din interior care nu stie prea multe despre securitate sau nu-i da atentie si acel dispozitiv ar putea fi cu usurinta conectat la retea, unde e posibil sa faca ravagii.”

Atacurile directionate complexe nu se produc in fiecare zi asupra unei organizatii, dar programele malware conventionale lovesc in masa. Din pacate, insa, cercetarea arata ca si acolo unde avem de-a face cu malware, angajatii neinformati sau neatenti sunt implicati frecvent, cauzand infectii malware in 53% dintre incidente.

De-a v-ati ascunselea: de ce ar trebui sa se implice departamentul de HR si top management-ul

Angajatii care ascund incidentele in care au fost implicati pot crea consecinte dramatice, crescand pagubele totale. Chiar si un eveniment trecut sub tacere poate fi semnul unei brese mult mai mari, iar echipele responsabile cu securitatea trebuie sa fie in masura sa identifice rapid amenintarile cu care se confrunta si sa aleaga tehnicile potrivite de raspuns.

Dar membrii personalului prefera sa puna organizatiile in pericol decat sa raporteze o problema, pentru ca se tem de sanctiuni sau le e jena ca ei sunt responsabilii pentru o problema. Unele companii au introdus reguli stricte si le impun angajatilor responsabilitati suplimentare, in loc sa-I incurajeze, pur si simplu, sa fie atenti si sa coopereze. Acest lucru inseamna ca protectia cibernetica nu tine doar de tehnologie, ci si de cultura organizationala si de training. Acestea sunt si domeniile in care top management-ul si departamentul de HR trebuie sa se implice.

 “Problema reprezentata de ascunderea incidentelor ar trebui sa le fie comunicata nu doar angajatilor, ci si conducerii organizatiei si departamentului de HR”, spune Slava Borilin, Security Education Program Manager la Kaspersky Lab.  “In unele cazuri, companiile impun politici stricte, dar neclare, si pun prea multa presiune pe angajati, avertizandu-i sa nu faca una sau alta, altfel urmand sa fie facuti responsabili, daca se intampla ceva. Astfel de politici creeaza teama si le lasa angajatilor o singura posibilitate: sa evite sanctiunile, cu orice pret. Daca o cultura organizationala de securitate cibernetica este pozitiva, bazata pe educatie si nu pe restrictii, rezultatele nu vor intarzia sa apara.”

Borilin aminteste, de asemenea, un model de securitate din domeniul industrial, in care se aplica un sistem de tipul “invata din greseli”. De exemplu, intr-o declaratie recenta, Elon Musk de la Tesla, a cerut ca fiecare incident care afecteaza siguranta muncitorului sa-i fie raportat direct lui, pentru a interveni in schimbare.

Factorul uman: in mediul corporate si dincolo de el

Organizatii din toata lumea constata ca au aceasta problema: angajati care le fac afacerea mai vulnerabila: 52% dintre companiile participante recunosc ca personalul este cea mai mare slabiciune a lor in domeniul securitatii IT. Nevoia de a implementa masuri axate pe angajati devine din ce in ce mai evidenta: 35% dintre companii vor sa-si imbunatateasca securitatea prin training-uri pentru angajati, facand din acestea a doua metoda de aparare cibernetica, dupa folosirea unor programe mai sofisticate (43%).

Cea mai buna metoda de a proteja organizatiile de amenintari cibernetice este imbinarea instrumentelor si a practicilor potrivite. Eforturile de HR si de management ar trebui sa sustina si sa incurajeze angajatii sa fie atenti si sa ceara ajutor in eventualitatea unui incident. Training-urile pentru personal despre constientizarea importantei securitatii, reguli clare, in loc de documente cu multe pagini, dezvoltarea abilitatilor si a motivatiei si crearea unui mediu de lucru corespunzator sunt primii pasi pe care ar trebui sa ii faca organizatiile.

In materie de tehnologii de securitate, majoritatea amenintarilor care vizeaza angajatii neinformati sau neatenti – inclusiv phishing-ul – pot fi rezolvate cu solutii de securitate endpoint. Acestea pot acoperi cerintele specifice ale unui IMM sau ale companiilor mari, din punct de vedere al functionalitatii, al protectiei pre-configurate sau al setarilor avansate de securitate, pentru a diminua riscurile.