Cyberbezpieczeństwo
50% pracowników boi się zgłaszać cyberincydenty ze względu na możliwe konsekwencje
Tak wynika z badania Think Cyber. W branży cyberbezpieczeństwa przyjęło się stwierdzenie, że najsłabszym ogniwem firmowych zabezpieczeń jest człowiek. Jednak to technologia powinna się skupić na ułatwieniu użytkownikom zachowania bezpieczeństwa, nawet jeżeli popełnią błąd.
Pracownicy mogą się mylić. Jak wskazuje badanie QBE, nawet 31% ankietowanych przyznało, że popełniło w ubiegłym roku błędy, które mogły mieć wpływ na cyberbezpieczeństwo ich miejsca pracy. Były to m.in.: phishing, kliknięcie linku lub pobranie złośliwej zawartości, utrata lub kradzież urządzenia służbowego czy udostępnianie haseł współpracownikom. We wrześniu 2023 roku sieć hoteli i kasyn MGM padła ofiarą cyberataku po tym jak haker, podszywając się pod pracownika firmy, zadzwonił do działu IT z prośbą o pomoc w zalogowaniu się na konto (tzw. vishing scam). W wyniku ataku organizacja odnotował straty rzędu 8,4 mln dolarów dziennie3.
Zadanie niemożliwe do wykonania?
Cyberataki zdarzają się nagle i często zawierają element nacisku. Może to być e-mail z działu HR lub od szefa z ważnym raportem do natychmiastowego przejrzenia. Telefon od osoby z „pomocy technicznej”, która prosi o zdalny dostęp do komputera, aby naprawić pilną usterkę. Wiadomość od „działu IT” informująca o zagrożeniu z pilną prośbą o zresetowanie haseł pod podanym linkiem. W morzu maili i zadań łatwo stracić czujność i kliknąć w złośliwy załącznik czy link.
Według raportu Tessian, ponad 40% pracowników jako przyczynę „złapania się” na atak phishingowy podaje zmęczenie i rozproszenie uwagi. Sam incydent także nie pozostaje bez wpływu na dobrostan pracowników. Dwóch na pięciu (40%) badanych w raporcie Veeam Ransomware Trends 2024 specjalistów IT wskazuje, że po cyberataku zaobserwowali u siebie podwyższony poziom stresu, który rzutował na ich codzienną pracę i życie osobiste.
“Nie do końca zgadzam się ze stwierdzeniem, że człowiek jest najsłabszym ogniwem w systemie. Użytkownik staje przed zadaniem praktycznie niemożliwym do wykonania – w natłoku setek wiadomości, maili, linków i załączników musi wyłapać ten jeden, w który absolutnie nie należy klikać. Warto pamiętać, że aby zwiększać skuteczność ataków przestępcy w swoich wiadomościach nakładają na ofiary presję czasową, np. wskazują, że trzeba się spieszyć i zareagować natychmiast. Przez to odbiorca takiego maila czy telefonu działa pod wpływem impulsu i strachu, często nie mając możliwości zastanowienia się” – wskazuje Leszek Tasiemski, ekspert ds. cyberbezpieczeństwa i VP w firmie WithSecure.
Obawy przed zgłaszaniem incydentów
W wielu firmach brakuje wykwalifikowanych specjalistów IT. Z kolei kadra odpowiedzialna za systemy pracuje pod presją – cyberatak może się bowiem zdarzyć w każdej chwili. Odpowiedzialność za cyberataki często jest więc rozkładana na wszystkich pracowników, zwłaszcza tych, którzy padli ofiarą oszustów. W efekcie nawet połowa pracowników obawia się zgłaszać swoim przełożonym błędy związane z bezpieczeństwem.
Poza edukowaniem kadry i zapewnieniem regularnych szkoleń z zakresu cyberzagrożeń, potrzebne jest również zapewnienie im pomocy, gdy napotykają na jakieś problemy, wątpliwości czy otrzymają podejrzaną wiadomość. Każdy powinien wiedzieć jakie kroki wtedy podjąć i do kogo się zgłosić. Kluczowe jest też jednak to, aby budować otwartą i szczerą atmosferę oraz przestrzeń do zadawania pytań.
Szkolenia i bieżące symulacje ataków są bardzo istotne i pomagają trenować czujność. Jednak to przede wszystkim technologia powinna ułatwiać użytkownikom zachowanie bezpieczeństwa, nawet jeżeli popełnią błąd, uważa ekspert WithSecure. “Link czy załącznik muszą zostać przeskanowane, zanim wylądują w skrzynce odbiorczej. Uprawnienia mogą być automatycznie odbierane po upływie zadanego czasu, żeby zmniejszyć zakres strat po skutecznym ataku. Uwierzytelnianie wieloskładnikowe zminimalizuje straty w przypadku, gdy użytkownik przez przypadek poda hasło oszustowi. Nie mniej istotne jest zachęcanie zatrudnionych w firmie do raportowania wszelkich incydentów, nawet jeżeli wynikają one z nieostrożności czy błędu. W wielu przypadkach wymaga to zmiany kulturowej i przełamania obawy użytkowników przed karą czy zawstydzeniem” – podsumowuje Leszek Tasiemski.
