Οι υπάλληλοι των επιχειρήσεων αποκρύπτουν τα περιστατικά ασφάλειας των πληροφοριακών συστημάτων σε ποσοστό 40% παγκοσμίως – αυτό το δεδομένο προέκυψε από τη νέα έρευνα της Kaspersky Lab και της B2B International, «Ο ανθρώπινος παράγοντας στην ασφάλεια των πληροφοριακών συστημάτων: Πως οι υπάλληλοι καθιστούν τις επιχειρήσεις πιο ευάλωτες από το εσωτερικό τους». Με το 46% των περιστατικών ασφάλειας πληροφοριακών συστημάτων να οφείλεται σε υπαλλήλους κάθε χρόνο, αυτή η ευπάθεια των επιχειρήσεων πρέπει να αντιμετωπιστεί σε όλα τα επίπεδα και όχι μόνο μέσω του τμήματος ασφάλειας πληροφοριακών συστημάτων.
Οδηγώντας τους χάκερς στην πόρτα σας
Οι μη ενημερωμένοι ή αδιάφοροι υπάλληλοι αποτελούν έναν από τους βασικούς λόγους περιστατικών ασφάλειας των πληροφοριακών συστημάτων – δεύτερος λόγος στην αντίστοιχη λίστα πίσω από τα παραδοσιακά κακόβουλα λογισμικά. Ενώ τα κακόβουλα λογισμικά εξελίσσονται συνεχώς, η θλιβερή πραγματικότητα είναι ότι ο «αειθαλής» ανθρώπινος παράγοντας μπορεί να αποτελέσει ακόμα μεγαλύτερο κίνδυνο.
Συγκεκριμένα, η απροσεξία των εργαζομένων είναι ένα από τα μεγαλύτερα πλήγματα στην εταιρική θωράκιση ενάντια στις ψηφιακές απειλές όταν πρόκειται για στοχευμένες επιθέσεις. Ενώ οι προηγμένοι χάκερς μπορούν πάντα να χρησιμοποιήσουν ειδικά σχεδιασμένα κακόβουλα προγράμματα και τεχνικές υψηλής τεχνολογίας για να σχεδιάσουν μια ληστεία, πιθανότατα θα αρχίσουν να αξιοποιούν το πιο εύκολο σημείο εισόδου – την ανθρώπινη φύση.
Σύμφωνα με την έρευνα, μία στις τρεις (28%) στοχευμένες επιθέσεις εναντίον επιχειρήσεων τον περασμένο χρόνο διέθετε στην πηγή της τεχνικές phishing/κοινωνικής μηχανικής. Για παράδειγμα, ένας απρόσεκτος λογιστής θα μπορούσε εύκολα να ανοίξει ένα κακόβουλο αρχείο που θα έμοιαζε με τιμολόγιο από έναν από τους πολυάριθμους εργολάβους μιας εταιρείας. Αυτό θα μπορούσε να θέσει εκτός λειτουργίας ολόκληρη την υποδομή του οργανισμού, καθιστώντας εν αγνοία του τον λογιστή συνεργό των επιτιθέμενων.
«Οι ψηφιακοί εγκληματίες συχνά χρησιμοποιούν τους υπαλλήλους ως σημείο εισόδου στην εταιρική υποδομή. Phishing email, αδύναμοι κωδικοί πρόσβασης, ψεύτικα τηλεφωνήματα από τμήματα τεχνολογικής υποστήριξης – τα έχουμε δει όλα. Ακόμα και μία απλή flash card που μπορεί να έχει παραπέσει στο παρκινγκ του γραφείου ή δίπλα στο γραφείο της γραμματείας μπορεί να θέσει σε κίνδυνο ολόκληρο το δίκτυο – το μόνο που χρειάζεται είναι κάποιος που βρίσκεται στο εσωτερικό της εταιρείας, που δεν ξέρει ή που δεν δίνει προσοχή στην ασφάλεια και αυτή η συσκευή μπορεί πανεύκολα να συνδεθεί με το δίκτυο προκαλώντας ολέθριες συνέπειες», σχολίασε ο David Jacoby, Ερευνητής ασφάλειας της Kaspersky Lab.
Οι εξελιγμένες στοχευμένες επιθέσεις δεν συμβαίνουν καθημερινά σε οργανισμούς – αλλά το συμβατικό κακόβουλο λογισμικό πλήττει τις επιχειρήσεις μαζικά. Δυστυχώς, όμως, η έρευνα επίσης δείχνει ότι όταν πρόκειται για κακόβουλο λογισμικό, οι μη ενημερωμένοι και απρόσεκτοι υπάλληλοι παίζουν επίσης σημαντικό ρόλο προκαλώντας «μολύνσεις» με κακόβουλο λογισμικό στο 53% των περιπτώσεων.
Κρυφτό: γιατί το τμήμα Ανθρώπινου Δυναμικού και τα κορυφαία στελέχη θα πρέπει να εμπλακούν
Με το προσωπικό να αποκρύπτει τα περιστατικά στα οποία έχει εμπλακεί, οι επιπτώσεις μπορεί να είναι πολύ άσχημες και αυτό αυξάνει τη γενικότερη βλάβη που μπορεί να έχει προκληθεί. Ακόμα και ένα μόνο γεγονός που δεν έχει αναφερθεί μπορεί να υποδεικνύει μια ακόμα μεγαλύτερη παραβίαση, και οι ομάδες ασφάλειας χρειάζεται να αναγνωρίσουν γρήγορα τις απειλές που έχουν απέναντι τους για να διαλέξουν τις κατάλληλες τακτικές μετριασμού.
Το προσωπικό θα προτιμούσε να θέσει σε κίνδυνο τους οργανισμούς από το να δηλώσει ένα πρόβλημα γιατί φοβάται την τιμωρία ή ντρέπεται που είναι υπεύθυνο για κάτι το οποίο πήγε λάθος. Κάποιες εταιρείες έχουν εισάγει αυστηρούς κανόνες και έχουν επιβάλει περισσότερες ευθύνες στους υπαλλήλους, αντί να τους ενθαρρύνουν να είναι απλώς σε εγρήγορση και συνεργάσιμοι. Αυτό σημαίνει πως η προστασία στον κυβερνοχώρο όχι μόνο εναπόκειται στο «βασίλειο» της τεχνολογίας, αλλά και στην κουλτούρα και εκπαίδευση του οργανισμού. Εδώ είναι που χρειάζεται να εμπλακούν το Ανθρώπινο Δυναμικό και τα ανώτατα διοικητικά στελέχη.
«Το πρόβλημα της απόκρυψης περιστατικών θα πρέπει να γνωστοποιείται, όχι μόνο στους υπαλλήλους αλλά και στα ανώτατα διοικητικά στελέχη και το τμήμα Ανθρώπινου Δυναμικού. Εάν οι εργαζόμενοι κρύβουν περιστατικά, πρέπει να υπάρχει κάποιος λόγος. Σε ορισμένες περιπτώσεις, οι εταιρείες εισάγουν αυστηρές, αλλά ασαφείς πολιτικές και ασκούν έντονη πίεση στο προσωπικό, προειδοποιώντας τους εργαζόμενους να μην κάνουν «αυτό ή εκείνο» γιατί θα κριθούν υπεύθυνοι αν κάτι πάει στραβά. Τέτοιες πολιτικές ενθαρρύνουν τους φόβους και αφήνουν τους εργαζόμενους με μία μόνο επιλογή – για να αποφύγουν την τιμωρία πάση θυσία. Αν η κουλτούρα σας σε θέματα ψηφιακής ασφάλειας είναι θετική, βασισμένη σε μια εκπαιδευτική προσέγγιση αντί σε μια περιοριστική, από την κορυφή προς τα κάτω, τα αποτελέσματα θα είναι προφανή», σχολιάζει ο Slava Borilin, Security Education Program Manager στην Kaspersky Lab.
Ο Borilin υπενθυμίζει επίσης ένα μοντέλο βιομηχανικής ασφάλειας, όπου μια προσέγγιση αναφοράς και «μάθησης από λάθος» είναι στο επίκεντρο της επιχείρησης. Για παράδειγμα, σε πρόσφατη δήλωσή του, ο Elon Musk της Tesla ζήτησε να του αναφερθεί άμεσα κάθε περιστατικό που αφορά στην ασφάλεια των εργαζομένων, ώστε να μπορεί να διαδραματίσει κεντρικό ρόλο στην αλλαγή.
Ο ανθρώπινος παράγοντας: το εταιρικό κλίμα και ακόμα παραπέρα
Οι οργανισμοί σε όλο τον κόσμο έχουν ήδη συνειδητοποιήσει το πρόβλημα του προσωπικού τους που καθιστά τις επιχειρήσεις τους ευάλωτες: το 52% των ερωτηθέντων εταιρειών παραδέχεται ότι το προσωπικό είναι η μεγαλύτερη αδυναμία στην ασφάλεια του τομέα της Πληροφορικής. Η ανάγκη εφαρμογής μέτρων με επίκεντρο το προσωπικό γίνεται ολοένα και πιο εμφανής: το 35% των επιχειρήσεων προσπαθεί να βελτιώσει την ασφάλεια μέσω της παροχής κατάρτισης στο προσωπικό, καθιστώντας αυτή τη δεύτερη πιο δημοφιλή μέθοδο προστασίας του κυβερνοχώρου, ακολουθώντας στην κατάταξη την ανάπτυξη πιο εξελιγμένου λογισμικού (43%).
Ο καλύτερος τρόπος για την προστασία των οργανισμών από τις ψηφιακές απειλές που σχετίζονται με τον ανθρώπινο παράγοντα, είναι ο συνδυασμός των σωστών εργαλείων με τις σωστές πρακτικές. Αυτό θα πρέπει να περιλαμβάνει τις προσπάθειες του Ανθρώπινου Δυναμικού και των ανώτατων στελεχών να ενθαρρύνουν τους υπαλλήλους να είναι προσεκτικοί και να ζητούν βοήθεια σε περίπτωση περιστατικού. Η εκπαίδευση για την ευαισθητοποίηση του προσωπικού σε θέματα ασφάλειας, η παροχή σαφών οδηγιών αντί για πολυσέλιδα έγγραφα, η δημιουργία ισχυρών δεξιοτήτων και κινήτρων και η προώθηση του κατάλληλου εργασιακού περιβάλλοντος είναι τα πρώτα βήματα που πρέπει να ακολουθήσουν οι οργανισμοί.
Όσον αφορά στις τεχνολογίες ασφάλειας, οι περισσότερες από τις απειλές που στοχεύουν σε ανενημέρωτους ή απρόσεκτους υπαλλήλους – συμπεριλαμβανομένου του phishing – μπορούν να αντιμετωπιστούν με λύσεις ασφάλειας για τερματικά σημεία. Αυτές μπορούν να καλύψουν τις ιδιαίτερες ανάγκες μικρομεσαίων, αλλά και μεγάλων επιχειρήσεων με όρους λειτουργικότητας, προεπιλεγμένης προστασίας ή προηγμένων ρυθμίσεων ασφάλειας, ώστε να ελαχιστοποιηθούν οι κίνδυνοι.