Największym problemem większości pracowników jest niewiedza o tym, że mogą paść ofiarami cyberataku. Prawda tymczasem jest taka, że to właśnie pracownicy nietechniczni są najczęstszym celem cyfrowych przestępców.
Przez swoje złe nawyki w sieci lub brak podstawowej wiedzy o zachowaniu bezpieczeństwa pracownicy nietechniczni bywają najłatwiejszym obiektem dla hakerów. Podczas pandemii, kiedy praca zdalna zagościła u nas na dłużej, deficyty wiedzy i złe nawyki mogą narazić nie tylko daną osobę, ale również całą firmę, dla której pracuje.
Potwierdza to raport Tessian (amerykańsko-brytyjskiej firmy zajmującej się cyberbezpieczeństwem), w którym ponad połowa specjalistów IT stwierdza, że praca zdalna zmniejszyła czujność pracowników w zakresie bezpieczeństwa i wprowadziła złe nawyki w sieci. Co więcej, ponad jedna czwarta pracowników boi się przyznać, że popełniła błędy zagrażające bezpieczeństwu pracy.
Do podstawowych błędów pracowników pracujących w domu należą:
- brak aktualizacji oprogramowania systemowego, firmware urządzeń;
- niedocenianie skali skomplikowania i jakości cyberataków – poleganie tylko i wyłącznie na oprogramowaniu antywirusowym;
- brak odpowiedniego monitorowania punktów końcowych, urządzeń sieciowych, procesów, usług i zdarzeń;
- lekceważenie bezpieczeństwa poczty e-mail;
- otwieranie podejrzanych wiadomości i stron internetowych;
- tworzenie słabych haseł i nieregularne ich zmienianie.
Phishing – jedno z zagrożeń czasu pandemii
Kiedy koronawirus rozprzestrzeniał się po świecie, hakerzy zaczęli wykorzystywać to na swoją korzyść. Przejście na pracę zdalną wielu pracowników otworzyło im dodatkowe możliwości ataków na wielkie firmy poprzez ich najsłabsze ogniwa – pracowników spoza działów IT. Są oni bardziej podatni na ataki phishingowe, czyli podszywanie się cyberprzestępców m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, czy nawet naszych znajomych w celu wyłudzenia danych do logowania np. do kont bankowych, używanych przez nas kont społecznościowych, czy systemów biznesowych.
Tak naprawdę istnieje tylko jedno skuteczne rozwiązanie tego problemu – szkolenie pracowników. Walka z hakerami to w dużej mierze walka z wiatrakami. Jeśli uda się odeprzeć jeden atak lub naprawić jego skutki, za chwilę może pojawić się kolejny. Najlepszą metodą w tym wypadku jest unikanie lub minimalizowanie możliwości wystąpienia tego typu zagrożeń. Najlepszym na to sposobem jest organizowanie szkoleń dla pracowników i uświadamianie ich o potencjalnych zagrożeniach w sieci oraz tym, jak się przed nimi uchronić.
Dlaczego szkolenia są tak ważne?
Kiedy wielu z nas przeniosło się z pracą do domu, hakerzy zaczęli atakować zdecydowanie częściej, a jakość i stopień zaawansowania cały czas rośnie.
55 proc. firm w Polsce ocenia, że podczas pandemii wzrosło ryzyko wystąpienia cyberataków. Co więcej, aż 64 proc. firm odnotowało przynajmniej jeden taki incydent w 2020 r. Najbardziej niepokojące jest jednak to, że tylko 25 proc. firm na polskim rynku zwiększyło wydatki na bezpieczeństwo, bagatelizując ryzyko cyfrowej przestępczości.
Najbardziej zagrożone na ataki są małe i średnie firmy, które mają olbrzymie braki w zabezpieczeniach przed cyberatakami. Mimo że większe przedsiębiorstwa są zazwyczaj w pełni świadome zagrożenia przed hakerami, to również tam zdarzają się niedociągnięcia i błędy.
To wszystko pokazuje, jak ważne jest edukowanie swoich pracowników w kwestiach cyberbezpieczeństwa i minimalizowaniu potencjalnego zagrożenia atakami w sieci. Takie szkolenia mogą wyrobić u wszystkich pracowników dobre nawyki i stosowanie się do obowiązujących instrukcji oraz procedur. Dzięki temu będą potrafili bronić się przed hakerskimi atakami, takimi jak np. phishing, w którym przestępcy za pomocą psychologicznych manipulacji wymuszają na użytkownikach klikanie w fałszywe linki i/lub podanie danych wrażliwych. W końcu sukces danej firmy zależy od ich pracowników, a ustalenie stałego programu szkoleń z cyberbezpieczeństwa pozwoli im być na bieżąco ze wszystkimi nowymi metodami hakerów.
Jak zabezpieczyć się przed atakami?
Wyciek danych, ujawnienie tajemnic firmy, opracowanych technologii, itp. to zagrożenie, jakie niesie za sobą brak przygotowania na cyberataki i popełnianie błędów w sieci. To wszystko może nieść za sobą ogromne konsekwencje, nie tylko finansowe, ale również wizerunkowe.
Wszystko to wiąże się z nadszarpniętą lub nawet zniszczoną reputacją firmy oraz utratą nowych, jak i obecnych klientów. Aby temu zaradzić, niezbędne jest budowanie spójnej strategii cyberbezpieczeństwa, gdzie narzędzia i zasoby redukują ryzyko wystąpienia błędu ludzkiego, za którym idzie ryzyko ataku. Oczywiście nie jest to proste zadanie. Firma musi zaradzić niedoborom zasobów (ludzkich, budżetowych), zarządzać złożonymi technologiami, szkolić użytkowników końcowych, sprostać oczekiwaniom zarówno zarządu, jak i klientów.
Aby temu zapobiec, warto zacząć od podstawowych zasad bezpieczeństwa w sieci podczas pracy zdalnej i wyrobić sobie pewne nawyki:
- śledzenie na bieżąco wytycznych bezpieczeństwa;
- stosowanie VPN;
- używanie oddzielnych urządzeń do pracy i do spraw osobistych;
- właściwe zabezpieczenie domowego Wi-Fi – aktualizacja firmware routera/access pointa, uwierzytelnienie WPA2 lub WPA3, silne hasło do Wi-Fi (niesłownikowe i powyżej 13 znaków);
- rozpoznawanie e-maili phishingowych;
- śledzenie swoich urządzeń (jeśli mają taką funkcjonalność);
- wieloczynnikowe uwierzytelnianie (Multi-Factor Authentication);
- regularne kopie zapasowe danych;
- zabezpieczanie poufnych danych (np. poprzez szyfrowanie dysków / katalogów);
- używanie różnych (i silnych) haseł do różnych usług czy urządzeń.
Aby pracodawca był stuprocentowo pewien, że zrobił wszystko, aby zabezpieczyć swoich pracowników i jednocześnie firmę w sieci, należy odpowiednio dobierać szkolenia w zależności od profilu pracowników, dla których będzie ono przeznaczone. Przykładowo, pracownik zajmujący się kartami płatniczymi powinien udać się na szkolenie PCI DSS (Payment Card Industry Data Security Standard), z kolei dla osoby często podróżującej służbowo, dobrym wyborem będą zajęcia na temat publicznego Wi-Fi i urządzeń mobilnych.
–
Autor: Dominik Węglarz, IT Trainer w Altkom Akademii