Konieczność większej odpowiedzialności pracowników w zabezpieczeniu cyfrowym firm
Ludzie stanowią główny wektor ryzyka i najczęstszy cel ataków hakerskich. Dominuje przekonanie, że obiektem zainteresowania cyberprzestępców są głównie pracownicy na wyższych stanowiskach, posiadający szersze uprawnienia dostępu do firmowych zasobów cyfrowych. Jednocześnie jednak są oni lepiej chronieni. Dlatego przestępcy biorą na celownik również osoby z ograniczonym dostępem, aby stopniowo rozprzestrzeniać szkodliwe oprogramowanie w systemie firmy.
W opinii ekspertów ds. cyberbezpieczeństwa niezwykle ważne jest, nie tylko aby szkolić pracowników, podnosić ich świadomość, lecz również, aby zwiększać zakres ich odpowiedzialności za bezpieczeństwo danych. To jedno z coraz powszechniejszych rozwiązań. Zdaniem Stormshield w zabezpieczeniu cyfrowym coraz większą rolę odgrywać będą działy HR, a firmy do badania potencjalnie niebezpiecznych zachowań pracowników mogą wykorzystywać realizowane samodzielnie, testowe kampanie phisingowe.
Cyberataki są najczęściej wymierzone w pracowników wyżej usytuowanych w hierarchii firmy, mających dostęp do poufnych i krytycznych informacji. Jednocześnie jednak te wartościowe „cele” są również najlepiej chronione w organizacji i najbardziej świadome niebezpieczeństw. Dlatego cyberprzestępcy, aby znaleźć drogę dostępu do firmowego systemu, atakują osoby z ograniczonym dostępem, których pozyskanie może stać się pierwszym krokiem do cyberataku o szerokim zakresie.
– Zaatakowany pracownik z ograniczonym dostępem może być przez cyberprzestępców łatwo przekształcony w prawdziwego konia trojańskiego, umożliwiającego infekowanie kolejnych punktów i osób w ramach firmowej sieci i stopniowe pokonywanie kolejnych barier dostępu. Tym samym warto mieć świadomość, że również pracownicy bez znaczących uprawnień do systemu informatycznego mogą stanowić atrakcyjne cele dla cyberprzestępców, gdyż mogą zostać potraktowani jako wytrych do położonych głębiej zasobów. Zagrożenie z ich udziałem może być też odłożone w czasie a wiąże się z możliwością poszerzenia w przyszłości przyznanych im uprawnień dostępowych – mówi Aleksander Kostuch, inżynier Stormshield.
Jednocześnie nie zawsze pracownicy niższych szczebli są świadomi faktu, że zagrożenie dotyczy również ich.
– Phishing, dominujący wektor ataków, jest stosunkowo łatwy do przeprowadzenia i umożliwia jednoczesne atakowanie dużej liczby pracowników. Statystyka przemawia na korzyść przestępców, bowiem prędzej czy później taka pułapka okaże się skuteczna – komentuje Aleksander Kostuch. – Zagrożeni są wszyscy pracownicy, ale nie wszyscy są tak samo podatni na ataki – dodaje ekspert europejskiego lidera branży bezpieczeństwa IT.
Sam fakt pełnienia w organizacji określonej roli nie determinuje podatności lub jej braku na zagrożenia ze strony przestępców. Sposobem na wychwycenie potencjalnych słabszych ogniw są testy.
– W dzisiejszych czasach mamy bardzo proste i niedrogie rozwiązania do automatyzacji testów. Dzięki takim narzędziom firmy mogą prowadzić samodzielne, skierowane do swoich pracowników, testowe kampanie oparte o mechanizmy phishingowe. Takie działanie pozwala zidentyfikować osoby, które łatwiej mogą wpaść w pułapkę, a tym samym stanowią najsłabsze ogniwa w firmowym łańcuchu bezpieczeństwa – wyjaśnia Aleksander Kostuch.
Po takiej testowej diagnozie firma może podjąć działania skierowane do pracowników o podwyższonym ryzyku. Upewnić się, że są świadomi potencjalnych konsekwencji swojego zachowania i przeszkolić ich w zakresie podstawowych koncepcji cyberbezpieczeństwa.
– Generalizując można powiedzieć, że większość pracowników jest świadoma zagrożeń cybernetycznych, a fakt, że mimo tej świadomości nadal często nie przestrzegają podstawowych zasad bezpieczeństwa, wynika z błędnego założenia, że ryzyko nie dotyczy ich osobiście – ocenia ekspert Stormshield.
Wobec tego poprawa bezpieczeństwa firmy może być osiągnięta poprzez podział odpowiedzialności.
– Może to przybrać formę wpisania norm i zasad bezpieczeństwa ustalonych przez firmę do opisu stanowiska pracy. Takie rozwiązanie zapewniłoby podział ryzyka, ponieważ w przypadku poważnego i udowodnionego naruszenia procedur, organizacja mogłaby podjąć działania wobec nieostrożnego pracownika. Wydaje się, że taki model będzie coraz powszechniejszy – komentuje Aleksander Kostuch.
Tego rodzaju rozwiązania są już rzeczywistością, szczególnie w dużych firmach anglojęzycznych. Uzupełniają one swoje wewnętrzne regulacje o karty IT, umożliwiające nakładanie sankcji adekwatnych do powagi naruszeń bezpieczeństwa spowodowanych działaniem pracowników.
– Zwiększeniu odpowiedzialności pracowników musi towarzyszyć większy dostęp do narzędzi i informacji w zakresie cyberbezpieczeństwa. Pracodawca musi umożliwić im zrozumienie zagrożenia i tego, co się wokół nich dzieje. A korporacyjne rozwiązania w zakresie cyberbezpieczeństwa tradycyjnie były na głowie dedykowanych zespołów. Nie dokładano starań, aby były łatwiejsze w zrozumieniu i prostsze w użyciu przez osoby nie będące specjalistami. Bardziej dostępne i przyjazne dla użytkowników rozwiązania mogłyby zwiększyć kompetencje pracowników w tym ważnym obszarze – dodaje specjalista Stormshield.
Sposobem zapewniającym sprawniejsze wdrażanie podobnych rozwiązań może być zwiększenie roli departamentów HR w obszarze cyberbezpieczeństwa. HR odpowiadający za programy szkoleniowe dla pracowników jest najwłaściwszym działem, który może zadbać o to, aby wiedza pracowników na tematy dot. cyberbezpieczeństwa organizacji była aktualna.
– Dział HR wydaje się być w najlepszy, aby zapewnić ogólną kwalifikację organizacji w zakresie cyberbezpieczeństwa. Począwszy od fazy rekrutacji, jest w stanie uwzględnić wymagania związane z kulturą cyberbezpieczeństwa na podstawie indywidualnej roli zawodowej. Jest również najlepiej przygotowany do wdrażania ewentualnych konsekwencji wynikających z niebezpiecznego zachowania. W tym celu musi uczestniczyć w pisaniu i aktualizowaniu takich zasad, zapewniając jednocześnie regularne informowanie o nich pracowników – komentuje Aleksander Kostuch.
Niestety rzeczywistość pokazuje, że żaden pracownik, niezależnie od pozycji w hierarchii firmowej, nie może czuć się bezpieczny. Polityka Zero Trust zakłada, że wszyscy członkowie organizacji muszą być świadomi zagrożeń i roli jaką odgrywają w zapewnieniu cyfrowego bezpieczeństwa firmy.
– Stąd właśnie wynika przewidywany przez nas wzrost znaczenia kwestii indywidualnej odpowiedzialności pracownika. Ten aspekt będzie nabierał coraz większego znaczenia – podsumowuje ekspert Stormshield.