Pracownicy tworzą cyberbezpieczeństwo

To ludzie są najsłabszym ogniwem w cyberbezpieczeństwie. Jak wyszkolić pracowników i menedżerów, aby lepiej rozpoznawali cyberzagrożenia, a nawet potrafili im zapobiegać?

Samo oprogramowanie nie wystarczy, aby zapewnić ochronę przed cyberatakami. Niezbędne jest przeszkolenie personelu, aby każdy pracownik wiedział, jak korzystać z poszczególnych urządzeń i aplikacji. W raporcie „Szacowanie strat netto – globalny koszt cyberprzestępczości” specjalizująca się w bezpieczeństwie firma McAfee informuje, że cyberprzestępczość rocznie kosztuje przedsiębiorstwa na świecie ok. 400 mld USD. Autorzy raportu podkreślają, że cyberprzestępczość ma poważne konsekwencje dla innowacyjności, wzrostu gospodarczego, konkurencyjności i handlu. W krajach rozwiniętych cyberprzestępczość ma też negatywny wpływ na zatrudnianie – wiele firm ze względu na problemy z bezpieczeństwem nie stać na powiększanie kadry i dalszy rozwój albo musi delegować pracowników do zadań związanych z ochroną danych, zamiast pozwalać im na realizowanie kolejnych zleceń dla klientów.

Według badania wydanego przez firmę Wombat Security Technologies w 2015 r., pracownicy w firmach są „prawdopodobnie największym zagrożeniem dla bezpieczeństwa”, a zainwestowanie w szkolenia z bezpieczeństwa redukuje ryzyko ataków od 45 do 70%. O tym, dlaczego warto przeznaczyć więcej czasu i środków na szkolenia z zakresu bezpieczeństwa, przekonują ponadto wyniki kolejnego badania – opracowanego przez organizację Ponemon Institute raportu „Cost of Data Breach Study”. Okazuje się, że jeśli chodzi o wyciek i kradzież danych, w 49% za ataki odpowiada złośliwe oprogramowanie, z czego w przypadku 19% wycieków powodem jest niedopatrzenie ze strony człowieka. Co więcej, średnia wycena skradzionego rekordu to 217 USD (ok. 882 zł), a w typowych atakach cyberprzestępcy pozyskują od 5655 do 96 550 rekordów z baz danych. Straty dla firm mogą być więc pokaźne.

Zobacz również:

Pracownicy, którzy nie rozumieją, jak działają przestępcy w internecie, mogą narazić organizację na ogromne straty. Szkolenia warto przeprowadzić dla całego personelu – w ten sposób rzeczywiście ograniczymy ryzyko, że nasza firma padnie ofiarą ataku.

Jeżeli dopuszczamy możliwość pracy zdalnej, warto korzystać z sieci VPN. Dzięki temu firma zyska pewność, że wszyscy korzystają z bezpiecznego, szyfrowanego połączenia. Kiedy pracownicy nie mogą połączyć się z VPN-em, powinni używać komórkowej transmisji danych (3G/4G LTE).

Firma Ipswitch, również zajmująca się bezpieczeństwem i badaniami, donosi, że aż 84% pracowników na świecie wykorzystuje prywatne e-maile do wysyłania i odbierania poufnych plików służbowych, a ponad 50% personelu naraża firmy na ataki poprzez wgrywanie plików i dokumentów i dzielenie się nimi za pośrednictwem usług w chmurze, takich jak: Dropbox, YouSendIt czy WeTransfer (oczywiście, mowa o kontach bezpłatnych, do użytku prywatnego). Pracownicy nie narażają firm na ataki celowo – wynika to z braku świadomości, co koreluje z brakiem szkoleń i niewiedzą, co złego może się stać, jeśli korzystamy z prywatnych kont online do celów służbowych.

Trening z phishingu i spamu

W biznesie zdarza się wiele ataków typu BEC (Business Email Compromise). Polegają one na tym, że cyberprzestępca wysyła wiadomość do jednego z pracowników firmy, prosząc o dostęp do bazy danych czy konkretne dane w formie arkusza kalkulacyjnego. Popularną „zagrywką” jest pilna prośba od prezesa firmy skierowana do jednego z pracowników działu HR. Menedżer ds. HR przesyła wówczas dane pracowników, nie wiedząc, że otrzymał spreparowaną wiadomość i że ktoś podszywa się pod prezesa. Cyberprzestępca, aby przeprowadzić taki zabieg, musi tylko stworzyć konto e-mail na domenie o zbliżonej nazwie do nazwy firmy, a następnie założyć konto e-mail z nazwiskiem prezesa, które odnajdzie bez problemu na stronie www przedsiębiorstwa.

Jednym z podstawowych szkoleń dla pracowników powinno być przekazanie wiedzy z zakresu phishingu, spamu i BEC. Wystarczy poświęcić nieco czasu, aby personel nauczył się rozszyfrowywać tego rodzaju oszustwa i ostrzegać dział IT, jeśli dana wiadomość wydaje się podejrzana (np. inna nazwa domeny). Dodatkowo można przeprowadzać szkolenia sprawdzające wiedzę i przygotować kilka e-maili phishingowych do pracowników – osoby, które klikną dane łącze, będą musiały przejść dodatkowe szkolenia.

Ataki z zakresu phishingu i tzw. socjotechniki (social engineering) często się zdarzają w firmach, ponieważ są skuteczne. Nieświadomi pracownicy klikają łącza oszustów, a nawet odpisują na spreparowane przez nich wiadomości, wysyłając poufne dane służbowe. Wszystkie osoby zatrudnione w firmie powinny wiedzieć, jak obchodzić się z danymi, znać najlepsze praktyki związane z użytkowaniem poczty elektronicznej, a także opanować techniki stosowane przez cyberprzestępców, aby umieć je w porę rozpoznać. Pracownicy, którzy nie rozumieją, jak działają przestępcy w internecie, mogą narazić organizację na ogromne straty, mimo że nie mają złych intencji. Co ważne, szkolenia dla personelu powinny dotyczyć nie tylko osób, które kontaktują się z klientami czy dystrybutorami. Warto przeprowadzić je dla wszystkich – w ten sposób rzeczywiście ograniczymy ryzyko, że nasza firma padnie ofiarą ataku.

Trzy zasady skutecznego zapobiegania

Niektóre błędy, które mogą kosztować firmę utratę cennych danych, są popełniane sporadycznie, podczas gdy inne – przykładowo stosowanie łatwych do złamania haseł – zdarzają się aż za często. Warto wprowadzić w życie trzy zasady, które zagwarantują holistyczne podejście do cyberbezpieczeństwa. Pozwoli to w znacznym stopniu zredukować liczbę błędów popełnianych przez personel.

1. Polityka bezpieczeństwa.

Zasady dotyczące bezpieczeństwa i najlepszych praktyk powinny być sformalizowane w formie pisemnej polityki, dostępnej dla całego personelu. Taka polityka musi zawierać jasno opisane zasady regulujące postępowanie z dostępem do danych, tworzeniem haseł, wykorzystywanym oprogramowaniem itd. Każdy pracownik powinien ją znać i stosować się do zawartych w niej zasad.

2. Edukowanie personelu.

Wysoki poziom wiedzy sprawi, że pracownicy nie popełnią wielu błędów i pomyłek, którym w przeciwnym razie nie udałoby się zapobiec. Warto przekazywać na bieżąco informacje pracownikom, powiadamiając o konkretnych zagrożeniach i ryzykach, które występują w danej branży. Dzięki temu wszyscy zatrudnieni będą wykazywać się większą ostrożnością w codziennej pracy.

3. Ograniczone uprawnienia.

Jeśli chodzi o dostęp do danych i uprawnienia, każdy z pracowników powinien korzystać tylko z tego, co jest mu niezbędne do pracy. Oznacza to, że pozostałe dane i pliki, do których dana osoba nie potrzebuje dostępu, powinny być zablokowane. Dzięki temu personel będzie miał tylko niezbędny poziom uprawnień, co dodatkowo zwiększa szanse na to, że nie dojdzie do omyłkowego błędu (np. usunięcia niewłaściwych dokumentów) czy wycieku danych.

Niezbędne procedury

Osoby, które na co dzień pracują z dużą ilością danych, mogą doprowadzić do ich wycieku nawet przez drobne zaniedbanie, np. błędnie wpisując nazwisko odbiorcy e-maila. Mogą też omyłkowo usunąć ważne pliki czy dokumenty – wystarczy, że zechcą zwolnić miejsce na dysku i skasują pliki, których nie powinny kasować. To dlatego firmy często tworzą wewnętrzne procedury operacyjne związane z bezpieczeństwem. W takich procedurach należy zawrzeć wszystkie najważniejsze informacje: od listy stron www, których nie należy odwiedzać, przez nazwy rozszerzeń plików, jakie można pobierać i zapisywać na dysku służbowego komputera czy w pamięci smartfona, po informacje związane z sieciami Wi-Fi, z którymi można się łączyć (jakie wymagania muszą spełniać). Po ustanowieniu i spisaniu takiej procedury warto ją nie tylko udostępnić personelowi, ale też cyklicznie przypominać i przeprowadzać testy sprawdzające wiedzę.

Równie dużo uwagi należy poświęcić aplikacjom, z których korzystają pracownicy, zwłaszcza jeśli w firmie akceptujemy politykę BYOD. Ważne, aby nie pozwalać na instalowanie na służbowych urządzeniach programów, które same w sobie nie są szkodliwe. Mogą jednak zawierać luki, które cyberprzestępca będzie w stanie wykorzystać jako bramę wejściową do systemu operacyjnego i następnie zainfekować sprzęt złośliwym kodem. Przykładowo pracownicy nie powinni używać przestarzałych programów, nawet jeśli tłumaczą, że robią to, ponieważ opanowali ich obsługę i nie mają czasu na naukę związaną z użytkowaniem innej aplikacji. Zdecydowanie warto wybierać też takie oprogramowanie, które jest często aktualizowane i dalej rozwijane. Na przykład stary pakiet graficzny Adobe Creative Suite CS4 możemy wymienić na najnowszy Cloud CC, który otrzymuje częste aktualizacje. Lista dopuszczalnych i niedopuszczalnych programów powinna znajdować się w procedurach i być aktualizowana przez specjalistów z działu IT i bezpieczeństwa.

Dodatkowo można rozważyć blokadę związaną z kopiowaniem i przenoszeniem plików z nośników zewnętrznych, takich jak dyski twarde czy pendrive'y USB. Ustawienia tego typu oferują nawet systemy operacyjne, więc nie trzeba kupować specjalistycznego oprogramowania, aby wprowadzić wspomniane ograniczenia.

Oprogramowanie może pomóc

Ze względu na to, że obecnie wielu pracowników korzysta na co dzień ze smartfonów, warto rozważyć wdrożenie w firmie systemu Mobile Device Management (MDM), który pozwala na zarządzanie mobilnymi urządzeniami i wprowadzanie odpowiednich polityk bezpieczeństwa. Rozwiązania MDM pozwalają np. na zdalną blokadę urządzenia lub wykasowanie wszystkich zapisanych na nim danych, jeśli zostanie skradzione lub zgubione. Jeśli jednak nie mamy wystarczających zasobów lub potrzeb, aby zdecydować się na MDM, należy upewnić się, że personel stosuje konkretne zabezpieczenia. Co to takiego?

Do absolutnego minimum zaliczyć należy używanie haseł dostępu lub poleganie na zabezpieczeniu biometrycznym (zwykle czytnik linii papilarnych). Dostęp do danego urządzenia zawsze powinien być zabezpieczony hasłem, a firmy, którym zależy na bezpieczeństwie, powinny wymagać tego nawet od najbardziej upartych pracowników. Dobrą praktyką jest również poinformowanie wszystkich osób w firmie o ograniczeniach sprzętowych poszczególnych urządzeń, np. udzielając informacji o tym, czy dany telefon jest odporny na kurz i zalania, albo w jakich temperaturach (maksymalne i minimalne) może pracować poprawnie.

Kolejna dobra praktyka: wymuszanie aktualizacji. Jeśli nie stosujemy systemu MDM, powinniśmy poinformować wszystkich pracowników, że mają instalować aktualizacje do aplikacji i programów, nawet jeśli pobranie ich zajmuje kilkanaście minut. Niektórzy ignorują te ostrzeżenia, ponieważ nie chcą tracić czasu, niemniej takim osobom należy przypominać, że aktualizacje często zawierają poprawki zabezpieczające i przez to należy je instalować jak najszybciej. Przedsiębiorstwa, którym zależy na dobrej ochronie danych, powinny zwracać uwagę, aby pracownicy przedkładali bezpieczeństwo nad wygodę.

I na koniec, jeżeli dopuszczamy możliwość pracy zdalnej, a jednocześnie wiemy, że pracownicy będą łączyć się z internetem, warto korzystać z sieci VPN. Dzięki temu personel będzie mógł wykonywać swoje zadania z domu lub hotelu, a firma zyska pewność, że wszyscy korzystają z bezpiecznego, szyfrowanego połączenia. Kiedy zaś pracownicy nie mogą z jakiegoś powodu połączyć się z VPN-em, nie powinni polegać na nieznanych sieciach Wi-Fi i zamiast tego łączyć się z internetem za pośrednictwem komórkowej transmisji danych (3G/4G LTE).

Jak przeprowadzać testy wśród pracowników

RAMKA:

Wombat Security Technologies, firma specjalizująca się w bezpieczeństwie, sugeruje, aby przedsiębiorstwa aktywnie zachęcały pracowników do zgłaszania problemów swoim działom IT. Jakie zachowania warto wdrożyć?

• Brak obaw: jeśli pracownik kliknie zainfekowane łącze, powinien zgłosić to informatykom. Firma natomiast nie powinna karać za to pracownika, ponieważ w takim wypadku inne osoby, które w przyszłości padną ofiarą cyberataku, nie będą chciały się do tego przyznać. „Nie należy budować atmosfery wzajemnego obwiniania się. Pracownicy powinni wiedzieć, że mogą bez obaw zgłaszać działowi IT wszelkie błędy, w tym własne” – przekonuje Michael Kaiser, dyrektor wykonawczy z Wombat Security Technologies.

• Wystarczy małe podejrzenie: pracownik nie musi mieć 100-proc. pewności, że jego komputer czy telefon został zainfekowany. Czasami wystarczy, że ma ku temu podejrzenia –wtedy też powinien zgłosić dany przypadek działowi IT, nawet jeśli później okaże się, że informatycy poświęcili czas na rozwiązanie problemu, którego nie było.

Powyższe zalecenia sprawią, że personel będzie bez oporów zgłaszać działowi IT obawy związane z naruszaniem bezpieczeństwa.

Aby dodatkowo pogłębiać wiedzę pracowników z zakresu bezpieczeństwa, warto przeprowadzać kwartalne testy wiedzy (quizy), jak również emulować ataki phishingowe i inne socjotechniki, by wszyscy wiedzieli, jak je rozpoznawać. Należy przy tym okazać cierpliwość. Wombat Security Technologies przekonuje, że nauka nowych nawyków związanych z bezpieczeństwem zajmuje przeciętnemu pracownikowi 90 dni.