Samo oprogramowanie nie wystarczy, aby zapewnić ochronę przed cyberatakami. Niezbędne jest przeszkolenie personelu, aby każdy pracownik wiedział, jak korzystać z poszczególnych urządzeń i aplikacji. W raporcie „Szacowanie strat netto – globalny koszt cyberprzestępczości” specjalizująca się w bezpieczeństwie firma McAfee informuje, że cyberprzestępczość rocznie kosztuje przedsiębiorstwa na świecie ok. 400 mld USD. Autorzy raportu podkreślają, że cyberprzestępczość ma poważne konsekwencje dla innowacyjności, wzrostu gospodarczego, konkurencyjności i handlu. W krajach rozwiniętych cyberprzestępczość ma też negatywny wpływ na zatrudnianie – wiele firm ze względu na problemy z bezpieczeństwem nie stać na powiększanie kadry i dalszy rozwój albo musi delegować pracowników do zadań związanych z ochroną danych, zamiast pozwalać im na realizowanie kolejnych zleceń dla klientów.

Według badania wydanego przez firmę Wombat Security Technologies w 2015 r., pracownicy w firmach są „prawdopodobnie największym zagrożeniem dla bezpieczeństwa”, a zainwestowanie w szkolenia z bezpieczeństwa redukuje ryzyko ataków od 45 do 70%. O tym, dlaczego warto przeznaczyć więcej czasu i środków na szkolenia z zakresu bezpieczeństwa, przekonują ponadto wyniki kolejnego badania – opracowanego przez organizację Ponemon Institute raportu „Cost of Data Breach Study”. Okazuje się, że jeśli chodzi o wyciek i kradzież danych, w 49% za ataki odpowiada złośliwe oprogramowanie, z czego w przypadku 19% wycieków powodem jest niedopatrzenie ze strony człowieka. Co więcej, średnia wycena skradzionego rekordu to 217 USD (ok. 882 zł), a w typowych atakach cyberprzestępcy pozyskują od 5655 do 96 550 rekordów z baz danych. Straty dla firm mogą być więc pokaźne.

Zobacz również:

• FBI ostrzega - masowy atak phishingowy w USA
• Chrome lepiej zadba o prywatność użytkowników. Czy na pewno?

Firma Ipswitch, również zajmująca się bezpieczeństwem i badaniami, donosi, że aż 84% pracowników na świecie wykorzystuje prywatne e-maile do wysyłania i odbierania poufnych plików służbowych, a ponad 50% personelu naraża firmy na ataki poprzez wgrywanie plików i dokumentów i dzielenie się nimi za pośrednictwem usług w chmurze, takich jak: Dropbox, YouSendIt czy WeTransfer (oczywiście, mowa o kontach bezpłatnych, do użytku prywatnego). Pracownicy nie narażają firm na ataki celowo – wynika to z braku świadomości, co koreluje z brakiem szkoleń i niewiedzą, co złego może się stać, jeśli korzystamy z prywatnych kont online do celów służbowych.

Trening z phishingu i spamu

W biznesie zdarza się wiele ataków typu BEC (Business Email Compromise). Polegają one na tym, że cyberprzestępca wysyła wiadomość do jednego z pracowników firmy, prosząc o dostęp do bazy danych czy konkretne dane w formie arkusza kalkulacyjnego. Popularną „zagrywką” jest pilna prośba od prezesa firmy skierowana do jednego z pracowników działu HR. Menedżer ds. HR przesyła wówczas dane pracowników, nie wiedząc, że otrzymał spreparowaną wiadomość i że ktoś podszywa się pod prezesa. Cyberprzestępca, aby przeprowadzić taki zabieg, musi tylko stworzyć konto e-mail na domenie o zbliżonej nazwie do nazwy firmy, a następnie założyć konto e-mail z nazwiskiem prezesa, które odnajdzie bez problemu na stronie www przedsiębiorstwa.

Jednym z podstawowych szkoleń dla pracowników powinno być przekazanie wiedzy z zakresu phishingu, spamu i BEC. Wystarczy poświęcić nieco czasu, aby personel nauczył się rozszyfrowywać tego rodzaju oszustwa i ostrzegać dział IT, jeśli dana wiadomość wydaje się podejrzana (np. inna nazwa domeny). Dodatkowo można przeprowadzać szkolenia sprawdzające wiedzę i przygotować kilka e-maili phishingowych do pracowników – osoby, które klikną dane łącze, będą musiały przejść dodatkowe szkolenia.

Ataki z zakresu phishingu i tzw. socjotechniki (social engineering) często się zdarzają w firmach, ponieważ są skuteczne. Nieświadomi pracownicy klikają łącza oszustów, a nawet odpisują na spreparowane przez nich wiadomości, wysyłając poufne dane służbowe. Wszystkie osoby zatrudnione w firmie powinny wiedzieć, jak obchodzić się z danymi, znać najlepsze praktyki związane z użytkowaniem poczty elektronicznej, a także opanować techniki stosowane przez cyberprzestępców, aby umieć je w porę rozpoznać. Pracownicy, którzy nie rozumieją, jak działają przestępcy w internecie, mogą narazić organizację na ogromne straty, mimo że nie mają złych intencji. Co ważne, szkolenia dla personelu powinny dotyczyć nie tylko osób, które kontaktują się z klientami czy dystrybutorami. Warto przeprowadzić je dla wszystkich – w ten sposób rzeczywiście ograniczymy ryzyko, że nasza firma padnie ofiarą ataku.

Niezbędne procedury

Osoby, które na co dzień pracują z dużą ilością danych, mogą doprowadzić do ich wycieku nawet przez drobne zaniedbanie, np. błędnie wpisując nazwisko odbiorcy e-maila. Mogą też omyłkowo usunąć ważne pliki czy dokumenty – wystarczy, że zechcą zwolnić miejsce na dysku i skasują pliki, których nie powinny kasować. To dlatego firmy często tworzą wewnętrzne procedury operacyjne związane z bezpieczeństwem. W takich procedurach należy zawrzeć wszystkie najważniejsze informacje: od listy stron www, których nie należy odwiedzać, przez nazwy rozszerzeń plików, jakie można pobierać i zapisywać na dysku służbowego komputera czy w pamięci smartfona, po informacje związane z sieciami Wi-Fi, z którymi można się łączyć (jakie wymagania muszą spełniać). Po ustanowieniu i spisaniu takiej procedury warto ją nie tylko udostępnić personelowi, ale też cyklicznie przypominać i przeprowadzać testy sprawdzające wiedzę.

Równie dużo uwagi należy poświęcić aplikacjom, z których korzystają pracownicy, zwłaszcza jeśli w firmie akceptujemy politykę BYOD. Ważne, aby nie pozwalać na instalowanie na służbowych urządzeniach programów, które same w sobie nie są szkodliwe. Mogą jednak zawierać luki, które cyberprzestępca będzie w stanie wykorzystać jako bramę wejściową do systemu operacyjnego i następnie zainfekować sprzęt złośliwym kodem. Przykładowo pracownicy nie powinni używać przestarzałych programów, nawet jeśli tłumaczą, że robią to, ponieważ opanowali ich obsługę i nie mają czasu na naukę związaną z użytkowaniem innej aplikacji. Zdecydowanie warto wybierać też takie oprogramowanie, które jest często aktualizowane i dalej rozwijane. Na przykład stary pakiet graficzny Adobe Creative Suite CS4 możemy wymienić na najnowszy Cloud CC, który otrzymuje częste aktualizacje. Lista dopuszczalnych i niedopuszczalnych programów powinna znajdować się w procedurach i być aktualizowana przez specjalistów z działu IT i bezpieczeństwa.

Dodatkowo można rozważyć blokadę związaną z kopiowaniem i przenoszeniem plików z nośników zewnętrznych, takich jak dyski twarde czy pendrive'y USB. Ustawienia tego typu oferują nawet systemy operacyjne, więc nie trzeba kupować specjalistycznego oprogramowania, aby wprowadzić wspomniane ograniczenia.

Oprogramowanie może pomóc

Ze względu na to, że obecnie wielu pracowników korzysta na co dzień ze smartfonów, warto rozważyć wdrożenie w firmie systemu Mobile Device Management (MDM), który pozwala na zarządzanie mobilnymi urządzeniami i wprowadzanie odpowiednich polityk bezpieczeństwa. Rozwiązania MDM pozwalają np. na zdalną blokadę urządzenia lub wykasowanie wszystkich zapisanych na nim danych, jeśli zostanie skradzione lub zgubione. Jeśli jednak nie mamy wystarczających zasobów lub potrzeb, aby zdecydować się na MDM, należy upewnić się, że personel stosuje konkretne zabezpieczenia. Co to takiego?

Do absolutnego minimum zaliczyć należy używanie haseł dostępu lub poleganie na zabezpieczeniu biometrycznym (zwykle czytnik linii papilarnych). Dostęp do danego urządzenia zawsze powinien być zabezpieczony hasłem, a firmy, którym zależy na bezpieczeństwie, powinny wymagać tego nawet od najbardziej upartych pracowników. Dobrą praktyką jest również poinformowanie wszystkich osób w firmie o ograniczeniach sprzętowych poszczególnych urządzeń, np. udzielając informacji o tym, czy dany telefon jest odporny na kurz i zalania, albo w jakich temperaturach (maksymalne i minimalne) może pracować poprawnie.

Kolejna dobra praktyka: wymuszanie aktualizacji. Jeśli nie stosujemy systemu MDM, powinniśmy poinformować wszystkich pracowników, że mają instalować aktualizacje do aplikacji i programów, nawet jeśli pobranie ich zajmuje kilkanaście minut. Niektórzy ignorują te ostrzeżenia, ponieważ nie chcą tracić czasu, niemniej takim osobom należy przypominać, że aktualizacje często zawierają poprawki zabezpieczające i przez to należy je instalować jak najszybciej. Przedsiębiorstwa, którym zależy na dobrej ochronie danych, powinny zwracać uwagę, aby pracownicy przedkładali bezpieczeństwo nad wygodę.

I na koniec, jeżeli dopuszczamy możliwość pracy zdalnej, a jednocześnie wiemy, że pracownicy będą łączyć się z internetem, warto korzystać z sieci VPN. Dzięki temu personel będzie mógł wykonywać swoje zadania z domu lub hotelu, a firma zyska pewność, że wszyscy korzystają z bezpiecznego, szyfrowanego połączenia. Kiedy zaś pracownicy nie mogą z jakiegoś powodu połączyć się z VPN-em, nie powinni polegać na nieznanych sieciach Wi-Fi i zamiast tego łączyć się z internetem za pośrednictwem komórkowej transmisji danych (3G/4G LTE).