Οι υπάλληλοι των επιχειρήσεων αποκρύπτουν τα περιστατικά ασφάλειας των πληροφοριακών συστημάτων σε ποσοστό 40% παγκοσμίως.
Αυτό το δεδομένο προέκυψε από τη νέα έρευνα της Kaspersky Lab και της B2B International, «Ο ανθρώπινος παράγοντας στην ασφάλεια των πληροφοριακών συστημάτων: Πως οι υπάλληλοι καθιστούν τις επιχειρήσεις πιο ευάλωτες από το εσωτερικό τους». Με το 46% των περιστατικών ασφάλειας πληροφοριακών συστημάτων να οφείλεται σε υπαλλήλους κάθε χρόνο, αυτή η ευπάθεια των επιχειρήσεων πρέπει να αντιμετωπιστεί σε όλα τα επίπεδα και όχι μόνο μέσω του τμήματος ασφάλειας πληροφοριακών συστημάτων.
Οδηγώντας τους χάκερς στην πόρτα σας
Οι μη ενημερωμένοι ή αδιάφοροι υπάλληλοι αποτελούν έναν από τους βασικούς λόγους περιστατικών ασφάλειας των πληροφοριακών συστημάτων – δεύτερος λόγος στην αντίστοιχη λίστα πίσω από τα παραδοσιακά κακόβουλα λογισμικά. Ενώ τα κακόβουλα λογισμικά εξελίσσονται συνεχώς, η θλιβερή πραγματικότητα είναι ότι ο «αειθαλής» ανθρώπινος παράγοντας μπορεί να αποτελέσει ακόμα μεγαλύτερο κίνδυνο.
Συγκεκριμένα, η απροσεξία των εργαζομένων είναι ένα από τα μεγαλύτερα πλήγματα στην εταιρική θωράκιση ενάντια στις ψηφιακές απειλές όταν πρόκειται για στοχευμένες επιθέσεις. Ενώ οι προηγμένοι χάκερς μπορούν πάντα να χρησιμοποιήσουν ειδικά σχεδιασμένα κακόβουλα προγράμματα και τεχνικές υψηλής τεχνολογίας για να σχεδιάσουν μια ληστεία, πιθανότατα θα αρχίσουν να αξιοποιούν το πιο εύκολο σημείο εισόδου – την ανθρώπινη φύση.
Σύμφωνα με την έρευνα, μία στις τρεις (28%) στοχευμένες επιθέσεις εναντίον επιχειρήσεων τον περασμένο χρόνο διέθετε στην πηγή της τεχνικές phishing/κοινωνικής μηχανικής. Για παράδειγμα, ένας απρόσεκτος λογιστής θα μπορούσε εύκολα να ανοίξει ένα κακόβουλο αρχείο που θα έμοιαζε με τιμολόγιο από έναν από τους πολυάριθμους εργολάβους μιας εταιρείας. Αυτό θα μπορούσε να θέσει εκτός λειτουργίας ολόκληρη την υποδομή του οργανισμού, καθιστώντας εν αγνοία του τον λογιστή συνεργό των επιτιθέμενων.
Οι εξελιγμένες στοχευμένες επιθέσεις δεν συμβαίνουν καθημερινά σε οργανισμούς – αλλά το συμβατικό κακόβουλο λογισμικό πλήττει τις επιχειρήσεις μαζικά. Δυστυχώς, όμως, η έρευνα επίσης δείχνει ότι όταν πρόκειται για κακόβουλο λογισμικό, οι μη ενημερωμένοι και απρόσεκτοι υπάλληλοι παίζουν επίσης σημαντικό ρόλο προκαλώντας «μολύνσεις» με κακόβουλο λογισμικό στο 53% των περιπτώσεων.
Κρυφτό: γιατί το τμήμα Ανθρώπινου Δυναμικού και τα κορυφαία στελέχη θα πρέπει να εμπλακούν
Με το προσωπικό να αποκρύπτει τα περιστατικά στα οποία έχει εμπλακεί, οι επιπτώσεις μπορεί να είναι πολύ άσχημες και αυτό αυξάνει τη γενικότερη βλάβη που μπορεί να έχει προκληθεί. Ακόμα και ένα μόνο γεγονός που δεν έχει αναφερθεί μπορεί να υποδεικνύει μια ακόμα μεγαλύτερη παραβίαση, και οι ομάδες ασφάλειας χρειάζεται να αναγνωρίσουν γρήγορα τις απειλές που έχουν απέναντι τους για να διαλέξουν τις κατάλληλες τακτικές μετριασμού.
Το προσωπικό θα προτιμούσε να θέσει σε κίνδυνο τους οργανισμούς από το να δηλώσει ένα πρόβλημα γιατί φοβάται την τιμωρία ή ντρέπεται που είναι υπεύθυνο για κάτι το οποίο πήγε λάθος. Κάποιες εταιρείες έχουν εισάγει αυστηρούς κανόνες και έχουν επιβάλει περισσότερες ευθύνες στους υπαλλήλους, αντί να τους ενθαρρύνουν να είναι απλώς σε εγρήγορση και συνεργάσιμοι. Αυτό σημαίνει πως η προστασία στον κυβερνοχώρο όχι μόνο εναπόκειται στο «βασίλειο» της τεχνολογίας, αλλά και στην κουλτούρα και εκπαίδευση του οργανισμού. Εδώ είναι που χρειάζεται να εμπλακούν το Ανθρώπινο Δυναμικό και τα ανώτατα διοικητικά στελέχη.
Ο ανθρώπινος παράγοντας: το εταιρικό κλίμα και ακόμα παραπέρα
Οι οργανισμοί σε όλο τον κόσμο έχουν ήδη συνειδητοποιήσει το πρόβλημα του προσωπικού τους που καθιστά τις επιχειρήσεις τους ευάλωτες: το 52% των ερωτηθέντων εταιρειών παραδέχεται ότι το προσωπικό είναι η μεγαλύτερη αδυναμία στην ασφάλεια του τομέα της Πληροφορικής. Η ανάγκη εφαρμογής μέτρων με επίκεντρο το προσωπικό γίνεται ολοένα και πιο εμφανής: το 35% των επιχειρήσεων προσπαθεί να βελτιώσει την ασφάλεια μέσω της παροχής κατάρτισης στο προσωπικό, καθιστώντας αυτή τη δεύτερη πιο δημοφιλή μέθοδο προστασίας του κυβερνοχώρου, ακολουθώντας στην κατάταξη την ανάπτυξη πιο εξελιγμένου λογισμικού (43%).
Ο καλύτερος τρόπος για την προστασία των οργανισμών από τις ψηφιακές απειλές που σχετίζονται με τον ανθρώπινο παράγοντα, είναι ο συνδυασμός των σωστών εργαλείων με τις σωστές πρακτικές. Αυτό θα πρέπει να περιλαμβάνει τις προσπάθειες του Ανθρώπινου Δυναμικού και των ανώτατων στελεχών να ενθαρρύνουν τους υπαλλήλους να είναι προσεκτικοί και να ζητούν βοήθεια σε περίπτωση περιστατικού. Η εκπαίδευση για την ευαισθητοποίηση του προσωπικού σε θέματα ασφάλειας, η παροχή σαφών οδηγιών αντί για πολυσέλιδα έγγραφα, η δημιουργία ισχυρών δεξιοτήτων και κινήτρων και η προώθηση του κατάλληλου εργασιακού περιβάλλοντος είναι τα πρώτα βήματα που πρέπει να ακολουθήσουν οι οργανισμοί.
Όσον αφορά στις τεχνολογίες ασφάλειας, οι περισσότερες από τις απειλές που στοχεύουν σε ανενημέρωτους ή απρόσεκτους υπαλλήλους – συμπεριλαμβανομένου του phishing – μπορούν να αντιμετωπιστούν με λύσεις ασφάλειας για τερματικά σημεία. Αυτές μπορούν να καλύψουν τις ιδιαίτερες ανάγκες μικρομεσαίων, αλλά και μεγάλων επιχειρήσεων με όρους λειτουργικότητας, προεπιλεγμένης προστασίας ή προηγμένων ρυθμίσεων ασφάλειας, ώστε να ελαχιστοποιηθούν οι κίνδυνοι.