Dzisiaj jest: 23.11.2024, imieniny: Adeli, Felicyty, Klemensa

W walce z cyberzagrożenami najważniejsi są ludzie

Dodano: 29.09.2022 Czytane: 18

Na pewno słyszeliście, że system jest tak odporny, jak jego najsłabsze ogniwo. O tym i o konsekwencjach przełamania dla całego systemu pisaliśmy już wcześniej. Doświadczenie pokazuje, że większość cyberataków polega na sprytnych działaniach hakerów mających na celu skłonić użytkownika do określonego działania (socjo-technika), a nie atakach rodem z filmu sensacyjnego, w którym haker siedzi daleko i na żywo obchodzi zabezpieczenia systemu. Dlaczego? £atwiej poprosić kogoś by wpisał hasło niż je zgadnąć. Dlatego hakerzy najczęściej łamią ludzi, a nie technologiczne zabezpieczenia.

Jak można sprawdzić stopień odporności naszej organizacji na atak? Najlepiej poprosić specjalistów o przeprowadzenie symulowanego ataku. Koszty pozorowanego ataku są niższe niż realnego. A ryzyko „wycieku" zerowe, bo nawet kiedy atakującym uda dostać do wewnątrz organizacji to bez przykrych konsekwencji.

Czy brak świadomości zagrożeń to problem?

Tak, to olbrzymi problem. Pewna korporacja poprosiła nas o przygotowanie szkolenia z socjotechniki. Ich spółka matka przeprowadziła taki niespodziewany zamówiony atak. Okazało się, że stopień klikalności zbliżał się do 90 proc. 9 na 10 pracowników dało się nabrać! W naszej ocenie taki wynik wskazuje na brak świadomości lub wiedzy ludzi.

Jednocześnie doświadczenie pokazuje, że regularnie szkoleni i świadomi pracownicy z najsłabszego ogniwa systemu cyberbezpieczeństwa mogą się przeobrazić w sprzymierzeńca organizacji w jej rozwoju. Warunkiem jest jednak regularne szkolenie pracowników. Patrząc z perspektywy bezpieczeństwa i compliance to wdrożenie tych procedur powinno być zaplanowanym procesem biznesowym.

Efekt jednorazowego szkolenia daje mierne rezultaty. Potrzebne jest utrwalanie i stała aktualizacja wiedzy. Szkolenie powinno być dostosowane do pracowników i przedmiotu działalności organizacji, okraszone dużą liczbą życiowych przykładów. Szkolenie powinno uświadamiać, nie tylko czego nie można robić lub co należy robić w danej sytuacji, ale przede wszystkim dlaczego.

Wszyscy muszą zrozumieć, że pewne ich zachowania mogą zagrażać nie tylko ich pracodawcy czy klientom, ale też im samym, ich bliskim, a także kolegom z pracy. Dobry atak może zniszczyć firmę, a wtedy wszyscy będą zmuszeni szukać nowej pracy. Szkolenia powinno też obejmować ćwiczenia praktyczne.

Ludzie mają pewną charakterystyczną cechę. To, co usłyszą, szybko zapomną. Jeżeli to zapiszą, pamiętają chwilę dłużej. Jednak jeżeli coś zrobią sami, to się nauczą i zapamiętają na zawsze.

Szkolenia

Dlatego najpierw należy przeszkolić ludzi z zagrożeń i prawidłowych zachowań w takich przypadkach:

  • nie otwierać plików i nie klikać linków otrzymanych e-mailem lub smsem z nieznanego adresu,
  • nie włączać makr w programach Word lub Excel w nieznanych plikach, szczególnie tych nam przesłanych,
  • nie wpisywać haseł do zip z nieznanego źródła,
  • nie instalować aplikacji bez konsultacji z IT,
  • pobierać aplikacje i programy wyłącznie z legalnego źródła i je aktualizować,
  • zawsze korzystać z różnych i skomplikowanych haseł,
  • nie podawać swojego hasła ani zapisywać go i zostawiać w łatwo dostępnym miejscu, nawet twojemu IT (oni powinni wiedzieć jak sobie poradzić),
  • nie wpinać do komputera pendrive’a lub urządzenia USB (nieważne czy znalezione, czy otrzymane jako prezent w materiałach konferencyjnych),
  • sprawdzać poprawność wpisanego adresu www, kłódka nie daje gwarancji bezpieczeństwa lub poprawności strony,
  • nie wyłączać antywirusa i firewall'a,
  • nie łączyć się z nieznaną siecią wi-fi.

Oczywiście powyższy zestaw nie wyczerpuje tematu i każdy ekspert od cyberbezpieczeństwa coś by do niego dodał lub zmienił któryś punkt. W naszej ocenie jednak powyższy zestaw stanowi dobry przykład podstawowych zasad cyberbezpieczeństwa. Powinien jednak być dostosowany do danej organizacji i stale aktualizowany.

Na koniec zwrócicie Państwo uwagę, że cyberbezpieczeństwo to nie jest segregator z procedurami, kartka wisząca na ścianie ani najnowsza serwerownia i nowoczesne oprogramowanie. Cyberbezpieczeństwo to zmiana kultury organizacyjnej waszego przedsiębiorstwa. Jeżeli będziecie lekceważyć cyberzagrożenia, to wasi pracownicy będą robić to samo.

W takiej sytuacji pytanie nie brzmi „czy” tylko „kiedy” staniecie się ofiarą i ile was będzie to kosztować. Z drugiej strony, jeżeli będziecie dbali o cyberbezpieczeństwo, w tym regularnie szkolili pracowników, to w efekcie organizacja stanie się mocniejsza.
Jeśli masz pytania, zapraszamy do kontaktu.

r. pr. Mikołaj Otmianowski – Wiceprezes Zarządu DAPR sp. z o.o.
r. pr. Paweł Bronisław Ludwiczak – Kancelaria Radcy Prawnego Paweł Ludwiczak

Polecane
Zapisz się do newslettera:
Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingu usług i produktów partnerów właściciela serwisów.

Ta strona używa plików cookies. Korzystając z tej strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Jeżeli nie wyrażasz zgody - zmień ustawienia swojej przeglądarki. Dowiedz się więcej z naszej polityki prywatności.

Zamknij