Адной з галоўных праблем для кампаній была абарона ад лічбавых пагроз. І нават пры прыняцці шэрагу мер, прыкладанняў і інавацыйных рашэнняў для прадухілення ўварванняў і крадзяжу дадзеных, праблема залежыць не толькі ад перадавых тэхналогій, але і ад паводзін чалавека. Паводле слоў эксперта па кібербяспецы Леанарда Баярдзі з dataRain, які адзначае, што 74% кібератак выкліканыя чалавечым фактарам. Кіраўнік падкрэслівае, наколькі адэкватнае навучанне супрацоўнікаў можа быць неабходным для эфектыўнай стратэгіі бяспекі.
Баярдзі лічыць чалавека самым слабым звяном у барацьбе з кіберрызыкамі ў карпаратыўным асяроддзі. «Кожны супрацоўнік кампаніі павінен разумець, што ён нясе адказнасць за бяспеку дадзеных, і гэта дасягаецца толькі праз навучанне, падсправаздачнасць і камунікацыю паміж аддзеламі. Кожны павінен ведаць пра рызыкі, якім ён падвяргаецца».
Меркаванне эксперта дапаўняе высновы, выкладзеныя ў справаздачы Proofpoint аб чалавечым фактары за 2023 год, у якой падкрэсліваецца значная роля чалавечага фактару ў ўразлівасцях бяспекі. Даследаванне паказвае дванаццацікратнае павелічэнне аб'ёму атак сацыяльнай інжынерыі праз мабільныя прылады, тыпу атакі, якая пачынаецца з, здавалася б, бяскрыўдных паведамленняў, якія ствараюць адносіны. Гэта адбываецца, паводле Баярдзі, таму што паводзінамі чалавека можна маніпуляваць. «Як сказаў легендарны хакер Кевін Мітнік, чалавечы розум — гэта найпрасцейшы рэсурс для ўзлому. У рэшце рэшт, людзі валодаюць эмацыйным пластом, вельмі ўспрымальным да знешняга ўздзеяння, што можа прывесці да неабдуманых дзеянняў, такіх як націсканне на шкоднасныя спасылкі або абмен канфідэнцыйнай інфармацыяй», — кажа ён.
Сярод найбольш часта рэгіструемых пагроз у справаздачы таксама ёсць фішынгавыя камплекты, прызначаныя для абыходу шматфактарнай аўтэнтыфікацыі (MFA), і воблачныя атакі, мэтай якіх штомесяц становіцца прыблізна 94% карыстальнікаў.
Найбольш распаўсюджаныя памылкі
Сярод найбольш распаўсюджаных памылак, якія прыводзяць да парушэнняў бяспекі, Баярдзі пералічвае: неправерку сапраўднасці электроннай пошты; пакіданне кампутараў разблакаванымі; выкарыстанне публічных сетак Wi-Fi для доступу да карпаратыўнай інфармацыі; і затрымку абнаўлення праграмнага забеспячэння.
«Такія паводзіны могуць адкрыць дзверы для ўзломаў і кампраметацыі дадзеных», — тлумачыць ён. Каб пазбегнуць махлярства, эксперт рэкамендуе пазбягаць націскання на падазроныя спасылкі. Таму ён прапануе праверыць адпраўніка, дамен электроннай пошты і тэрміновасць паведамлення. «Калі сумневы ўсё яшчэ застаюцца, парада — не націскаць на спасылку, не націскаючы, каб убачыць поўны URL-адрас. Калі ён выглядае падазрона, верагодна, ён шкоднасны», — раіць ён.
Фішынг
Фішынг — адна з найбуйнейшых кіберпагроз, якая выкарыстоўвае карпаратыўную электронную пошту ў якасці вектара атакі. Для абароны ад яго Баярдзі прапануе шматслаёвы падыход: інфармаванне і навучанне супрацоўнікаў, а таксама надзейныя тэхнічныя меры.
Абнаўленне праграмнага забеспячэння і аперацыйных сістэм мае жыццёва важнае значэнне для зніжэння ўразлівасцяў. «Новыя ўразлівасці з'яўляюцца штодня. Найпрасцейшы спосаб знізіць рызыкі — гэта падтрымліваць сістэмы ў актуальным стане. У крытычна важных асяроддзях, дзе пастаянныя абнаўленні немагчымыя, патрэбна больш надзейная стратэгія».
Ён прыводзіць рэальны прыклад таго, як эфектыўнае навучанне дапамагае прадухіліць атакі. «Пасля ўкаранення фішынгавых сімуляцый і навучання мы назіралі значнае павелічэнне колькасці паведамленняў аб спробах фішынгу ад супрацоўнікаў, што прадэманстравала больш вытанчанае крытычнае пачуццё перад абліччам пагроз».
Каб вымераць эфектыўнасць навучання, Баярдзі прапануе вызначыць выразны аб'ём і праводзіць перыядычнае мадэляванне з загадзя вызначанымі паказчыкамі. «Неабходна вымераць колькасць і якасць рэакцый супрацоўнікаў на патэнцыйныя пагрозы».
Кіраўнік спасылаецца на справаздачу кампаніі Knowbe4, якая займаецца адукацыяй у галіне кібербяспекі, з якой вынікае, што Бразілія адстае ад такіх краін, як Калумбія, Чылі, Эквадор і Перу. Апытанне 2024 года падкрэслівае праблему разумення супрацоўнікамі важнасці кібербяспекі, але не поўнага разумення таго, як дзейнічаюць пагрозы. Таму ў ім падкрэсліваецца важнасць арганізацыйнай культуры ў прасоўванні бяспечных практык: «Без добра рэалізаванай праграмы культуры кібербяспекі немагчыма вымераць узровень сталасці кампаніі ў гэтым аспекце».
Спецыяліст таксама адказвае за кіраўніцтва распрацоўкай прапаноў па кібербяспецы, якія прасоўвае dataRain, якая прапануе надзейныя і хуткія ў рэалізацыі рашэнні, такія як бяспека электроннай пошты, ацэнка адпаведнасці і ўразлівасці, бяспека канчатковых кропак і кіраванне воблачнымі сховішчамі. «Кібербяспека — гэта пастаянная праблема, і людзі маюць фундаментальнае значэнне для забеспячэння абароны інфармацыі і цэласнасці сістэм. Інвестыцыі ў навучанне і павышэнне дасведчанасці — гэта інвестыцыі ў бяспеку ўсёй арганізацыі. І ўсе нашы пастаўкі суправаджаюцца перадачай ведаў, што дазваляе нам павышаць дасведчанасць кліента аб пагрозах», — падсумоўвае ён.
