Üks ettevõtete peamisi murekohti on olnud kaitse digitaalsete ohtude eest. Ja isegi kui sissetungide ja andmevarguste vältimiseks võetakse kasutusele rida meetmeid, rakendusi ja uuenduslikke lahendusi, sõltub probleem lisaks täiustatud tehnoloogiatele ka inimeste käitumisest. Seda väidab dataRaini küberturvalisuse ekspert Leonardo Baiardi, kes juhib tähelepanu sellele, et 74% küberrünnakutest on põhjustatud inimfaktorist. Juht rõhutab, kui oluline on tõhusa turvastrateegia jaoks töötajate piisav koolitus.
Baiardi peab inimest ettevõtte keskkonnas küberriskidega tegelemisel kõige nõrgemaks lüliks. „Kõik ettevõttes peavad mõistma, et nad vastutavad andmete turvalisuse eest ning see saavutatakse ainult koolituse, vastutuse ja osakondadevahelise suhtluse kaudu. Kõik peavad olema teadlikud riskidest, millega nad kokku puutuvad.“
Eksperdi arvamus täiendab Proofpointi 2023. aasta inimfaktorite aruandes leiduvat, mis rõhutab inimfaktorite olulist rolli turvanõrkuste tekkimisel. Uuring näitab mobiilseadmete kaudu toimuvate sotsiaalse manipuleerimise rünnakute mahu kaheteistkümnekordset suurenemist – seda tüüpi rünnak, mis algab pealtnäha kahjutute sõnumitega ja loob suhteid. Baiardi sõnul toimub see seetõttu, et inimkäitumist saab manipuleerida. „Nagu legendaarne häkker Kevin Mitnick ütles, on inimmeel kõige lihtsam häkkida. Lõppude lõpuks on inimestel emotsionaalne kiht, mis on väga vastuvõtlik välistele mõjudele, mis võib viia rutakatele tegudele, näiteks pahatahtlikele linkidele klõpsamisele või tundliku teabe jagamisele,“ ütleb ta.
Aruandes kõige sagedamini kajastatud ohtude hulgas on ka andmepüügikomplektid, mis on loodud mitmefaktorilise autentimise (MFA) möödahiilimiseks, ja pilvepõhised rünnakud, mille sihtmärgiks on iga kuu ligikaudu 94% kasutajatest.
Kõige levinumad vead
Kõige levinumate vigade hulgas, mis viivad turvaintsidentideni, loetleb Baiardi: meilide autentsuse kontrollimata jätmise; arvutite lukustamata jätmise; avalike WiFi-võrkude kasutamise ettevõtte teabele juurdepääsuks; ja tarkvarauuenduste edasilükkamise.
„Sellised käitumised võivad avada uksi sissetungidele ja andmete ohtu sattumisele,“ selgitab ta. Pettuste ohvriks langemise vältimiseks soovitab ekspert vältida kahtlaste linkide klõpsamist. Seetõttu soovitab ta kontrollida saatjat, e-posti domeeni ja kirja kiireloomulisust. „Kui kahtlused jäävad püsima, on nipp jätta hiirekursor lingi kohale klõpsamata, mis võimaldab teil näha kogu URL-i. Kui see tundub kahtlane, on see tõenäoliselt pahatahtlik,“ soovitab ta.
Andmepüük
Andmepüük on üks suurimaid küberohte, mis kasutab rünnakuvektorina ettevõtte e-posti. Selle eest kaitsmiseks soovitab Baiardi mitmekihilist lähenemisviisi: töötajate teadlikkust ja koolitust lisaks tugevatele tehnilistele meetmetele.
Tarkvara ja operatsioonisüsteemide ajakohasena hoidmine on haavatavuste vähendamiseks ülioluline. „Uued haavatavused tekivad iga päev. Lihtsaim viis riskide vähendamiseks on süsteemide ajakohasena hoidmine. Missioonikriitilistes keskkondades, kus pidevad värskendused pole võimalikud, on vaja tugevamat strateegiat.“
Ta toob reaalse näite sellest, kuidas tõhus koolitus aitab rünnakuid ennetada. „Pärast andmepüügisimulatsioonide ja -koolituse rakendamist täheldasime töötajate andmepüügikatsete aruannete märkimisväärset suurenemist, mis näitab ohtude ees teravamat kriitilist meelt.“
Koolituse efektiivsuse mõõtmiseks soovitab Baiardi määratleda selge ulatuse ja läbi viia perioodilisi simulatsioone eelnevalt määratletud mõõdikutega. „On vaja mõõta töötajate reageeringu kvantiteeti ja kvaliteeti potentsiaalsetele ohtudele.“
Juht tsiteerib küberturvalisuse koolitusfirma Knowbe4 aruannet, mis näitab, et Brasiilia jäi maha sellistest riikidest nagu Colombia, Tšiili, Ecuador ja Peruu. 2024. aasta uuring toob esile probleemi, kus töötajad mõistavad küberturvalisuse olulisust, kuid ei mõista tegelikult, kuidas ohud toimivad ja toimivad. Seetõttu rõhutab see organisatsioonikultuuri olulisust turvaliste tavade edendamisel: „Ilma hästi rakendatud küberturvalisuse kultuuriprogrammita on võimatu mõõta ettevõtte küpsuse taset selles aspektis.“
Spetsialist vastutab ka dataRaini küberturvalisuse pakkumiste juhtimise eest, mis pakuvad tugevaid ja kiiresti rakendatavaid lahendusi, nagu e-posti turvalisus, vastavus- ja haavatavushinnangud, lõpp-punktide turvalisus ja pilvehaldus. „Küberturvalisus on pidev väljakutse ning inimesed on teabe kaitsmise ja süsteemide terviklikkuse tagamisel üliolulised. Koolitusse ja teadlikkusse investeerimine on investeerimine kogu organisatsiooni turvalisusse. Ja kõigi meie teenustega kaasneb teadmiste edasiandmine, mis võimaldab meil suurendada kliendi teadlikkust ohtudest,“ võtab ta kokku.
