Jedna od glavnih briga tvrtki bila je zaštita od digitalnih prijetnji. Čak i uz usvajanje niza mjera, aplikacija i inovativnih rješenja za sprječavanje upada i krađe podataka, problem ne ovisi samo o naprednim tehnologijama već i o ljudskom ponašanju. To je prema stručnjaku za kibernetičku sigurnost Leonardu Baiardiju iz tvrtke dataRain, koji ističe da je 74% kibernetičkih napada uzrokovano ljudskim faktorom. Direktor naglašava kako odgovarajuća obuka zaposlenika može biti ključna za učinkovitu sigurnosnu strategiju.
Baiardi smatra da je ljudsko biće najslabija karika u suočavanju s kibernetičkim rizicima u korporativnom okruženju. „Svatko u tvrtki mora shvatiti da je odgovoran za sigurnost podataka, a to se postiže samo kroz obuku, odgovornost i komunikaciju između odjela. Svi moraju biti svjesni rizika kojima su izloženi.“
Mišljenje stručnjaka nadopunjuje ono što je pronađeno u Izvješću o ljudskim faktorima Proofpointa iz 2023., koje ističe značajnu ulogu ljudskih faktora u sigurnosnim ranjivostima. Studija otkriva dvanaest puta veći broj napada društvenim inženjeringom putem mobilnih uređaja, vrste napada koji započinje naizgled bezopasnim porukama, generirajući odnose. To se događa, prema Baiardiju, jer se ljudskim ponašanjem može manipulirati. „Kao što je rekao legendarni haker Kevin Mitnick, ljudski um je najlakša imovina za hakiranje. Uostalom, ljudska bića posjeduju emocionalni sloj vrlo osjetljiv na vanjske utjecaje, što može dovesti do nepromišljenih postupaka poput klikanja na zlonamjerne poveznice ili dijeljenja osjetljivih informacija“, kaže.
Među najčešće zabilježenim prijetnjama u izvješću također su phishing kompleti osmišljeni za zaobilaženje višefaktorske autentifikacije (MFA) i napadi u oblaku, u kojima je svaki mjesec meta otprilike 94% korisnika.
Najčešće pogreške
Među najčešćim pogreškama koje dovode do sigurnosnih propusta, Baiardi navodi: neprovjeravanje autentičnosti e-pošte; ostavljanje računala otključanim; korištenje javnih Wi-Fi mreža za pristup korporativnim informacijama; i odgađanje ažuriranja softvera.
„Ovakva ponašanja mogu otvoriti vrata za upade i kompromitiranje podataka“, objašnjava. Kako biste izbjegli nasjedanje na prijevare, stručnjak preporučuje izbjegavanje klikanja na sumnjive poveznice. Stoga predlaže provjeru pošiljatelja, domene e-pošte i hitnosti poruke. „Ako i dalje postoje sumnje, savjet je da ostavite pokazivač miša iznad poveznice bez klika, što će vam omogućiti da vidite cijeli URL. Ako izgleda sumnjivo, vjerojatno je zlonamjeran“, savjetuje.
Krađa identiteta
Phishing je jedna od najvećih kibernetičkih prijetnji, koja koristi korporativnu e-poštu kao vektor napada. Za zaštitu od njega, Baiardi predlaže višeslojni pristup: podizanje svijesti i obuku zaposlenika, uz robusne tehničke mjere.
Ažuriranje softvera i operativnih sustava ključno je za smanjenje ranjivosti. „Nove ranjivosti pojavljuju se svakodnevno. Najjednostavniji način za smanjenje rizika je ažuriranje sustava. U kritičnim okruženjima, gdje stalna ažuriranja nisu moguća, potrebna je robusnija strategija.“
On pruža primjer iz stvarnog svijeta kako učinkovita obuka pomaže u sprječavanju napada. „Nakon implementacije simulacija phishinga i obuke, primijetili smo značajan porast prijava pokušaja phishinga od strane zaposlenika, što pokazuje profinjeniji kritički osjećaj u suočavanju s prijetnjama.“
Za mjerenje učinkovitosti obuke, Baiardi predlaže definiranje jasnog opsega i provođenje periodičnih simulacija s unaprijed definiranim metrikama. "Potrebno je mjeriti količinu i kvalitetu odgovora zaposlenika na potencijalne prijetnje."
Izvršni direktor citira izvješće tvrtke za edukaciju o kibernetičkoj sigurnosti Knowbe4, koje pokazuje da Brazil zaostaje za zemljama poput Kolumbije, Čilea, Ekvadora i Perua. Istraživanje iz 2024. ističe problem zaposlenika koji razumiju važnost kibernetičke sigurnosti, ali ne i kako prijetnje djeluju i funkcioniraju. Stoga naglašava važnost organizacijske kulture u promicanju sigurnih praksi: „Bez dobro implementiranog programa kulture kibernetičke sigurnosti nemoguće je izmjeriti razinu zrelosti koju tvrtka posjeduje u ovom aspektu.“
Specijalist je također odgovoran za vođenje isporuke ponuda kibernetičke sigurnosti koje promovira dataRain, a koji pruža robusna i brza rješenja za implementaciju kao što su sigurnost e-pošte, procjene usklađenosti i ranjivosti, sigurnost krajnjih točaka i upravljanje oblakom. „Kibernetička sigurnost je stalni izazov, a ljudi su ključni za osiguravanje zaštite informacija i integriteta sustava. Ulaganje u obuku i podizanje svijesti ulaže u sigurnost cijele organizacije. A sve naše isporuke prati prijenos znanja, što nam omogućuje povećanje svijesti klijenata o prijetnjama“, zaključuje.
