Ein helsta áhyggjuefni fyrirtækja hefur verið vernd gegn stafrænum ógnum. Og jafnvel þótt innleiða þurfi ýmsar ráðstafanir, forrit og nýstárlegar lausnir til að koma í veg fyrir innbrot og gagnastuld, þá veltur málið ekki aðeins á háþróaðri tækni heldur einnig á mannlegri hegðun. Þetta segir Leonardo Baiardi, sérfræðingur í netöryggi hjá dataRain, sem bendir á að 74% netárása séu af völdum mannlegra þátta. Framkvæmdastjórinn bendir á hvernig fullnægjandi þjálfun starfsmanna getur verið nauðsynleg fyrir árangursríka öryggisstefnu.
Baiardi telur manneskjuna vera veikasta hlekkinn þegar kemur að netáhættu í fyrirtækjaumhverfi. „Allir í fyrirtækinu þurfa að skilja að þeir bera ábyrgð á gagnaöryggi og það næst aðeins með þjálfun, ábyrgð og samskiptum milli deilda. Allir þurfa að vera meðvitaðir um áhættuna sem þeir eru berskjaldaðir fyrir.“
Álit sérfræðingsins bætir við það sem fram kom í skýrslu Proofpoint um mannlega þætti frá árinu 2023, sem undirstrikar mikilvægu hlutverki mannlegra þátta í öryggisgöllum. Rannsóknin sýnir tólffalda aukningu á fjölda félagsverkfræðiárása í gegnum snjalltæki, tegund árása sem hefst með skilaboðum sem virðast skaðlaus og skapa tengsl. Þetta gerist, að sögn Baiardi, vegna þess að hægt er að stjórna mannlegri hegðun. „Eins og goðsagnakenndi tölvuþrjóturinn Kevin Mitnick sagði, þá er mannshugurinn auðveldasta eignin til að tölvuþrjóta. Mannverur búa jú yfir tilfinningalegu lagi sem er mjög viðkvæmt fyrir utanaðkomandi áhrifum, sem geta leitt til óútreiknanlegra aðgerða eins og að smella á illgjarnar tenglar eða deila viðkvæmum upplýsingum,“ segir hann.
Netveiðabúnaðir sem eru hannaðir til að komast framhjá fjölþátta auðkenningu (MFA) og skýjatengdar árásir, þar sem um það bil 94% notenda verða fyrir barðinu á hverjum mánuði, eru einnig meðal algengustu ógnana sem skráðar eru í skýrslunni.
Algengustu mistökin
Meðal algengustu mistaka sem leiða til öryggisbrota telur Baiardi upp: að staðfesta ekki áreiðanleika tölvupósta; skilja tölvur eftir ólæstar; nota opinber Wi-Fi net til að fá aðgang að upplýsingum fyrirtækja; og fresta hugbúnaðaruppfærslum.
„Þessi hegðun getur opnað dyr fyrir innbrot og gagnabrot,“ útskýrir hann. Til að forðast að falla fyrir svikum mælir sérfræðingurinn með því að forðast að smella á grunsamlega tengla. Þess vegna leggur hann til að athuga sendanda, netfangið og hversu áríðandi skilaboðin eru. „Ef vafi leikur enn á er gott ráð að halda músarbendlinum yfir tenglinum án þess að smella, sem gerir þér kleift að skoða alla vefslóðina. Ef hún lítur grunsamleg út er hún líklega illgjarn,“ ráðleggur hann.
Netveiðar
Netveiðar eru ein stærsta netógnin, þar sem tölvupóstur fyrirtækja er notaður sem árásarvektor. Til að verjast henni leggur Baiardi til marglaga nálgun: vitundarvakningu og þjálfun starfsmanna, auk öflugra tæknilegra ráðstafana.
Að halda hugbúnaði og stýrikerfum uppfærðum er mikilvægt til að draga úr veikleikum. „Nýjar veikleikar koma upp daglega. Einfaldasta leiðin til að draga úr áhættu er að halda kerfum uppfærðum. Í mikilvægum verkefnum, þar sem stöðugar uppfærslur eru ekki mögulegar, þarf öflugri stefnu.“
Hann nefnir raunverulegt dæmi um hvernig árangursrík þjálfun hjálpar til við að koma í veg fyrir árásir. „Eftir að hafa innleitt phishing-hermir og þjálfun, sáum við verulega aukningu í tilkynningum um phishing-tilraunir frá starfsmönnum, sem sýnir fram á betri gagnrýni gagnvart ógnum.“
Til að mæla árangur þjálfunar leggur Baiardi til að skilgreina skýrt umfang og framkvæma reglulegar hermir með fyrirfram skilgreindum mælikvörðum. „Nauðsynlegt er að mæla magn og gæði viðbragða starfsmanna við hugsanlegum ógnum.“
Framkvæmdastjórinn vitnar í skýrslu frá netöryggisfræðslufyrirtækinu Knowbe4, sem sýnir að Brasilía var á eftir löndum eins og Kólumbíu, Síle, Ekvador og Perú. Könnunin frá 2024 undirstrikar vandamálið með að starfsmenn skilji mikilvægi netöryggis en skilji ekki til fulls hvernig ógnir virka og virka. Þess vegna leggur hún áherslu á mikilvægi fyrirtækjamenningar til að efla öruggar starfsvenjur: „Án vel útfærðrar netöryggismenningaráætlunar er ómögulegt að mæla þroskastig fyrirtækis á þessu sviði.“
Sérfræðingurinn ber einnig ábyrgð á að leiða afhendingu netöryggisþjónustu sem dataRain kynnir, sem býður upp á öflugar og fljótlegar lausnir í innleiðingu, svo sem tölvupóstöryggi, eftirlits- og varnarleysismat, endapunktaöryggi og skýjastjórnun. „Netöryggi er stöðug áskorun og fólk er grundvallaratriði til að tryggja vernd upplýsinga og heilleika kerfa. Fjárfesting í þjálfun og vitundarvakningu er fjárfesting í öryggi alls fyrirtækisins. Og öllum afhendingum okkar fylgir þekkingarmiðlun, sem gerir okkur kleift að auka vitund viðskiptavina um ógnir,“ segir hann að lokum.
