Една от основните грижи на компаниите е защитата срещу цифрови заплахи. И дори приемането на поредица от мерки, приложения и иновативни решения за предотвратяване на прониквания и кражба на данни, проблемът зависи не само от напредналите технологии, но и от човешкото поведение. Това е според експерта по киберсигурност Леонардо Байарди от dataRain, който посочва, че 74% от кибератаките са причинени от човешки фактори. Ръководителят подчертава как адекватното обучение на служителите може да бъде от съществено значение за ефективна стратегия за сигурност.
Байарди смята, че човекът е най-слабото звено при справянето с киберрискове в корпоративна среда. „Всеки в компанията трябва да разбира, че е отговорен за сигурността на данните и това се постига само чрез обучение, отчетност и комуникация между отделите. Всеки трябва да е наясно с рисковете, на които е изложен.“
Мнението на експерта допълва констатациите в Доклада за човешкия фактор на Proofpoint от 2023 г., който подчертава значителната роля на човешкия фактор в уязвимостите в сигурността. Проучването разкрива дванадесеткратно увеличение на обема на атаките със социално инженерство чрез мобилни устройства, вид атака, която започва с привидно безобидни съобщения, генериращи взаимоотношения. Според Байарди това се случва, защото човешкото поведение може да бъде манипулирано. „Както каза легендарният хакер Кевин Митник, човешкият ум е най-лесният актив за хакване. В крайна сметка, човешките същества притежават емоционален слой, силно податлив на външно влияние, което може да доведе до необмислени действия, като например кликване върху злонамерени връзки или споделяне на чувствителна информация“, казва той.
Фишинг комплекти, предназначени да заобиколят многофакторното удостоверяване (MFA), и облачни атаки, чиито цели са приблизително 94% от потребителите всеки месец, също са сред най-често регистрираните заплахи в доклада.
Най-често срещаните грешки
Сред най-често срещаните грешки, които водят до нарушения на сигурността, Байарди изброява: непроверка на автентичността на имейлите; оставяне на компютрите отключени; използване на обществени Wi-Fi мрежи за достъп до корпоративна информация; и забавяне на актуализациите на софтуера.
„Тези поведения могат да отворят врати за прониквания и компрометиране на данни“, обяснява той. За да избегнете попадане в измами, експертът препоръчва да се избягва кликването върху подозрителни връзки. Затова той предлага да се провери подателят, имейл домейнът и спешността на съобщението. „Ако все още има съмнения, съвет е да оставите курсора на мишката върху връзката, без да кликвате, което ще ви позволи да видите пълния URL адрес. Ако изглежда подозрително, вероятно е злонамерено“, съветва той.
Фишинг
Фишингът е една от най-големите кибер заплахи, използваща корпоративния имейл като вектор за атака. За да се предпази от него, Байарди предлага многопластов подход: повишаване на осведомеността и обучение на служителите, в допълнение към надеждни технически мерки.
Поддържането на софтуера и операционните системи актуални е жизненоважно за намаляване на уязвимостите. „Нови уязвимости се появяват ежедневно. Най-лесният начин за намаляване на рисковете е чрез поддържане на системите актуализирани. В критични среди, където постоянните актуализации не са възможни, е необходима по-стабилна стратегия.“
Той предоставя пример от реалния свят за това как ефективното обучение помага за предотвратяване на атаки. „След внедряване на фишинг симулации и обучение, наблюдавахме значително увеличение на докладите за фишинг опити от служители, демонстрирайки по-изтънчено критично чувство към заплахите.“
За да се измери ефективността на обучението, Байарди предлага да се определи ясен обхват и да се провеждат периодични симулации с предварително определени показатели. „Необходимо е да се измери количеството и качеството на реакциите на служителите на потенциални заплахи.“
Ръководителят цитира доклад на компанията за обучение по киберсигурност Knowbe4, който показва, че Бразилия изостава от страни като Колумбия, Чили, Еквадор и Перу. Проучването от 2024 г. подчертава проблема със служителите, които разбират важността на киберсигурността, но не разбират истински как действат и функционират заплахите. Следователно, то подчертава значението на организационната култура за насърчаване на сигурни практики: „Без добре внедрена програма за култура на киберсигурност е невъзможно да се измери нивото на зрялост, което една компания притежава в този аспект.“
Специалистът е отговорен и за ръководенето на предоставянето на предложения за киберсигурност, популяризирани от dataRain, която предоставя надеждни и бързи за внедряване решения, като например сигурност на имейлите, оценки на съответствието и уязвимостите, сигурност на крайните точки и управление на облака. „Киберсигурността е постоянно предизвикателство и хората са от основно значение за гарантиране на защитата на информацията и целостта на системите. Инвестирането в обучение и осведоменост е инвестиция в сигурността на цялата организация. И всички наши доставки са съпроводени с трансфер на знания, което ни позволява да повишим осведомеността на клиента за заплахите“, заключава той.
