Vienas pagrindinių įmonių rūpesčių buvo apsauga nuo skaitmeninių grėsmių. Net ir taikant įvairias priemones, programas ir novatoriškus sprendimus, skirtus užkirsti kelią įsilaužimams ir duomenų vagystėms, problema priklauso ne tik nuo pažangių technologijų, bet ir nuo žmonių elgesio. Tai teigia kibernetinio saugumo ekspertas Leonardo Baiardi iš „dataRain“, kuris atkreipia dėmesį, kad 74 % kibernetinių atakų sukelia žmogiškieji veiksniai. Vadovas pabrėžia, kaip tinkamas darbuotojų mokymas gali būti labai svarbus veiksmingai saugumo strategijai.
Baiardi mano, kad žmogus yra silpniausia grandis, kai susiduriama su kibernetinėmis rizikomis įmonės aplinkoje. „Kiekvienas įmonės darbuotojas turi suprasti, kad yra atsakingas už duomenų saugumą, ir tai pasiekiama tik per mokymus, atskaitomybę ir bendravimą tarp skyrių. Kiekvienas turi žinoti apie rizikas, kurioms jis yra veikiamas.“
Eksperto nuomonė papildo tai, kas buvo nustatyta „Proofpoint“ 2023 m. ataskaitoje apie žmogiškuosius veiksnius, kurioje pabrėžiamas reikšmingas žmogiškųjų veiksnių vaidmuo saugumo pažeidžiamumų atveju. Tyrimas atskleidžia, kad socialinės inžinerijos atakų, vykdomų mobiliaisiais įrenginiais, skaičius išaugo dvylika kartų – šio tipo atakos, prasidedančios, atrodytų, nekenksmingomis žinutėmis, kurios užmezga ryšius. Pasak Baiardi, taip nutinka todėl, kad žmogaus elgesiu galima manipuliuoti. „Kaip sakė legendinis programišius Kevinas Mitnickas, žmogaus protas yra lengviausiai nulaužiamas turtas. Juk žmonės turi emocinį sluoksnį, labai jautrų išorės įtakai, kuri gali lemti neapgalvotus veiksmus, tokius kaip kenkėjiškų nuorodų spustelėjimas ar neskelbtinos informacijos bendrinimas“, – sako jis.
Sukčiavimo rinkiniai, skirti apeiti daugiafaktorinį autentifikavimą (MFA), ir debesijos pagrindu vykdomos atakos, kurių taikinys kas mėnesį yra maždaug 94 % vartotojų, taip pat yra vienos iš dažniausiai ataskaitoje užfiksuotų grėsmių.
Dažniausios klaidos
Tarp dažniausių klaidų, dėl kurių įvyksta saugumo pažeidimai, Baiardi įvardija: el. laiškų autentiškumo nepatikrinimą; kompiuterių palikimą neužrakintus; viešųjų „Wi-Fi“ tinklų naudojimą prieigai prie įmonės informacijos; ir programinės įrangos atnaujinimų atidėliojimą.
„Toks elgesys gali atverti duris įsilaužimams ir duomenų pažeidimams“, – aiškina jis. Kad nepatektų į sukčių pinkles, ekspertas rekomenduoja nespustelėti įtartinų nuorodų. Todėl jis siūlo patikrinti siuntėją, el. pašto domeną ir laiško skubumą. „Jei abejonių vis dar kyla, patarimas – palikti pelės žymeklį ant nuorodos jos nespustelint, kad pamatytumėte visą URL adresą. Jei jis atrodo įtartinas, jis tikriausiai kenkėjiškas“, – pataria jis.
Sukčiavimas apsimetant
Sukčiavimas apsimetant yra viena didžiausių kibernetinių grėsmių, naudojant įmonių el. paštą kaip atakos vektorių. Norėdamas nuo jo apsisaugoti, Baiardi siūlo daugiasluoksnį požiūrį: darbuotojų informuotumą ir mokymą, be to, taikomas tvirtas technines priemones.
Programinės įrangos ir operacinių sistemų atnaujinimas yra labai svarbus siekiant sumažinti pažeidžiamumus. „Naujų pažeidžiamumų atsiranda kasdien. Paprasčiausias būdas sumažinti riziką – atnaujinti sistemas. Kritinėse aplinkose, kur nuolatiniai atnaujinimai neįmanomi, reikalinga tvirtesnė strategija.“
Jis pateikia realų pavyzdį, kaip veiksmingi mokymai padeda užkirsti kelią atakoms. „Įdiegę sukčiavimo apsimetant atakomis modeliavimus ir mokymus, pastebėjome, kad gerokai padaugėjo darbuotojų pranešimų apie sukčiavimo bandymus, o tai rodo geresnį kritinį mąstymą grėsmių akivaizdoje.“
Norint įvertinti mokymų efektyvumą, Baiardi siūlo apibrėžti aiškią apimtį ir periodiškai atlikti modeliavimą su iš anksto nustatytais rodikliais. „Būtina išmatuoti darbuotojų reakcijų į galimas grėsmes kiekybę ir kokybę.“
Vadovas cituoja kibernetinio saugumo švietimo bendrovės „Knowbe4“ ataskaitą, kurioje teigiama, kad Brazilija atsilieka nuo tokių šalių kaip Kolumbija, Čilė, Ekvadoras ir Peru. 2024 m. atlikta apklausa pabrėžia darbuotojų supratimą apie kibernetinio saugumo svarbą, tačiau iš tikrųjų nesupranta, kaip veikia ir funkcionuoja grėsmės. Todėl ji pabrėžia organizacinės kultūros svarbą skatinant saugią praktiką: „Be gerai įgyvendintos kibernetinio saugumo kultūros programos neįmanoma išmatuoti įmonės brandos lygio šiuo aspektu.“
Specialistas taip pat atsakingas už „dataRain“ siūlomų kibernetinio saugumo pasiūlymų teikimą. Ši bendrovė teikia patikimus ir greitai įdiegiamus sprendimus, tokius kaip el. pašto saugumas, atitikties ir pažeidžiamumų vertinimas, galinių įrenginių saugumas ir debesijos valdymas. „Kibernetinis saugumas yra nuolatinis iššūkis, o žmonės yra esminiai užtikrinant informacijos apsaugą ir sistemų vientisumą. Investicijos į mokymą ir informuotumą reiškia investicijas į visos organizacijos saugumą. Visus mūsų tiekimus lydi žinių perdavimas, kuris leidžia mums padidinti klientų informuotumą apie grėsmes“, – apibendrina jis.
