Viena no galvenajām uzņēmumu bažām ir aizsardzība pret digitālajiem draudiem. Pat ieviešot virkni pasākumu, lietojumprogrammu un inovatīvu risinājumu, lai novērstu ielaušanos un datu zādzības, problēma ir atkarīga ne tikai no progresīvām tehnoloģijām, bet arī no cilvēku uzvedības. To apgalvo kiberdrošības eksperts Leonardo Baiardi no dataRain, kurš norāda, ka 74% kiberuzbrukumu izraisa cilvēciskie faktori. Vadītājs uzsver, ka atbilstoša darbinieku apmācība var būt būtiska efektīvai drošības stratēģijai.
Baiardi uzskata cilvēku par vājāko posmu, saskaroties ar kiberriskiem korporatīvajā vidē. "Ikvienam uzņēmumā ir jāsaprot, ka viņš ir atbildīgs par datu drošību, un to var panākt tikai ar apmācību, atbildību un komunikāciju starp nodaļām. Ikvienam ir jāapzinās riski, kuriem viņš ir pakļauts."
Eksperta atzinums papildina Proofpoint 2023. gada ziņojumā par cilvēciskajiem faktoriem konstatēto, kurā uzsvērta cilvēcisko faktoru nozīmīgā loma drošības ievainojamībās. Pētījums atklāj divpadsmitkārtīgu sociālās inženierijas uzbrukumu apjoma pieaugumu, izmantojot mobilās ierīces, proti, uzbrukuma veidu, kas sākas ar šķietami nekaitīgiem ziņojumiem, radot attiecības. Pēc Baiardi domām, tas notiek tāpēc, ka cilvēka uzvedību var manipulēt. "Kā teica leģendārais hakeris Kevins Mitniks, cilvēka prāts ir visvieglāk uzlaužamais aktīvs. Galu galā cilvēkiem piemīt emocionāls slānis, kas ir ļoti uzņēmīgs pret ārēju ietekmi, kas var novest pie pārsteidzīgām darbībām, piemēram, noklikšķināšanas uz ļaunprātīgām saitēm vai sensitīvas informācijas kopīgošanas," viņš saka.
Ziņojumā visbiežāk reģistrēto apdraudējumu vidū ir arī pikšķerēšanas komplekti, kas paredzēti daudzfaktoru autentifikācijas (MFA) apiešanai, un mākonī balstīti uzbrukumi, kuros katru mēnesi tiek mērķēti aptuveni 94% lietotāju.
Visbiežāk pieļautās kļūdas
Starp visbiežāk pieļautajām kļūdām, kas noved pie drošības pārkāpumiem, Baiardi uzskaita: e-pasta autentiskuma nepārbaudīšanu; datoru atstāšanu nebloķētus; publisko Wi-Fi tīklu izmantošanu, lai piekļūtu korporatīvajai informācijai; un programmatūras atjauninājumu atlikšanu.
“Šāda rīcība var pavērt durvis ielaušanās un datu kompromitēšanai,” viņš skaidro. Lai neiekristu krāpnieku gūstā, eksperts iesaka izvairīties no klikšķināšanas uz aizdomīgām saitēm. Tāpēc viņš iesaka pārbaudīt sūtītāju, e-pasta domēnu un ziņojuma steidzamību. “Ja joprojām pastāv šaubas, padoms ir atstāt peles rādītāju virs saites, nenoklikšķinot uz tās, lai jūs varētu apskatīt pilnu URL. Ja tā izskatās aizdomīga, tā, iespējams, ir ļaunprātīga,” viņš iesaka.
Pikšķerēšana
Pikšķerēšana ir viens no lielākajiem kiberdraudiem, kas kā uzbrukuma vektoru izmanto korporatīvo e-pastu. Lai aizsargātos pret to, Baiardi iesaka daudzslāņu pieeju: darbinieku informētību un apmācību, kā arī spēcīgus tehniskus pasākumus.
Programmatūras un operētājsistēmu atjaunināšana ir būtiska ievainojamību samazināšanai. “Katru dienu parādās jaunas ievainojamības. Vienkāršākais veids, kā samazināt riskus, ir atjaunināt sistēmas. Misijai kritiskās vidēs, kur pastāvīgi atjauninājumi nav iespējami, ir nepieciešama stabilāka stratēģija.”
Viņš sniedz reālu piemēru tam, kā efektīva apmācība palīdz novērst uzbrukumus. "Pēc pikšķerēšanas simulāciju un apmācību ieviešanas mēs novērojām ievērojamu darbinieku ziņojumu skaita pieaugumu par pikšķerēšanas mēģinājumiem, kas demonstrē izsmalcinātāku kritisko izjūtu draudu priekšā."
Lai novērtētu apmācību efektivitāti, Baiardi iesaka definēt skaidru darbības jomu un periodiski veikt simulācijas ar iepriekš definētiem rādītājiem. "Ir nepieciešams izmērīt darbinieku reakcijas uz iespējamiem draudiem kvantitāti un kvalitāti."
Vadītājs atsaucas uz kiberdrošības izglītības uzņēmuma Knowbe4 ziņojumu, kas liecina, ka Brazīlija atpaliek no tādām valstīm kā Kolumbija, Čīle, Ekvadora un Peru. 2024. gada aptauja izceļ darbinieku izpratni par kiberdrošības nozīmi, taču īsti neizprot, kā darbojas un funkcionē draudi. Tāpēc tajā uzsvērta organizācijas kultūras nozīme drošu prakšu veicināšanā: “Bez labi ieviestas kiberdrošības kultūras programmas nav iespējams izmērīt uzņēmuma brieduma līmeni šajā aspektā.”
Speciālists ir atbildīgs arī par dataRain reklamēto kiberdrošības piedāvājumu piegādes vadīšanu, kas nodrošina stabilus un ātri ieviešamus risinājumus, piemēram, e-pasta drošību, atbilstības un ievainojamības novērtējumus, galapunktu drošību un mākoņdatošanas pārvaldību. “Kiberdrošība ir pastāvīgs izaicinājums, un cilvēki ir būtiski, lai nodrošinātu informācijas aizsardzību un sistēmu integritāti. Investīcijas apmācībā un informētībā nozīmē investīcijas visas organizācijas drošībā. Un visas mūsu piegādes pavada zināšanu nodošana, kas ļauj mums palielināt klienta izpratni par draudiem,” viņš secina.
