Ena glavnih skrbi podjetij je bila zaščita pred digitalnimi grožnjami. In tudi pri sprejemanju vrste ukrepov, aplikacij in inovativnih rešitev za preprečevanje vdorov in kraje podatkov ni odvisno le od naprednih tehnologij, temveč tudi od človeškega vedenja. To trdi strokovnjak za kibernetsko varnost Leonardo Baiardi iz podjetja dataRain, ki poudarja, da 74 % kibernetskih napadov povzročijo človeški dejavniki. Vodilni delavec poudarja, kako je lahko ustrezno usposabljanje zaposlenih bistvenega pomena za učinkovito varnostno strategijo.
Baiardi meni, da je človek najšibkejši člen pri soočanju s kibernetskimi tveganji v korporativnem okolju. »Vsi v podjetju morajo razumeti, da so odgovorni za varnost podatkov, in to se doseže le z usposabljanjem, odgovornostjo in komunikacijo med oddelki. Vsi se morajo zavedati tveganj, ki jim so izpostavljeni.«
Mnenje strokovnjaka dopolnjuje ugotovitve iz poročila Proofpoint o človeških dejavnikih iz leta 2023, ki poudarja pomembno vlogo človeških dejavnikov pri varnostnih ranljivostih. Študija razkriva dvanajstkratno povečanje obsega napadov socialnega inženiringa prek mobilnih naprav, vrste napada, ki se začne z na videz neškodljivimi sporočili in ustvarja odnose. Do tega pride, pravi Baiardi, ker je mogoče manipulirati s človeškim vedenjem. »Kot je dejal legendarni heker Kevin Mitnick, je človeški um najlažje sredstvo za vdor. Navsezadnje imajo ljudje čustveno plast, ki je zelo dovzetna za zunanje vplive, kar lahko vodi do nepremišljenih dejanj, kot je klikanje na zlonamerne povezave ali deljenje občutljivih informacij,« pravi.
Med najpogosteje zabeleženimi grožnjami v poročilu so tudi kompleti za lažno predstavljanje, zasnovani za obhod večfaktorske avtentikacije (MFA), in napadi v oblaku, ki vsak mesec prizadenejo približno 94 % uporabnikov.
Najpogostejše napake
Med najpogostejšimi napakami, ki vodijo do varnostnih kršitev, Baiardi navaja: nepreverjanje pristnosti e-poštnih sporočil, puščanje računalnikov odklenjenih, uporabo javnih omrežij Wi-Fi za dostop do poslovnih informacij in odlašanje s posodobitvami programske opreme.
»Tako vedenje lahko odpre vrata vdorom in ogrožanju podatkov,« pojasnjuje. Da bi se izognili prevaram, strokovnjak priporoča, da se izogibate klikanju na sumljive povezave. Zato predlaga preverjanje pošiljatelja, e-poštne domene in nujnosti sporočila. »Če dvomi še vedno obstajajo, je nasvet, da pustite kazalec miške nad povezavo, ne da bi kliknili, kar vam omogoča ogled celotnega URL-ja. Če je videti sumljivo, je verjetno zlonamerno,« svetuje.
Lažno predstavljanje
Lažno predstavljanje (phishing) je ena največjih kibernetskih groženj, ki kot vektor napada uporablja poslovno e-pošto. Za zaščito pred njim Baiardi predlaga večplasten pristop: ozaveščanje in usposabljanje zaposlenih ter robustne tehnične ukrepe.
Posodabljanje programske opreme in operacijskih sistemov je ključnega pomena za zmanjšanje ranljivosti. »Vsak dan se pojavljajo nove ranljivosti. Najenostavnejši način za zmanjšanje tveganj je posodabljanje sistemov. V kritičnih okoljih, kjer stalne posodobitve niso mogoče, je potrebna robustnejša strategija.«
Ponuja primer iz resničnega sveta, kako učinkovito usposabljanje pomaga preprečevati napade. »Po izvedbi simulacij lažnega predstavljanja in usposabljanja smo opazili znatno povečanje prijav poskusov lažnega predstavljanja s strani zaposlenih, kar kaže na bolj izpopolnjen kritični čut v soočenju z grožnjami.«
Za merjenje učinkovitosti usposabljanja Baiardi predlaga opredelitev jasnega obsega in izvajanje periodičnih simulacij z vnaprej določenimi metrikami. "Potrebno je meriti količino in kakovost odzivov zaposlenih na morebitne grožnje."
Vodja navaja poročilo podjetja za izobraževanje o kibernetski varnosti Knowbe4, ki kaže, da Brazilija zaostaja za državami, kot so Kolumbija, Čile, Ekvador in Peru. Raziskava iz leta 2024 poudarja problem zaposlenih, ki razumejo pomen kibernetske varnosti, vendar ne razumejo zares, kako grožnje delujejo. Zato poudarja pomen organizacijske kulture pri spodbujanju varnih praks: »Brez dobro izvedenega programa kulture kibernetske varnosti je nemogoče izmeriti stopnjo zrelosti podjetja na tem področju.«
Specialist je odgovoren tudi za vodenje zagotavljanja ponudb kibernetske varnosti, ki jih promovira dataRain, ki ponuja robustne in hitro uvedljive rešitve, kot so varnost e-pošte, ocene skladnosti in ranljivosti, varnost končnih točk in upravljanje oblaka. »Kibernetska varnost je stalen izziv, ljudje pa so ključnega pomena za zagotavljanje zaščite informacij in integritete sistemov. Vlaganje v usposabljanje in ozaveščanje je vlaganje v varnost celotne organizacije. Vse naše dobave spremlja prenos znanja, kar nam omogoča, da povečamo ozaveščenost strank o grožnjah,« zaključuje.
