Za väčšinou kybernetických útokov na firmy je ľudská chyba. Pre podnikové siete, ktoré musia každý deň čeliť rôznym druhom bezpečnostných incidentov a sú doslova pod paľbou útočníkov, sa ako významným zraniteľným miestom ukazujú zamestnanci. Sú to práve oni, kto otvára širšie pole pôsobnosti hackerom. Prečo sa zamestnanci stávajú slabým článkom v kybernetickej bezpečnosti. A čo robia zle?
Spoločnosť Soitron, IT integrátor inovatívnych riešení a technológií, definovala riziká, ktorými zamestnanci otvárajú pomyselné zadné dvierka firemných IT prostredí. „Riziká sú rozdelené do dvoch oblastí. Ľahkovážnosť až naivita a potom ignorancia, teda to, že zamestnanci si uvedomujú, že niečo robia zle, ale aj napriek tomu tak konajú,“ prezrádza Martin Lohnert, špecialista pre oblasť kyberbezpečnosti v technologickej spoločnosti Soitron. Niektoré hrozby spôsobené zamestnancami sú zapríčinené zdieľaním hesiel, nekonzistentným prístupom k aktualizáciám, otváraním podozrivých e-mailových príloh a klikaním na nebezpečné URL adresy. Ďalšie predstavujú prístup k podnikovým sieťam z neautorizovaných a nezabezpečených osobných zariadení.
„Pokiaľ by sa mali spočítať všetky potenciálne útoky spôsobené zamestnancami, bol by zoznam nekonečný. Preto poďme spomenúť tie, ktoré sú najčastejšie a s najväčšou pravdepodobnosťou sa ich dopúšťa každý zamestnanec,“ deklaruje Martin Lohnert.
Človek sociálny – zdieľanie informácií je dnes veľmi populárne. Dokonca je považované za bohumilú nesamozrejmú činnosť, ktorá je nám vštepená do našej DNA. Lenže zdieľať by sa malo odtiaľ potiaľ alebo skôr rozumne. To sa však nedeje. Namiesto toho zamestnanci zdieľajú informácie aj o svojej práci často neuvážlivo a útočníci to využívajú. O podniku sa tak ľahko dozvedia množstvo informácií – zo screenshotov, e-mailových adries, fotografií zariadení a pod.
Človek zvedavý – ďalšou silnou ľudskou vlastnosťou je zvedavosť. Čo človek urobí, keď sa dozvie, že vyhral? Určite si bude chcieť overiť, čo vyhral alebo koľko peňazí, či ako ďalej postupovať. Klikanie na rôzne linky oznamujúce výhry alebo že je niečo zdarma, je veľmi nebezpečné. Naviac tu vstupuje do hry sociálne inžinierstvo prostredníctvom tlaku – výhra sa musí vyzdvihnúť do určitej doby – dáva priestor chybám a unáhlenej neuváženej ľudskej reakcií.
Človek ignorujúci – systémy sú navrhnuté tak, aby fungovali. Ideálne by bolo, keby automaticky, ale to nie je v praxi možné. Preto čas od času vyžadujú interakciu s užívateľom. Ak sa zamestnancovi objaví od antivírusového programu hlásenie, že v PC bolo nájdené niečo podozrivé, nemal by to ignorovať. To isté platí, ak je vyzvaný k inštalácií updatu alebo reštartu systému. Hlásenia tu sú od toho, aby sa s nimi pracovalo, nie aby sme ich ignorovali.
Človek dohľadateľný – prístupové mená a heslá boli vymyslené z dôvodu preukázania oprávneného vstupu napríklad do nejakej služby. Majú však aj ďalšie využitie. Vďaka nim je možné sledovať, čo užívateľ v systéme robil. Takže pokiaľ jeden prístup využíva viac zamestnancov, nie je to šťastné riešenie, pretože potom nie je možné v prípade bezpečnostného incidentu nájsť cestu prieniku do systému. Inými slovami, sťažuje to detekciu vzniknutých problémov – prípadne odcudzenia prístupu atď.
Človek hlúpy – nedá sa poprieť, že človek je tvor lenivý. Preto aj v prípade hesiel volí také, aby si ich ľahko zapamätal. Takže sa snaží používať jedno heslo na všetko, prípadne typu heslo123, svoje meno, mená rodinných príslušníkov a pod. To ale nie je správne, také heslá sú ľahko prelomiteľné. Pritom silné heslo si je možné tiež dobre zapamätať. Použiť môžeme obľúbené citáty z kníh, filmov, či dokonca reklám, obľúbené verše, pesničky atď. skrátka čokoľvek a následne to upraviť pomocou malých a veľkých písmen, číslic a špeciálnych znakov.
Človek lenivý – súčasná pandemická doba posunula do popredia využívanie vlastných zariadení pre firemní účely. Ich nedostatočné zabezpečenie je však zdrojom bezpečnostných incidentov v podnikových sieťach. A málokto si to uvedomuje, ale platí to aj opačne. Preto by sa v ideálnych podmienkach jedno zariadenie nemalo používať k firemným aj súkromným účelom. A pokiaľ už je to nutné, tak v prípade firiem používať bezpečnostné prvky typu VPN najlepšie s multifaktorovým overením a pod.
Toto sú len niektoré bezpečnostné riziká prichádzajúce od zamestnancov, ktorým musia čeliť podnikové IT siete. Existuje ich však ďaleko viac. Jedným z nich je napríklad aj maskovanie verejne dostupných sietí za tie legitímne. „Bežnou situáciou je, že hosť hotelu, ktorý sa chce pripojiť k hotelovej Wi-Fi, nájde dve siete. Jednu nezabezpečenú a jednu zabezpečenú. Zatiaľ čo by sa mal pripojiť k tej zabezpečenej tým, že si vyžiada oprávnenie, tak sa z dôvodu uľahčenia pripojí k nezabezpečenej. Lenže tá nemusí byť hotelová. Na prvý pohľad, z dôvodu podobného názvu ako má hotel, sa všetko môže zdať legitímne, ale tak isto sa za ňu môže len vydávať a môže byť podvrhnutá. Akonáhle sa zamestnanec/hosť hotelu pripojí, útočník môže zachytiť jeho komunikáciu smerom na internet,“ vysvetľuje Martin Lohnert.
Podobné je to aj s používaním nefiremných zariadení. Ich neautorizované zapojovanie do firemnej infraštruktúry je ďalším veľkým bezpečnostným rizikom. A pritom to môžu byť napríklad len USB gadgety, ktoré firme privodia veľký bezpečnostný problém. „Samozrejme je ťažké postarať sa o to, aby zamestnanci dodržiavali všetky bezpečnostné odporúčania. Avšak formou edukácie je možné väčšine nevedomých pochybení predchádzať. Pokiaľ sa to nedeje, tak pacient nula vlastne ani nemusí tušiť, že niečo robí zle,“ dodáva záverom Martin Lohnert.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
