Jest sierpie? 2019 roku. Dzia? ksi?gowo?ci spó?ki Toyota Boshoku Corporation wykonuje swoje obowi?zki i nie ?wiadomi przysz?o?ci pracownicy jeszcze nie widz?, ?e w?a?nie si? odbywa jeden z najwi?kszych cyberataków kierowany w sektor biznesu.

Cyberprzest?pcy podszywaj?c si? pod jednego z partnerów biznesowych wysy?aj? starannie spreparowane wiadomo?ci e-mail. Te e-maile prosi?y o przes?anie ?rodków na okre?lone konto bankowe, które by?o kontrolowane przez hakerów. By? to atak typu BEC.

Wkrótce po dokonaniu transferu eksperci ds. bezpiecze?stwa spó?ki zdali sobie spraw?, ?e zostali oszukani. Jednak by?o ju? za pó?no, aby zatrzyma? transfer.

Firma ponios?a straty w wysoko?ci 37,3 miliona dolarów.

Cz?owiek na pierwszej linii

O cyberbezpiecze?stwie mówi si? coraz wi?cej. Jest to pozytywne zjawisko. Jednak w obliczu coraz cz?stszych cyberataków wiele organizacji ukierunkowa?o swoje inwestycje g?ównie w zabezpieczenia opieraj?ce si? na rozwi?zaniach technologicznych. Czy to odpowiednie podej?cie?

Wed?ug bada? IBM b??d ludzki jest g?ówn? przyczyn? 95% narusze? cyberbezpiecze?stwa. Mo?na powiedzie?, ?e kiedy wyeliminujemy b??d ludzki to 19 na 20 cyberw?ama? mo?e nie mie? miejsca!

Czym jest b??d ludzki?

W kontek?cie bezpiecze?stwa b??d ludzki oznacza niezamierzone dzia?ania – lub brak dzia?ania – przez pracowników i u?ytkowników, które powoduj?, rozprzestrzeniaj? si? lub pozwalaj? na naruszenie bezpiecze?stwa.

Chocia? mo?liwo?ci ludzkiego b??du s? niesko?czone, mo?na je ogólnie podzieli? na dwa ró?ne typy: b??dy oparte na umiej?tno?ciach i oparte na decyzjach. Ró?nica mi?dzy nimi jest zasadnicza, sprowadza si? do tego, czy dana osoba mia?a wymagan? wiedz?, aby wykona? prawid?owe dzia?anie.

Je?li chcemy zminimalizowa? wyst?pienie b??du ludzkiego powinni?my zbudowa? odpowiedni? kultur? organizacyjn? zorientowan? na bezpiecze?stwo.

Zmiana kultury pracy

Kultura skoncentrowana na bezpiecze?stwie ma kluczowe znaczenie w ograniczaniu b??dów ludzkich. W kulturze bezpiecze?stwa bezpiecze?stwo jest brane pod uwag? przy ka?dej decyzji i dzia?aniu, a u?ytkownicy ko?cowi b?d? aktywnie wyszukiwa? i omawia? problemy zwi?zane z bezpiecze?stwem w miar? ich napotykania.

Zach?cajmy do dyskusji. Jednym z najlepszych sposobów zapewnienia bezpiecze?stwa na pierwszym miejscu jest zach?cenie ludzi do rozmowy o tym. Poruszajmy dyskusje na tematy zwi?zane z bezpiecze?stwem — i upewnijmy si?, ?e s? one istotne dla codziennych czynno?ci u?ytkowników ko?cowych, aby zwi?kszy? prawdopodobie?stwo ich zaanga?owania. Pomo?e nam to zobaczy?, co ka?dy mo?e zrobi? osobi?cie, aby pomóc w utrzymaniu bezpiecze?stwa Twojej organizacji.

U?atwiajmy zadawanie pyta?. W ramach procesu uczenia si? u?ytkownicy ko?cowi prawdopodobnie natkn? si? na wiele sytuacji, w których nie b?d? pewni konsekwencji zwi?zanych z bezpiecze?stwem. W takich sytuacjach lepiej, aby zapytali nas lub kogo? innego posiadaj?cego wiedz?, zamiast zgadywa? i ryzykowa? samodzielnym dokonaniem z?ego wyboru. Upewnijmy si?, ?e kto? jest zawsze dost?pny, aby odpowiedzie? na wszelkie pytania u?ytkowników ko?cowych w przyjazny sposób i nagradzajmy u?ytkowników, którzy zadaj? dobre pytania.

U?ywajmy plakatów i broszur. Plakaty i wskazówki dotycz?ce bezpiecze?stwa s?u?? jako ma?e przypomnienia, które pomagaj? upewni? si?, ?e u?ytkownicy ko?cowi my?l? o bezpiecze?stwie przez ca?y dzie? pracy. Plakat z informacjami o silnych has?ach pozwoli na przyk?ad u?ytkownikom ?atwo sprawdzi?, jakie s? wymagania dotycz?ce bezpiecze?stwa kont firmowych.

Unikajmy stresu i niezdrowej presji. Badania prowadzone nad cyberbezpiecze?stwem pokazuj?, ?e w sytuacjach mocno stresowych cz?sto dochodzi do b??dów. Pracownicy odpowiadaj?c na pytanie, dlaczego nie przestrzegali zasad bezpiecze?stwa odpowiadali: „aby lepiej wykonywa? zadania zwi?zane z moj? prac?”, „musia?em szybko zdoby? co?, czego potrzebowa?em” i „musia?em pomóc innym w wykonaniu ich pracy”. Te trzy odpowiedzi stanowi?y 85% przypadków, w których pracownicy ?wiadomie z?amali przepisy.

Nie zapominajmy o szkoleniu

Szkolenie w zakresie ?wiadomo?ci cyberbezpiecze?stwa dla wszystkich pracowników, niezale?nie od pe?nionej funkcji, jest absolutn? konieczno?ci?, je?li organizacja powa?nie my?li o ochronie swoich danych wra?liwych.

Warto przetestowa? kadr? pracownicz? testami phishingowymi, które s? dost?pne w sieci. W zaledwie 10 minut b?dziemy wstanie zweryfikowa? jaki procent zespo?u jest na to podatny. Pami?tajmy o zmienianiu hase? oraz stosowaniu 2FA. Upewnijmy si?, ?e pracownicy u?ywaj? oprogramowania do zarz?dzania has?ami do przechowywania i szyfrowania wszystkich swoich hase?. Tworzone przez nich has?a powinny by? unikalne dla ka?dej witryny lub aplikacji ze znakami alfanumerycznymi. Uwierzytelnianie dwusk?adnikowe powinno by? obowi?zkow? praktyk? dla wszystkich pracowników.

Jak reagowa??

Dla personelu IT odpowiedzialnego za cyberbezpiecze?stwo organizacji niezb?dna jest nauka prawid?owego reagowania na zagro?enie lub naruszenie cyberbezpiecze?stwa. Posiadanie ustalonego planu dzia?ania na wypadku zagro?enia lub naruszenia cyberbezpiecze?stwa pozwoli na natychmiastowe dzia?anie w celu powstrzymania szkody i ochrony danych wra?liwych.

Niektóre tematy, które nale?y uwzgl?dni?, to:

• Ustalenie ?ród?a ataku
• Jak powstrzyma? uszkodzenia i zapobiec dalszym atakom?
• Jak oceni? zakres ataku?
• Jak prawid?owo powiadomi? pracowników, których dotyczy problem?

Pami?tajmy, ?e cz?owiek nie musi by? najs?abszym ogniwem w kontek?cie cyberbezpiecze?stwa, a wr?cz odwrotnie human firewallem.

Autor: Marek K?dziera, Prezes Kancelarii IT