Tveganja kibernetskega napada za podjetja pri zaposlenih
Kot del začetnih varnostnih odnosov, ki jih gradimo z novimi strankami, ESET anketira vodstvo in odgovorne zaposlene o tem, kaj vidijo kot svoje največje varnostne izzive. Odgovori v številnih velikih podjetjih so kot največje varnostne izzive prepoznali slabo varnostno vedenje zaposlenih. Paradoksalno je, da čeprav podjetja zavedajo, da bi ozaveščanje osebja o varnosti povečalo varnost njihove organizacije, na splošno ne vlagajo dovolj sredstev v to.
Za povečanje fizične varnosti in varnosti v podjetju se morajo v veliko primerih zaposleni udeležiti obveznega usposabljanja o varnosti na delovnem mestu pa tudi varovanje zdravja in ravnanje ob požaru je del postopka uvajanja. Vendar v teh dneh podjetja ne more spraviti ob delo le požar, ampak tudi uspešen kibernetski napad ali jezen zaposleni, ki namerno ogroža varnost. Drug zelo pogost primer je pomanjkanje varnostne pozornosti s strani zaposlenih, ki lahko brezskrbno kliknejo nenavadne priloge ali dostopajo do negotovih spletnih mest, da bi rešili osebna ali delovna vprašanja. Zato je v interesu delodajalcev ozaveščati vse zaposlene o odgovornem vedenju v omrežju, podpirati stalno usposabljanje in/ali e-učenje ter spremljati tako pravice dostopa kot nenadne spremembe v vedenju pri uporabi.
Podjetja se morajo osrediniti na izobraževanje skupaj z direktivami
Podjetja morajo uvesti določena pravila pravilne uporabe interneta in omrežja. Ta pravila bi morala vključevati, česa ne klikniti ali prenesti, s kom se posvetovati glede sumljivih sporočil in kaj storiti, če zaposleni sumi, da se je že zgodilo kaj slabega. Vse te informacije je mogoče vključiti v interne direktive podjetja, ki bi podjetju omogočale discipliniranje zaposlenega, ki bi večkrat kršil varnostne direktive. Vendar bi morale direktive biti v skladu z notranjim izobraževanjem. »Dati novemu zaposlenemu 250 direktiv za branje ni pravi način, zelo malo zaposlenih jih kdaj resnično prebere. Zato je dobro izobraževati delavce proaktivno in nato oceniti, česa so se naučili,« pravi Michal Jankech, glavni vodja izdelkov pri ESET, ki opisuje učinkovitejši način za večjo ozaveščenost osebja o varnosti.
»Med našimi strankami so podjetja, ki veliko vlagajo v izobraževanje o varnosti IT. Posledično vsak zaposleni ve, kako ravnati v določenih situacijah, na primer, ko vidi kolega, ki dostopa do negotovih spletnih mest, ali kadar na hodniku najde ključ USB ali občutljive dokumente na tiskalniku, in podobno. To bistveno prispeva k splošni varnosti podjetja,« pojasnjuje Jankech.
Mogoče bo težko prepoznati sumljivo e-pošto
Pri izobraževanju zaposlenih o varnosti IT in oblikovanju direktiv je pomembno vedeti, da se zaposleni lahko namerno ali nenamerno obnašajo nevarno. Slabo varnostno vedenje je lahko nenamerno, če na primer zaposleni ne more presoditi, ali je e-poštno sporočilo sumljivo ali ne ve, kako izgleda sumljiva povezava. Napadalci pogosto uporabljajo prefinjene tehnike in znanje, da zlonamerna e-poštna sporočila izgledajo zaupanja vredna – na primer lahko vključujejo povezavo do ponarejenega spletnega mesta banke ali podjetja, v katerem dela zaposleni. V tem primeru je treba oceniti povezave, potrjevanje in potrdila. Seveda je to nekaj, kar navaden uslužbenec brez usposabljanja ne bi storil.
Nenamerno slabo varnostno vedenje zaposlenih lahko še delimo na zlonamerno in neškodljivo. Če se na primer zaposleni odloči, da bo internet uporabljal v osebne namene in zakonito kupil film ter ga prenesel v korporacijsko omrežje, se to lahko šteje za slabo varnostno vedenje, vendar je verjetno nenamerno in neškodljivo.
Podjetja lahko nosijo pravno odgovornost za nezakonito deljeno vsebino
Situacija je povsem drugačna, ko zaposleni v korporacijsko omrežje naloži piratske filme ali glasbo. V tem primeru lahko podjetje lastnika avtorskih pravic zaradi škode zasleduje in lahko prejme tudi zajetno globo. To je zato, ker v večjem delu sveta pravno odgovornost nosi oseba/subjekt, ki je podpisal pogodbo s ponudnikom internetnih storitev.
V mnogih primerih bi bila družba pravno odgovorna, ne pa zaposleni, ki je pri delu prenašal piratske vsebine.
Nezadovoljni zaposleni lahko podjetju predstavljajo grožnjo
Namerno zlonamerno vedenje se pojavi, kadar zaposleni namerno želi škodovati podjetju. Na primer, uslužbenec, ki podjetje zapusti v slabih odnosih, bi se lahko odločil, da bo kopiral bazo strank in jo vzel iz podjetja. Alternativno bi lahko zamerljiv zaposleni namerno okužil omrežje podjetja ali poškodoval njegove podatke.
Poleg notranjega usposabljanja in dodajanja direktiv je mogoče s tehnologijo uveljaviti boljše varnostno vedenje zaposlenih, kot je uporaba programske opreme za preprečevanje uhajanja podatkov, ki je zasnovan za zaščito podjetja pred poskusi sabotaže zaposlenih ali uhajanja podatkov, kar bi lahko podjetje stalo globe za kršitev Splošne uredbe o varstvu podatkov (GDPR).
Celovita pokritost in vidnost
Varnostna programska oprema ESET omogoča, da preprečimo prenos podatkov iz podjetja na prenosne medije. Podjetje lahko na primer določi, kateri zaposleni smejo kopirati podatke s korporativnih naprav na USB ključe ali pa lahko dovoli prenos podatkov samo za določene ključe USB, katerih vsebina je šifrirana s ESET Endpoint Encryption. Z ESET Endpoint Security lahko podjetje prepreči dostop do določenih vrst spletnih mest; na primer spletna mesta, na katera zaposleni lahko naložijo poslovne podatke ali spletna mesta z nizkim ugledom, ki bi lahko bila vir okužbe z zlonamerno programsko opremo. Drugo koristno orodje je ESET Enterprise Inspector, ki omogoča tudi iskanje namernega zlonamernega vedenja zaposlenih.
Podatki iz vseh teh varnostnih rešitev so skrbnikom IT na voljo v jasni, organizirani obliki v ESET Centru za upravljanje varnosti (ESMC). Tako varnost IT v podjetju ne dobi samo dobrega pregleda nad dogajanjem v podjetniškem omrežju, ampak lahko v ESMC z enim klikom tudi reši varnostne incidente.
CTA: Preizkusite ESMC, našo zmogljivo nadzorno ploščo za upravljanje varnosti
ESET Center za upravljanje varnosti je vključen v vse rešitve ESET za podjetja.