Vedoucí pracovník je atraktivním cílem pro kyberútočníky, a to ještě pokud důsledně nedodržuje pravidla bezpečnosti vaší společnosti.
Pokud jde o podnikovou kybernetickou bezpečnost, je důležité jít příkladem. Každý zaměstnanec by měl v kultuře „security-by-design“ zastávat svou roli. Když ale vedení společnosti nedokáže věnovat čas základům kybernetické hygieny, proč by to měl dělat zbytek společnosti?
Situaci ještě zhoršuje fakt, že zaměstnanci TOP a středního managementu jsou sami vysoce ceněným cílem pro kyberútočníky, protože mají přístup k citlivým informacím a pravomoc ke schvalování převodů peněz. Pokud tedy nebudou praktikovat to, co hlásají, může to vést ke značným finančním škodám a poškození pověsti společnosti.
Proč vrcholoví manažeři představují riziko pro kyberbezpečnost?
Zpráva společnosti Ivanti z roku 2023 odhaluje značný nesoulad mezi tím, co vrcholoví manažeři říkají, a tím, co skutečně dělají, pokud jde o kybernetickou bezpečnost. Zpráva je globálního charakteru a vznikla na základě rozhovorů s více než 6 500 vedoucími pracovníky, odborníky na kybernetickou bezpečnost a kancelářskými pracovníky v Evropě, USA, Číně, Japonsku a Austrálii.
Velký nesoulad ukazuje například v následujícím chování:
- Téměř všichni (96 %) respondenti tvrdí, že alespoň mírně podporují nebo investují ve své organizaci do kybernetické bezpečnosti.
- 78 % respondentů tvrdí, že jejich organizace provádí povinné školení bezpečnosti.
- 88 % respondentů tvrdí, že jsou připraveni rozpoznat a nahlásit hrozby, jako je malware a phishing.
Zatím to vypadá dobře. Ale bohužel to není celý příběh. Ve skutečnosti také mnoho vedoucích pracovníků:
- v uplynulém roce požádalo o obejití jednoho nebo více bezpečnostních opatření (49 %),
- používá snadno zapamatovatelná hesla (77 %),
- kliklo na phishingové odkazy (35 %),
- používá výchozí hesla pro pracovní aplikace (24 %).
Chování vedoucích zaměstnanců často zdaleka neodpovídá přijatelné bezpečnostní praxi. Je to pozoruhodné i ve srovnání s běžnými zaměstnanci. Pouze 14 % řadových zaměstnanců uvádí, že používá výchozí hesla, zatímco u manažerů je to 24 %. A u druhé skupiny je podle zprávy třikrát vyšší pravděpodobnost, že budou sdílet pracovní zařízení s neoprávněnými uživateli. Vedoucí pracovníci také dvakrát častěji popisují interakci s oddělením IT bezpečnosti jako „nepříjemnou“ a o 33 % častěji říkají, že se „necítí bezpečně“ při hlášení chyb, jako je kliknutí na phishingové odkazy.
Kroky ke zmírnění této vnitřní hrozby
Následující kroky jsou důležité zejména kvůli přístupovým právům, která řídící pracovníci v organizaci obvykle mají. V kombinaci se špatnými bezpečnostními postupy a „výjimečností vedoucích pracovníků“, která mnohé z nich vede k tomu, že žádají o výjimky, které jsou běžným zaměstnancům odepřeny, to z nich činí atraktivní cíl.
Zpráva tvrdí, že 47 % vedoucích pracovníků bylo v uplynulém roce cílem phishingu, zatímco u běžných kancelářských zaměstnanců je to 33 %. A 35 % z nich kliklo na škodlivý odkaz nebo poslalo peníze, zatímco u běžných zaměstnanců to bylo jen 8 %.
Bezpečnostní experti často hovoří o potřebě kultury „security-by-design“ nebo „security-centric“ kultury, kdy povědomí o osvědčených postupech a kybernetické hygieně prostupuje celou organizací. Toho je téměř nemožné dosáhnout, pokud stejné hodnoty nevyznává i vrcholové vedení.
Co tedy mohou organizace udělat pro zmírnění rizik, která vytváří jejich vedoucí pracovníci?
1. Provést interní audit činností vedoucích pracovníků za uplynulý rok. Mohlo by se jednat o aktivity na internetu, potenciální rizikové chování jako jsou zablokovaná kliknutí na phishingové odkazy, a interakce s IT správci. Vidíte v chování nějaké pozoruhodné vzorce, jako je nadměrné riskování nebo špatná komunikace? Z čeho se mohou poučit?
Nejdůležitějším cílem tohoto cvičení je pochopit, jak velkou mezeru mají manažeři v bezpečném chování a jak se projevuje ve vaší organizaci. V některých případech může být nutný externí audit, abyste získali nezávislý pohled na věc.
2. Od jednoduchého ke složitému. Nejdříve si posviťte na nejběžnější typy špatných bezpečnostních postupů, které lze nejsnáze opravit. Může to znamenat aktualizaci zásad přístupu s cílem zavést dvoufázové ověřování (2FA) pro všechny nebo zavedení zásad klasifikace a ochrany dat, které vyřadí určité materiály z dosahu konkrétních manažerských pozic. Stejně důležité jako aktualizace zásad je jejich pravidelná komunikace a vysvětlování, proč byly sepsány.
V celém tomto procesu je třeba se zaměřit na zavedení co nejméně rušivých kontrolních mechanismů, jako je automatické zjišťování, klasifikace a ochrana dat. To pomůže najít správnou rovnováhu mezi bezpečností a produktivitou zaměstnanců ve vedení firmy.
3. Propojte nesprávné postupy v oblasti zabezpečení s obchodními riziky. Jedním z možných způsobů, jak toho dosáhnout, je pořádání školení, která využívají techniky gamifikace a reálné scénáře, které pomohou vedoucím pracovníkům pochopit dopad nedostatečné kybernetické hygieny. Můžete například vysvětlit, jak phishingový odkaz může vést k narušení bezpečnosti nebo jak útok na firemní e-mail může přimět vedoucího pracovníka k převedení milionů korun podvodníkům.
Taková cvičení by se měla zaměřit nejen na to, co se stalo a jaká ponaučení si lze vzít z provozního hlediska, ale také na dopad na lidi, finance a pověst. Vedoucí pracovníky by mohlo zajímalo, jak závažné bezpečnostní incidenty vedly k tomu, že jejich kolegové byli nuceni opustit své funkce.
|
Článek 20 evropské směrnice NIS2 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU zahrnuje povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci. Členové řídících orgánů povinných osob musí absolvovat školení, aby tak získali dostatečné znalosti a dovednosti, aby mohli identifikovat rizika a posoudit postupy řízení kybernetických bezpečnostních rizik a jejich dopad na poskytované služby. |
4. Pracujte na budování vzájemné důvěry s vyšším vedením. Tohle může některé IT a security manažery vyvést z komfortní zóny. Jak vysvětluje výše zmíněná zpráva, znamená to upřímný a přátelský přístup a podporu, nikoli odsouzení nebo povýšenost, které často následují, když zaměstnanec udělá chybu.
Důraz by měl být kladen spíše na poučení se z chyb než na vyčleňování jednotlivců. Ano, měli by chápat důsledky svých činů, ale vždy v rámci neustálého zlepšování a učení se.
5. Věnujte vedoucím pracovníkům zvláštní péči. Řídící pracovníci častěji než řadoví zaměstnanci uvádějí, že se při interakci s oddělením bezpečnosti cítí trapně. Jejich kybernetická hygiena je horší a jsou větším cílem pro útočníky. To vše jsou dobré důvody, proč věnovat zvláštní pozornost této relativně malé skupině zaměstnanců.
Zvažte zřízení speciálního kontaktu, kam se může TOP a střední management obracet, a speciálně navržená školení a procesy při nástupu a odchodu. Cílem je vybudovat důvěru, osvědčené postupy a snížit překážky při hlášení bezpečnostních incidentů.
Mnohé z těchto kroků budou vyžadovat změnu kultury ve společnosti, která si samozřejmě vyžádá čas. Pokud však budete k vedoucím pracovníkům upřímní, zavedete správné procesy a kontrolní mechanismy a představíte jim důsledky špatné kybernetické hygieny, budete mít velkou šanci na úspěch. Bezpečnost je týmový sport, ale měl by začínat u kapitána.
