Firmy a technologie

Zaměstnanci jako první linie obrany proti hrozbám

09 Mar 2023

    Mnoho lidí si pod digitální bezpečností představí zejména její technické aspekty – zabezpečení koncových bodů, správce hesel a šifrování. Ačkoli jsou všechny tyto prvky pro budování bezpečnosti vaší společnosti zásadní, jsou to zaměstnanci, kdo stojí v první obranné linii a jsou nejnáchylnější k tomu, aby se stali cílem i nástrojem kybernetických hrozeb. S tímto předpokladem pracuje koncept „lidského firewallu“. Co je to lidská brána firewall a jak ji můžete vytvořit?

    S pokračujícím rozvojem digitálního světa pracují společnosti s větším množstvím citlivých dat. Pokud by se citlivé digitální informace nějakým způsobem dostaly do nesprávných rukou, mohla by být ohrožena bezpečnost celé firmy i jejích partnerů nebo klientů. Mnoho společností se před takovou situací snaží chránit pomocí progresivních technologií a pokročilých řešení, ale přitom stále musí pamatovat na jeden klíčový faktor: lidskou chybu. Takové chyby jsou hlavní příčinou úniků dat.

     

    Lidský firewall“ představuje skupinu lidí, kteří chrání svou společnost před kybernetickými hrozbami tím, že prokazují digitálně bezpečné chování, vnímají kybernetická nebezpečí a komunikují s IT oddělením, kdykoli se setkají s nějakým problémem.

     

    Rozvojem lidského firewallu mohou podniky efektivně čelit pokusům kyberzločinců, kteří často využívají zaměstnance jako vstupní bránu do firemních systémů. Kyberzločinci vycházejí z předpokladu, že lidé pravděpodobně dělají chyby, a proto se na zaměstnance zaměřují pomocí různých technik sociálního inženýrství a dalších útoků.

     

    Jaké jsou některé z nich?

     

    Phishing

    Phishingové útoky využívají důvěřivosti, zaneprázdněnosti nebo občasné nepozornosti zaměstnanců. Aby se lidského faktoru využilo ještě více, phishingové útoky často pracují s pocitem naléhavosti nebo nabízí odměnu.

     

    Phishingové útoky typicky vybízejí zaměstnance k rychlému kliknutí na odkaz nebo k okamžité změně hesla, pokud nechtějí čelit nepříjemným následkům, jako je ztráta přístupu k nepostradatelné aplikaci.

     

    whaling phishing attack

    Kybernetické vydírání

    Zatímco phishing vychází z představy, že běžný zaměstnanec je příliš zaneprázdněný nebo nepozorný, aby si všiml hrozby, kybernetičtí vyděrači se snaží lidi vyděsit a donutit je zaplatit peníze ze strachu, že odhalí jejich údaje. Vyděrač může například tvrdit, že příjemce sledoval prostřednictvím webové kamery při sledování pornografie a že zveřejní jeho snímky nebo videa, která ho při tom zachycují, pokud nedostane výkupné. V těchto případech by příjemce neměl propadat panice. Výhrůžky zločinců jsou často falešné a zaplacení požadované částky problém nevyřeší.

     

    Pokud je přece jen šance, že se někdo mohl zmocnit vašich intimních fotografií nebo videí a vydírá vás, obraťte se na PČR.

     

    Ztracená nebo odcizená zařízení

    Kyberzločinci neustále vyhledávají špatně zabezpečená pracovní zařízení – digitálně i fyzicky. V digitálním světě můžete svůj systém chránit pomocí různých bezpečnostních řešení. V reálném světě vás chrání především zodpovědné chování, které zločincům brání v krádeži notebooku nebo v nahlížení do cizího počítače.

     

    shoulder surfing

    Útoky v přestrojení

    Kyberzločinci se mohou pokusit oklamat zaměstnance tím, že se budou vydávat za někoho jiného, a to nejen online, ale i osobně. Mohou například přijít do vaší kancelářské budovy a vydávat se za zaměstnance, který si právě zapomněl vstupní kartu. Pokud zaměstnanci nebudou obezřetní, mohou vetřelce pustit do budovy a k citlivým údajům společnosti.

     

    war mumbling

    Škodlivé odkazy

    Škodlivé odkazy skryté na různých webových stránkách nebo ve vyskakovacích oknech se mohou snažit nalákat zaměstnance na zajímavou nabídku nebo je vyzvat k aktualizaci aplikací či softwaru.

     

    Škodlivé dokumenty

    Útočníci také často přikládají škodlivé soubory jako přílohy e-mailů. Poté, co uživatelé soubor otevřou, se jejich počítače nakazí malwarem. Infikovaný soubor může vypadat stejně nevinně jako běžný dokument aplikace Excel. Může však obsahovat škodlivé makro, které se po otevření dokumentu automaticky spustí.

     

    Postavte si ochrannou lidskou bránu firewall

    Úplný seznam hrozeb, které se zaměřují na zaměstnance, je podstatně delší, takže vytvoření funkční lidské brány firewall se stalo zásadním aspektem digitálního zabezpečení. Jak můžete ve své firmě vybudovat a udržovat lidský firewall?

     

    1. Vzdělávejte své zaměstnance. Musí vědět, jak odhalit hrozby a bezpečně na ně reagovat. Neustále rozvíjejte znalosti svých zaměstnanců. V ideálním případě začněte od prvního dne a zařaďte bezpečnostní vzdělávání jako součást nástupu do zaměstnání a možná zvažte úroveň bezpečnostního povědomí uchazeče už při náboru. Hledejte interaktivní způsoby, jak učinit bezpečnostní školení zábavným, poutavým a zapamatovatelným.

     

     

    2. Dělejte to jednoduše. Vytvořte snadno pochopitelné zásady a držte se jich. Nezatěžujte a nestresujte zaměstnance přílišným množstvím informací, ale zajistěte, aby každý zaměstnanec věděl, co má dělat a jak zůstat online v bezpečí. Nepřehlížejte základy a dejte zaměstnancům najevo, že by:

    • měli používat bezpečná hesla a pro každý účet mít samostatné heslo,
    • nikdy neměli klikat na neznámé odkazy nebo vyskakovací okna a otvírat přílohy z neznámých zdrojů,
    • měli kontaktovat IT tým, kdykoli je k dispozici nová aktualizace aplikace, a řídit se jeho pokyny,
    • se vždy měli odhlašovat a zamykat zařízení, pokud ho nechávají bez dozoru,
    • měli diskutovat citlivé pracovní informace pouze v soukromí a při online schůzkách používat sluchátka,
    • měli používat vícefázové ověřování (MFA).

     

    3. Zapojte všechny. Terčem kyberzločinců se může stát kdokoli – včetně recepčních. Nevynechávejte žádné zaměstnance a ujistěte se, že každý zná možné problémy, se kterými se může na své pozici setkat.

     

    4. Buďte tu pro své zaměstnance. Odhalení hrozby je jen jednou částí fungování lidské brány firewall. Nahlášení hrozby je další a stejně důležitou součástí. Pokud chcete, aby systém fungoval, měli by mít zaměstnanci pocit, že se mohou kdykoli obrátit na IT tým a probrat s ním případné pochybnosti.

     

    5. Vyhodnocujte dosažený pokrok. Můžete testovat povědomí zaměstnanců pomocí simulací phishingu. Zjistěte, zda se zaměstnanci drží základních bezpečnostních zásad a zda efektivně komunikují s IT týmem (například tím, že informují IT tým o všech nových „nezbytných“ aktualizacích nebo hlásí neobvyklé události).

     

    6. Odměňujte své zaměstnance. Předpokládejme, že vidíte, že vaši zaměstnanci komunikují s IT oddělením. V takovém případě si udržují digitálně bezpečné pracovní návyky a jsou ochotni se více učit a rozvíjet svoje znalosti digitální bezpečnosti. Nabídněte jim odměnu, kterou si zaslouží.

     

    7. Kombinujte lidský firewall s funkčním softwarovým řešením. Používejte ochranu koncových bodů, MFA, VPN a firewall a provádějte pravidelné aktualizace. Pamatujte, že využívání technických bezpečnostních řešení a lidského firewallu musí jít vždy ruku v ruce.

    Přečtěte si také

    Okouzleni sváteční náladou: Simulace útoku sociálního inženýrství

    Okouzleni sváteční náladou: Simulace útoku sociálního inženýrství

    Přijdete do práce a uvidíte plakát, který vás láká k získání „speciálního překvapení“ během vašeho vánočního večírku. Stačí naskenovat QR kód z plakátu a přihlásit se o svoji odměnu. Saháte s radostí po telefonu? Pokud ano, spolkli jste návnadu. Přečtěte si více o jedné simulaci útoku sociálního inženýrství a zjistěte, proč být vždy obezřetní, nejen když sedíte před obrazovkou.

    Sezóna phishingu je v plném proudu - odhalte podvodné e-maily dříve, než napáchají škodu

    Sezóna phishingu je v plném proudu - odhalte podvodné e-maily dříve, než napáchají škodu

    Vaši zaměstnanci již pravděpodobně obdrželi e-maily, které zdánlivě přicházejí z banky nebo oblíbené online služby a požadují „potvrzení“ přihlašovacích údajů k účtu nebo čísel platebních karet. Jedná se o běžnou techniku phishingu. Pokud kliknou na odkaz v e-mailu, dají šanci hackerům a jejich nekalým záměrům. Bohužel se phishingové návnady neustále mění a někdy je těžké je rozpoznat.

    7 aplikací, které mohou ohrozit vaše data

    7 aplikací, které mohou ohrozit vaše data

    Kolik aplikací máte nainstalováno ve svých zařízeních? V dnešní době používáme aplikace téměř ke všemu, od komunikace s ostatními až po zapisování nákupních seznamů. Některé aplikace však mohou představovat nenápadné nebezpečí pro bezpečnost vašich dat (a soukromí). Společně s Danielem Chromkem, manažerem informační bezpečnosti ve společnosti ESET, jsme probrali běžné způsoby, jakými lidé ohrožují svá data prostřednictvím aplikačních služeb.