Mnoho lidí si pod digitální bezpečností představí zejména její technické aspekty – zabezpečení koncových bodů, správce hesel a šifrování. Ačkoli jsou všechny tyto prvky pro budování bezpečnosti vaší společnosti zásadní, jsou to zaměstnanci, kdo stojí v první obranné linii a jsou nejnáchylnější k tomu, aby se stali cílem i nástrojem kybernetických hrozeb. S tímto předpokladem pracuje koncept „lidského firewallu“. Co je to lidská brána firewall a jak ji můžete vytvořit?
S pokračujícím rozvojem digitálního světa pracují společnosti s větším množstvím citlivých dat. Pokud by se citlivé digitální informace nějakým způsobem dostaly do nesprávných rukou, mohla by být ohrožena bezpečnost celé firmy i jejích partnerů nebo klientů. Mnoho společností se před takovou situací snaží chránit pomocí progresivních technologií a pokročilých řešení, ale přitom stále musí pamatovat na jeden klíčový faktor: lidskou chybu. Takové chyby jsou hlavní příčinou úniků dat.
„Lidský firewall“ představuje skupinu lidí, kteří chrání svou společnost před kybernetickými hrozbami tím, že prokazují digitálně bezpečné chování, vnímají kybernetická nebezpečí a komunikují s IT oddělením, kdykoli se setkají s nějakým problémem.
Rozvojem lidského firewallu mohou podniky efektivně čelit pokusům kyberzločinců, kteří často využívají zaměstnance jako vstupní bránu do firemních systémů. Kyberzločinci vycházejí z předpokladu, že lidé pravděpodobně dělají chyby, a proto se na zaměstnance zaměřují pomocí různých technik sociálního inženýrství a dalších útoků.
Jaké jsou některé z nich?
Phishing
Phishingové útoky využívají důvěřivosti, zaneprázdněnosti nebo občasné nepozornosti zaměstnanců. Aby se lidského faktoru využilo ještě více, phishingové útoky často pracují s pocitem naléhavosti nebo nabízí odměnu.
Phishingové útoky typicky vybízejí zaměstnance k rychlému kliknutí na odkaz nebo k okamžité změně hesla, pokud nechtějí čelit nepříjemným následkům, jako je ztráta přístupu k nepostradatelné aplikaci.
Kybernetické vydírání
Zatímco phishing vychází z představy, že běžný zaměstnanec je příliš zaneprázdněný nebo nepozorný, aby si všiml hrozby, kybernetičtí vyděrači se snaží lidi vyděsit a donutit je zaplatit peníze ze strachu, že odhalí jejich údaje. Vyděrač může například tvrdit, že příjemce sledoval prostřednictvím webové kamery při sledování pornografie a že zveřejní jeho snímky nebo videa, která ho při tom zachycují, pokud nedostane výkupné. V těchto případech by příjemce neměl propadat panice. Výhrůžky zločinců jsou často falešné a zaplacení požadované částky problém nevyřeší.
Pokud je přece jen šance, že se někdo mohl zmocnit vašich intimních fotografií nebo videí a vydírá vás, obraťte se na PČR.
Ztracená nebo odcizená zařízení
Kyberzločinci neustále vyhledávají špatně zabezpečená pracovní zařízení – digitálně i fyzicky. V digitálním světě můžete svůj systém chránit pomocí různých bezpečnostních řešení. V reálném světě vás chrání především zodpovědné chování, které zločincům brání v krádeži notebooku nebo v nahlížení do cizího počítače.
Útoky v přestrojení
Kyberzločinci se mohou pokusit oklamat zaměstnance tím, že se budou vydávat za někoho jiného, a to nejen online, ale i osobně. Mohou například přijít do vaší kancelářské budovy a vydávat se za zaměstnance, který si právě zapomněl vstupní kartu. Pokud zaměstnanci nebudou obezřetní, mohou vetřelce pustit do budovy a k citlivým údajům společnosti.
Škodlivé odkazy
Škodlivé odkazy skryté na různých webových stránkách nebo ve vyskakovacích oknech se mohou snažit nalákat zaměstnance na zajímavou nabídku nebo je vyzvat k aktualizaci aplikací či softwaru.
Škodlivé dokumenty
Útočníci také často přikládají škodlivé soubory jako přílohy e-mailů. Poté, co uživatelé soubor otevřou, se jejich počítače nakazí malwarem. Infikovaný soubor může vypadat stejně nevinně jako běžný dokument aplikace Excel. Může však obsahovat škodlivé makro, které se po otevření dokumentu automaticky spustí.
Postavte si ochrannou lidskou bránu firewall
Úplný seznam hrozeb, které se zaměřují na zaměstnance, je podstatně delší, takže vytvoření funkční lidské brány firewall se stalo zásadním aspektem digitálního zabezpečení. Jak můžete ve své firmě vybudovat a udržovat lidský firewall?
1. Vzdělávejte své zaměstnance. Musí vědět, jak odhalit hrozby a bezpečně na ně reagovat. Neustále rozvíjejte znalosti svých zaměstnanců. V ideálním případě začněte od prvního dne a zařaďte bezpečnostní vzdělávání jako součást nástupu do zaměstnání a možná zvažte úroveň bezpečnostního povědomí uchazeče už při náboru. Hledejte interaktivní způsoby, jak učinit bezpečnostní školení zábavným, poutavým a zapamatovatelným.
2. Dělejte to jednoduše. Vytvořte snadno pochopitelné zásady a držte se jich. Nezatěžujte a nestresujte zaměstnance přílišným množstvím informací, ale zajistěte, aby každý zaměstnanec věděl, co má dělat a jak zůstat online v bezpečí. Nepřehlížejte základy a dejte zaměstnancům najevo, že by:
- měli používat bezpečná hesla a pro každý účet mít samostatné heslo,
- nikdy neměli klikat na neznámé odkazy nebo vyskakovací okna a otvírat přílohy z neznámých zdrojů,
- měli kontaktovat IT tým, kdykoli je k dispozici nová aktualizace aplikace, a řídit se jeho pokyny,
- se vždy měli odhlašovat a zamykat zařízení, pokud ho nechávají bez dozoru,
- měli diskutovat citlivé pracovní informace pouze v soukromí a při online schůzkách používat sluchátka,
- měli používat vícefázové ověřování (MFA).
3. Zapojte všechny. Terčem kyberzločinců se může stát kdokoli – včetně recepčních. Nevynechávejte žádné zaměstnance a ujistěte se, že každý zná možné problémy, se kterými se může na své pozici setkat.
4. Buďte tu pro své zaměstnance. Odhalení hrozby je jen jednou částí fungování lidské brány firewall. Nahlášení hrozby je další a stejně důležitou součástí. Pokud chcete, aby systém fungoval, měli by mít zaměstnanci pocit, že se mohou kdykoli obrátit na IT tým a probrat s ním případné pochybnosti.
5. Vyhodnocujte dosažený pokrok. Můžete testovat povědomí zaměstnanců pomocí simulací phishingu. Zjistěte, zda se zaměstnanci drží základních bezpečnostních zásad a zda efektivně komunikují s IT týmem (například tím, že informují IT tým o všech nových „nezbytných“ aktualizacích nebo hlásí neobvyklé události).
6. Odměňujte své zaměstnance. Předpokládejme, že vidíte, že vaši zaměstnanci komunikují s IT oddělením. V takovém případě si udržují digitálně bezpečné pracovní návyky a jsou ochotni se více učit a rozvíjet svoje znalosti digitální bezpečnosti. Nabídněte jim odměnu, kterou si zaslouží.
7. Kombinujte lidský firewall s funkčním softwarovým řešením. Používejte ochranu koncových bodů, MFA, VPN a firewall a provádějte pravidelné aktualizace. Pamatujte, že využívání technických bezpečnostních řešení a lidského firewallu musí jít vždy ruku v ruce.