Mnoho malých a středních firem si myslí, že se obejdou bez řešení kybernetické bezpečnosti, jelikož věří, že pro kyberzločince nepředstavují dostatečně zajímavý cíl.

Nedávná studie však uvádí, že na takové firmy míří téměř 46 % všech kybernetických útoků. Podle údajů Světového ekonomického fóra je přitom 95 % případů narušení kybernetické bezpečnosti připisováno lidské chybě.

Tyto údaje ukazují, že firmy si možná ani neuvědomují, že jejich zaměstnanci mohou neúmyslně, či dokonce úmyslně, narušit prosperitu svého zaměstnavatele. Některé nevhodné chování může vést k finančním ztrátám, poškození pověsti nebo snížení produktivity celé firmy.

Jak mohou zaměstnanci a jejich nedbalost či pomstychtivost ovlivnit kybernetickou bezpečnost nebo fungování malé a střední firmy?

Malá neopatrnost může způsobit velké škody

Podle průzkumu společnosti Kaspersky 2022 IT Security Economics, který zahrnoval rozhovory s více než 3 000 manažery IT bezpečnosti ve 26 zemích, bylo přibližně 22 % úniků dat v sektoru malých a středních firem zaviněno zaměstnanci, přičemž téměř stejný podíl byl způsoben kybernetickými útoky. V nadsázce lze říci, že zaměstnanci mohou být téměř stejně nebezpeční jako hackeři, i když ve většině případů k tomu samozřejmě dochází kvůli jejich nedbalosti nebo nedostatečné informovanosti.

Existují různé způsoby, jak může jednání zaměstnanců nechtěně vést k závažnému narušení a poškození kybernetické bezpečnosti malých a středních firem. Mezi ty hlavní patří:

1. Slabá hesla

Zaměstnanci mohou používat jednoduchá nebo snadno uhodnutelná hesla, která mohou kyberzločinci lehce odhalit, což v konečném důsledku vede k neoprávněnému přístupu k citlivým údajům. Existuje dokonce seznam nejčastěji prolomených hesel – zkontrolujte, zda mezi nimi není i to vaše.

2. Phishingové podvody

Zaměstnanci mohou nevědomky nebo omylem kliknout na phishingové odkazy v e-mailech, což může vést k infekci malwarem a neoprávněnému přístupu do firemní sítě. Většina podvodníků dokáže napodobit e-mailovou adresu legitimní organizace a z odeslaného e-mailu s přiloženým dokumentem nebo archivem se může vyklubat malware. Nedávným příkladem je útok Agent Tesla, který postihl uživatele po celém světě.

3. Používání soukromých zařízení zaměstnanců (BYOD)

Praktiky BYOD získaly na významu v důsledku řady lockdownů v době vrcholící pandemie COVID-19. V této době byli zaměstnanci, jejichž přítomnost na pracovišti nebyla nezbytná, nuceni pracovat z domova a v myslích manažerů firem byla na prvním místě kontinuita provozu, nikoli bezpečnost.

Zaměstnanci používají pro připojení k firemním sítím často vlastní zařízení, což může představovat vážnou bezpečnostní hrozbu, pokud tato zařízení nemají odpovídající ochranu proti kybernetickým útokům. Vzhledem k tomu, že se každý den objeví více než 400.000 nových škodlivých programů a počet cílených útoků na firmy roste, ocitají se firmy ve velmi nebezpečné situaci. Zároveň většina firem neplánuje (nebo považuje za nemožné) zcela zablokovat přístup osobních zařízení k firemním datům.

Nezabezpečená firemní data uložená v osobním notebooku, který se ztratí na letišti nebo je zapomenut v taxíku, jsou typickou noční můrou nepřipraveného IT oddělení. Řada firem to řeší tak, že zaměstnancům povolí pracovat pouze v kanceláři na schválených počítačích s velmi omezenými možnostmi odesílání dat a zákazem používání USB flash disků. Tento přístup však nelze použít ve firmě, která kvůli větší flexibilitě spoléhá na vlastní zařízení zaměstnanců – to by však nemělo znamenat rezignaci na bezpečnost. Ideálním řešením problému ztráty zařízení je úplné nebo částečné šifrování firemních dat, které je vynucováno firemními předpisy. Tak by ani v případě odcizení notebooku nebo USB disku nebyla data na něm přístupná bez znalosti hesla.

4. Nedostatečné záplatování

Pokud zaměstnanci používají vlastní zařízení, pracovníci IT oddělení nemusí být schopni sledovat jejich zabezpečení nebo řešit případné bezpečnostní problémy. Zaměstnanci mohou navíc zanedbávat pravidelné instalace záplat nebo aktualizace svých systémů a softwaru, což může vést ke zranitelnostem, které mohou zneužít kyberzločinci.

5. Ransomware

Pro případ útoku ransomwaru je důležité zálohovat data tak, abyste je měli k dispozici i v případě, že se kyberzločincům podařilo ovládnout systém organizace a zašifrovat důležité informace.

6. Sociální inženýrství

Zaměstnanci mohou v reakci na taktiku sociálního inženýrství nebo phishingové podvody neúmyslně poskytnout citlivé informace, jako jsou přihlašovací údaje, hesla nebo jiné důvěrné údaje. Snadněji se nechají oklamat noví zaměstnanci, kteří ještě nevědí, „jak to ve firmě chodí“. Podvodník se například může před nováčkem vydávat za „šéfa“ a pak se pokusit ukrást některé důležité interní informace nebo vylákat peníze.

Jedním z příkladů, jak podvodníci pracují, je zaslání e-mailu, v němž se vydávají za šéfa nebo nějakého nadřízeného (s použitím neoficiální adresy) a žádají zaměstnance, aby „neodkladně“ splnil nějaký úkol. Nováček mu rád vyhoví. Úkolem může být například převod finančních prostředků dodavateli nebo nákup dárkových certifikátů v určité hodnotě. A ve zprávě je uvedeno, že to má být “ASAP” a “peníze dostanete zpět do konce dne”. Podvodníci zdůrazňují právě naléhavost úkolu, aby zaměstnanec neměl čas si to promyslet nebo ověřil u někoho jiného.

Jsou to chyby, kterých se zaměstnanci mohou dopustit z neznalosti nebo nedbalosti. Co se však může stát, když se zaměstnanec snaží úmyslně narušit bezpečnost organizace v době, kdy je zaměstnán, nebo těsně po odchodu z firmy? Pak mohou nastat další potíže.

Touha po pomstě

Ačkoli za většinou úniků stojí nevinné chyby nebo ignorování zásad kybernetické bezpečnosti, bezpečnostní manažeři uvedli, že zhruba třetina úniků způsobených zaměstnanci byla úmyslnými akty sabotáže nebo průmyslové špionáže.

Společnost Kaspersky informovala o několika problémech souvisejících s úmyslnou sabotáží. Jeden z příkladů nastal, když bývalý pracovník dodavatele zdravotnických prostředků sabotoval dodávky zákazníkům – poté, co byl propuštěn, použil vlastní „tajný účet“, aby zdržel proces dodávek. Jelikož zdravotnická organizace nebyla schopna dodávat zboží včas, byla nucena dočasně pozastavit všechny obchodní operace a přerušení přetrvávalo i o několik měsíců později. Nakonec byla firma nucena obrátit se na orgány činné v trestním řízení.

Dalším takovým případem bylo, když zaměstnanec IT oddělení podal na organizaci stížnost kvůli rasové diskriminaci. Když mu byl nabídnut příspěvek na změnu pracoviště, odmítl a trval na práci z domu. Byl proto propuštěn a rozhodl se svému bývalému zaměstnavateli pomstít. Změnil heslo k firemnímu účtu na Googlu, čímž znemožnil dřívějším kolegům přístup k e-mailu a zablokoval více než 2 000 studentů přístup ke studijním materiálům.

Tyto příklady ukazují, jak mohou propuštění zaměstnanci v touze po pomstě způsobit svému někdejšímu zaměstnavateli opravdu velkou škodu.

Co by měly malé a střední firmy udělat?

Velký počet kybernetických incidentů, které jsou důsledkem jednání zaměstnanců, ukazuje, že všechny organizace potřebují důkladné školení o kybernetické bezpečnosti, aby se zaměstnanci naučili, jak se vyhnout běžným bezpečnostním chybám.

Firmy by měly používat ochranu koncových bodů s funkcemi detekce hrozeb a reakce na ně, aby snížily riziko útoků a narušení dat. S vyšetřováním útoků a profesionální reakcí mohou organizacím pomoci také spravované služby ochrany. Pro snížení možnosti incidentů způsobených zaměstnanci jsou také nezbytná výše zmíněná školení.

Abyste si mohli být opravdu jistí, že je s kybernetickou bezpečností vaší firmy vše v pořádku, následujte seznam doporučení:

• Používejte řešení ochrany koncových bodů a e-mailových serverů s antiphishingovými funkcemi, abyste snížili pravděpodobnost nákazy prostřednictvím phishingového e-mailu.
• Zaveďte nezbytná opatření na ochranu dat. Vždy zabezpečte firemní data a zařízení, včetně zapnutí ochrany heslem, šifrování na pracovních zařízeních a zajištění zálohování dat.
• Dbejte na fyzickou bezpečnost pracovních zařízení – nenechávejte je bez dozoru na veřejnosti, vždy je zamykejte a používejte silná hesla a šifrovací software.
• I malé firmy by se měly chránit před kybernetickými hrozbami bez ohledu na to, zda zaměstnanci pracují na firemních nebo soukromých zařízeních.
• Najděte si vhodné specializované řešení pro malé a střední firmy s jednoduchou správou a osvědčenými ochrannými funkcemi.

Zdroj: protext.cz; JM