Není žádným tajemstvím, že nejslabším článkem bezpečnosti interních firemních systémů jsou právě zaměstnanci. Zároveň mohou být ale i tou nejlepší obranou, pokud mají jasná a jednoduchá pravidla.
Útočníci nepotřebují žádné pokročilé schopnosti hackerů, aby se dostali do sítě společnosti, stačí jim obelstít lidi a navést je tak, aby klikli na ty správné odkazy. Podle Verizon Data Breach Investigations Report je phishing příčinou 90% odcizení dat a bezpečnostních incidentů. Je jasné, že zaměstnanci jsou otevřenou bránou pro útočníky. Ve výsledku se ale dají využít i jako první obranná linie. Podle Verizon jsou upozornění od pracovníků tím nejčastějším způsobem, jak dokáže organizace identifikovat a objevit kyberútoky. Pokud zaměstnance vyzbrojíte informacemi, díky kterým správně rozpoznají tyto útoky, zašijete tím kritickou mezeru v bezpečnosti firemního systému, na které vyhořelo už mnoho společností.
Zkratky a zjednodušování
Jeden z hlavních důvodů, proč bezpečnostní pravidla nefungují, je jejich složitost a tendence lidí si je zjednodušovat a zkracovat, čímž vlastně znehodnocují jejich původní účel. Jako příklad postačí pravidla pro změny hesel. Jsou tak komplikovaná a nepohodlná, že je většina zaměstnanců začne prostě ignorovat. Pracovníci mají povinnost měnit si pravidelně přístupová hesla. Když k tomu dochází každé tři měsíce, lidé mají určitý typ hesla zažitý a snaží se zjednodušit celý proces zautomatizování a zapamatování tím, že zkrátka jen přidají nějaké číslo na konec, nebo první malé písmeno nahradí velkým. Díky tomu je heslo mnohem snazší objevit a prolomit. Být kreativní je vyčerpávající, pokud je to vyžadováno opakovaně, leč mnoho společností na těchto kontraproduktivních pravidlech v zájmu bezpečnosti stále lpí.
Dalším příkladem, kdy interní bezpečnost kompromituje samu sebe, je podmínka vytvoření dlouhého a složitého hesla. Konstantně se po nás vyžaduje používat co nejsložitější hesla, ideálně řadu náhodných čísel, malých a velkých písmen a symbolů. Zaměstnanec tomuto úkolu čelí tak, jak je pro něj pochopitelně nejvýhodnější – pravidlo jednoduše ignoruje, nebo si vytvoří dlouhé a těžko zapamatovatelné heslo, které si musí napsat na papírek a přilepit k monitoru. Jedná se opět o falešný pocit dostatečného zabezpečení systémů.
Tyto zastaralé praktiky se už naštěstí setkávají s nesouhlasem, když byly prokázány jako neefektivní pro většinu organizací. Nyní se doporučuje použití správce hesel, jejich kopírování a vkládání do polí či několikastupňová ověření, jako jsou kódy a klíče zasílané do mobilních zařízení.
Přehlcenost pravidly
Dalším důvodem, proč zaběhnuté bezpečnostní praktiky nefungují, je absolutní přehlcení zaměstnanců návody a pravidly. Jejich komplexnost a množství se zkrátka nedá zapamatovat a pobrat. Ani školení o bezpečnosti nejsou efektivním řešením, pracovníci je většinou tráví předstíráním, že je to zajímá, nebo koukáním do telefonů. Snažíte se jim do hlavy natlouct zkrátka příliš mnoho informací, které by nikdo nebyl schopný pochopit a zapamatovat si je, byť mají pro IT sekci zásadní význam. Jedná se o zcela zbytečnou aktivitu, kterou jen plýtváte časem svých zaměstnanců.
IT pracovníkům se doporučuje pracovat tak, jak pracují hackeři, aby se problém vyřešil – svou práci přizpůsobit tak, jak je potřeba. Jako příklad lze uvést asi nejnebezpečnější phishing emaily, tedy útoky, cílené speciálně na vysoko postavené zaměstnance. Nejlépe fungují proto, že jsou přizpůsobené tak, aby obelstily přesně tu danou osobu, pro kterou jsou určeny. Žádost o rozepsání daněných položek či falešný příkaz k provedení bankovního převodu, který vypadá naprosto přesně, jako kdyby přišel od nadřízeného, zaslaný někomu z finančního oddělení za použití autentického jazyka – funguje to, protože útočníci využívají všechny možné detaily. Pokud se IT pracovníci zaměří na tento fakt spíš, než na obecné a komplexní školení pro všechny, pak teprve poskytnou zaměstnancům užitečné a cílené informace vztahující se k jejich práci, které spíš přijmou, pochopí a uvedou do praxe.
Většina testů interní bezpečnosti je příliš obecná. IT pracovníci mají tendence pro otestování zaslat všem zaměstnancům falešný phishingový mail, pro příklad, což se může jevit jako užitečná prevence, ne u všech organizací to ale přinese pozitivní výsledky. Testování uživatelů je delikátní záležitost, která musí být dávkovaná takovým způsobem, aby zaměstnanci neměli pocit, že je považujete za nedůvěryhodné.
Ty samé principy platí i v případě spolupráce a sdílení služeb třetích stran, jako je například Dropbox. Když se pokusíte tyto poměrně běžné nástroje zablokovat, uživatel si v drtivé většině případů najde a použije jiný program. Je mnohem efektivnější místo toho vysledovat, kdy zaměstnanci využívají těchto služeb a poskytnout jim cílený návod k tomu, jak je použít bezpečně či nabídnout firemní verzi se zaškolením ohledně bezpečnosti.
Otevřenost
Často přehlížený aspekt v otázce interní bezpečnosti jsou vztahy mezi zaměstnanci, IT pracovníky a bezpečnostním týmem. Ve většině organizací pohlíží zaměstnanci na bezpečnostní tým jako na svrchovanou a všudypřítomnou entitu, co jim konstantně zakazuje něco, co by jim mohlo ulehčit práci a pomoct jim, jako je třeba stažení externího softwaru. Ve vztahu k IT týmu si zaměstnanci zase neustále stěžují na dlouhou prodlevu mezi reakcemi helpdesku a mezi těmito sekcemi tím pádem panují rozporuplné vztahy. Pokud chcete skutečně zlepšit úroveň interní bezpečnosti organizace, je třeba tuto situaci změnit. Bezpečnostní a IT tým musí být v očích zaměstnanců jako nápomocný a užitečný rádce, ne producent omezení a pravidel.
Nejlepším způsobem, jak na to, je vytvořit příležitost a prostor pro vzájemnou interakci mezi zaměstnanci a IT pracovníky. Lze například zavést úřední hodiny, kdy mají zaměstnanci možnost volně využít IT tým, pokud potřebují pomoc či radu, aniž by to bylo považováno za obtěžování. IT pracovníci by měli projevit snahu seznámit se s tím, s čím se zaměstnanci v tomto oboru denně potýkají, a ne se objevit jen ve chvíli, kdy je vznesen nějaký požadavek.
Tou nejdůležitější věcí, co může organizace udělat, je vylepšit vztahy mezi IT pracovníky a zaměstnanci, kteří jsou citlivým datům nejblíž a tudíž mohou objevit a nahlásit nejvíc bezpečnostních anomálií a incidentů. Snaha poznat zaměstnance, jejich role a způsob, jakým vyžívají technologie, zvyšuje pravděpodobnost, že budou problémy a nesrovnalosti včas hlásit a lépe přijmou a pochopí bezpečnostní omezení a praktiky. Pomůže to i IT týmu správně a cíleně vzdělávat ohledně bezpečnosti jak celky, tak individua. Abyste skutečně naučili lidi novým zvykům a zabezpečili interní systém, bude to vyžadovat naprostou otevřenost a spolupráci jednotlivých složek organizace.
Přidejte odpověď