Pomóż pracownikowi odeprzeć cyberatak

opublikowano: 27-11-2022, 20:00
Play icon
Posłuchaj
Speaker icon
Close icon
Zostań subskrybentem
i słuchaj tego oraz wielu innych artykułów w pb.pl

Szefowie, uczcie w firmach czujności i odpowiedzialności za otwarcie cyberprzestępcom drzwi do danych – apelują eksperci. Człowiek to wciąż najsłabsze ogniwo w łańcuchu obrony.

Przeczytaj artykuł, a dowiesz się:

  • w jakim stopniu błędy ludzkie przyczyniają się do cyberataków,
  • w jaki sposób firma powinna zadbać o zwiększenie wewnętrznej świadomości do cyberbezpieczeństwa,
  • dlaczego edukacja pracowników nie może poprzestać na jednym szkoleniu.

W ponad połowie polskich firm w 2021 r. stwierdzono wzrost podatności na cyberataki, a u 64 proc. zanotowano co najmniej jeden taki incydent, co stanowi wzrost o 10 proc. w porównaniu do 2019 r. – podaje EY. Częściowo jest to rezultat wymuszonego pandemią COVID-19 wdrożenia na szerszą skalę pracy zdalnej, w której od pracowników w większym niż do tej pory stopniu zależy bezpieczeństwo firmowych danych. Na skuteczność działań przestępców wciąż olbrzymi wpływ mają zachowania człowieka – jego czujność i znajomość zagrożeń.

– Pracownicy wciąż pozostają najsłabszym ogniwem w obronie cyberbezpieczeństwa w firmach. Według tegorocznych danych, 25 proc. wszystkich naruszeń było wynikiem ataków socjotechnicznych, a gdy dodamy do tego błędy człowieka i niewłaściwe wykorzystanie uprawnień, to czynnik ludzki przyczynił się do 82 proc. analizowanych naruszeń w ciągu ostatniego roku – podkreśla Aneta Legenza, specjalistka ds. cyberbezpieczeństwa i partner w EY Polska.

Furtką socjosztuczki

Dave Russell, wiceprezes ds. strategii korporacyjnej w firmie Veeam, zwraca uwagę, że według raportu tej firmy w większości przypadków furtką dla cyberprzestępców są właśnie błędy użytkowników firmowych sieci.

– Przestępcy stosują zaawansowane socjotechniki, które mają wzbudzić poczucie zagrożenia i zarazem skłonić do szybkiego działania, zanim zdążymy się zastanowić. Jeśli konto pracownika zostanie przez nich przejęte, to już prosta droga do infiltracji sieci i wykradania czy niszczenia cennych danych – zauważa Dave Russell.

Konieczna ciągła gotowość:
Konieczna ciągła gotowość:
Czujność i podejrzliwość musi być chlebem powszednim, bo cyberprzestępcy wymyślają coraz to nowe sposoby, by wkraść się do firmowych kont, a potem do cennych danych przedsiębiorstwa. Na udanych atakach traci ono nie tylko wizerunkowo.
Adobe Stock

Eksperci jednomyślnie podkreślają, że w obliczu coraz to nowych sztuczek cyberprzestępców należy non stop podnosić poziom świadomości pracowników, ich odporności na ataki i umiejętności wykrycia oszustwa. Zdaniem ekspertki EY Polska dobrą praktyką jest wyznaczenie członka zarządu odpowiedzialnego za system informacyjno-komunikacyjny (ICT). Przy czym wystarczy do tego ogólne rozeznanie, niekoniecznie trzeba mieć fachową i głęboką wiedzę na ten temat.

– Taka osoba odpowiada wobec firmy jak pracownik za monitorowanie ryzyka ICT, czyli np. za pozyskiwanie raportów, zaleceń i ich kierunkowej oceny, przedstawianie zbiorczej informacji – wyjaśnia Aneta Legenza.

Jej zdaniem w dobrze funkcjonującej firmie wręcz konieczne jest wyznaczenie wewnętrznego zakresu współodpowiedzialności za cyberochronę.

– Daje to pracownikom poczucie spokoju. Wiedzą, za co odpowiadają w przypadku wycieku danych, włamania do systemu czy ataków typu ransomware. Wymaga to kompleksowego podejścia, także z uwzględnieniem pracowniczych regulacji Kodeksu pracy – mówi ekspertka EY Polska.

Podpowiada, aby zastosować podział odpowiedzialności - przypisać ją precyzyjnie do stanowisk, biorąc pod uwagę kompetencje pracowników. Powierzając zatrudnionemu mienie, np. laptopa z danymi firmy, warto zawrzeć odrębną pisemną umowę dotyczącą zakresu jego odpowiedzialności.

– Trzeba przy tym wiedzieć, że granice odpowiedzialności pracownika wyznacza trzymiesięczne wynagrodzenie oraz rzeczywista szkoda wyrządzona pracodawcy. Nie obejmuje ona reputacji i strat wizerunkowych, co wydaje się kluczowe z biznesowego punktu widzenia skutków cyberataków – zauważa Aneta Legenza.

Podkreśla, że ściśle określone procedury i standardy ICT mogą różnić się w firmie inwestycyjnej czy zakładzie produkcyjnym, ale ułatwią dochodzenie, czy i za co w danej sytuacji pracownik poniesie odpowiedzialność zgodnie z Kodeksem pracy.

– Według kodeksu pracownik nie odpowiada za szkodę wynikłą w związku z działaniem w granicach dopuszczalnego ryzyka – przypomina ekspertka EY Polska.

Jak ćwiczenia na siłowni

Dave Russell zastrzega, że mechanizmy ochrony przed atakami i ich skutkami nie zadziałają w każdym przypadku.

– Aby zminimalizować ryzyko, wszystkie prośby o dostęp do zasobów powinny być sprawdzane, choćby nawet dotyczyły zaufanych pracowników czy osób z kadry zarządzającej. Model zerowego zaufania, tak zwany Zero Trust, zawsze zakłada naruszenie firmowego systemu i to, że dane są zagrożone. Weryfikowane muszą być tożsamość, lokalizacja, stan urządzenia – nie tylko przez uwierzytelnianie wieloskładnikowe, ale też zmniejszanie uprawnień i ograniczanie dostępu tylko do danych i aplikacji potrzebnych danej osobie w pracy. Takie podejście funkcjonuje od niemal 30 lat. Niemniej badanie CyberRisk Alliance wykazało, że wciąż tylko 35 proc. liderów bezpieczeństwa dobrze zna tę praktykę – zwraca uwagę wiceprezes Veeam.

Przyznaje, że zasady zerowego zaufania mogą być przez pracowników odbierane jako niewygodne, utrudniające i wydłużające pracę. Dlatego priorytetem powinna być otwarta komunikacja, ostrzeganie o zagrożeniach i tłumaczenie korzyści – kierownictwu, specjalistom IT, pracownikom administracji czy HR. Poza tym model Zero Trust powinien być regularnie sprawdzany.

– Cyberbezpieczeństwo jest jak ćwiczenia na siłowni. Tylko systematyczne działania przyniosą efekty. Jeśli zrobisz przerwę, będziesz stopniowo wracać do punktu wyjścia – tłumaczy Dave Russell.

– Nie wystarczy zorganizować szkolenia lub zakupić system e-kursów czy jednorazowo przekazać wiedzę teoretyczną i wskazówki najlepszych praktyk radzenia sobie z cyberzagrożeniami. Jedynie przemyślane, kompleksowe, zaplanowane, regularne i długofalowe działania, będące stałym elementem systemu bezpieczeństwa, dają szansę powodzenia – przyznaje Aneta Legenza.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane