6 razloga zbog kojih zaposleni krše bezbednosne polise
Bez obzira na (ne)opravdanost razloga, kompanija je pod dodatnim rizikom.
Pokazalo se u praksi da zaposleni u većini slučajeva krše sajber bezbednosna pravila ne svojom voljom, već kako bi obavili radne zadatke. Ako detaljnije analiziramo, iskristalisalo se 6 najčešćih razloga zbog kojih se to dešava:
1. Neznanje
Preko 90% sajber napada započinje phishingom. Neki od tih napada su više, a neki manje sofisticirani. Ono što je problematično je činjenica da veliki broj zaposlenih “pada” na phishing prevare, a to jasno ukazuje da posredi ima dosta neznanja i neobučenosti da se prepozna pretnja.
Isto važi i za nepoštovanje korporativnih polisa koje su ugrožene ako zaposleni ne koristi adekvatnu zaštitu za uređaj kada je na putu, skida rizične aplikacije ili čuva podatke u nezaštićenim javnim cloud skladištima.
Zabrinjavajuće deluje skorašnje istraživanje prema kome skoro polovina novozaposlenih i trećina svih zaposlenih ne zna da li kompanija u kojoj radi ima sajber bezbednosne polise. To ide na dušu kompanija koje očigledno nisu obavile neophodne obuke i objasnile zaposlenima sajber bezbednosna pravila kojih bi trebalo da se pridržavaju.
2. Zato što je “zgodno”
Često je zaposleni svestan da krši pravila, ali čini to zato što mu je tako lakše. Studija iz 2017. pokazuje da je 72% zaposlenih spremno da podeli osetljive, poverljive i tajne informacije pod određenim okolnostima, na primer kada misle da će se tako brže i efektnije obaviti posao. Odgovornost za kršenje pravila naravno leži na onima koji ih krše, ali stvar nije tako jednostavna. Bezbednosni timovi imaju odgovornost da ovakve pojave svedu na najmanju moguću meru tako što će omogućiti bezbedne i za primenu jednostavne alate, odnosno jasne i lako primenjive polise.
3. Frustracija
Ne potcenjujte moć frustracije koja može dovesti do toga da zaposleni grubo prekrši pravila. Čak i tehnički dobro obučen korisnik možda neće primeniti neophodne bezbednosne polise suočen sa, recimo, pritiskom završetka posla u roku.
4. Ambicija
Gartnerova prošlogodišnja procena je da je blizu 40% svih nabavki tehnologije u korporacijama inicirao menadžment, a ne IT sektor. To znači da postoji velika verovatnoća da se određena tehnologija koristi bez odobrenja IT/bezbednosnog sektora i odgovarajućeg nadzora. Motive za ovakvu (nepromišljenu) kupovinu i implementaciju tehnologije menadžment nalazi u velikoj ambiciji i želji za poslovnim uspehom.
5. Radoznalost
Zaposleni koji imaju pristup osetljivim informacijama ponekad ne mogu da odole da ne pogledaju “pikantne” informacije – od toga kolika je plata kolege u HR fajlu do otkrivanja interesantnih informacija o ključnim klijentima. Prema studiji iz 2017, oko 92% profesionalaca iz oblasti IT bezbednosti je navelo da su zaposleni pokušali da pristupe informacijama koje im nisu neophodne za svakodnevno poslovanje. Primenom principa minimalnih privilegija preko kontrole pristupa zasnovane na ulogama, zajedno sa zdravom dozom nadzora ponašanja korisnika, može se sprečiti da “radoznalost ubije sajber bezbednosne polise”.
6. Spremnost da se pomogne
Jedna od prevara koja je sajber kriminalcima prethodnih godina donela milijarde dolara je tzv. direktorska (BEC) prevara. U pitanju je sofisticirani, ciljani napad u kome sajber kriminalci varaju zaposlene da im prebace velike sume novca, eksploatišući njihovu želju da budu od pomoći i igrajući na kartu hitnosti. Jedna od čestih taktika je da pošalju email osobi zaduženoj za finansije glumeći vendora koji je u gužvi i kome hitno treba izvršiti plaćanje (uz promenu informacija o plaćanju).
Ovakvi napadi pokazuju ne samo potrebu za pojačanom odbranom od spear-phishinga, već i jačanje kontrolnih mehanizama vezanih za sisteme i procedure obavljanja finansijskih transakcija.
Izvor: Dark Reading