Jest sierpień 2019 roku. Dział księgowości spółki Toyota Boshoku Corporation wykonuje swoje obowiązki i nie świadomi przyszłości pracownicy jeszcze nie widzą, że właśnie się odbywa jeden z największych cyberataków kierowany w sektor biznesu.
Cyberprzestępcy podszywając się pod jednego z partnerów biznesowych wysyłają starannie spreparowane wiadomości e-mail. Te e-maile prosiły o przesłanie środków na określone konto bankowe, które było kontrolowane przez hakerów. Był to atak typu BEC.
Wkrótce po dokonaniu transferu eksperci ds. bezpieczeństwa spółki zdali sobie sprawę, że zostali oszukani. Jednak było już za późno, aby zatrzymać transfer.
Firma poniosła straty w wysokości 37,3 miliona dolarów.
Człowiek na pierwszej linii
O cyberbezpieczeństwie mówi się coraz więcej. Jest to pozytywne zjawisko. Jednak w obliczu coraz częstszych cyberataków wiele organizacji ukierunkowało swoje inwestycje głównie w zabezpieczenia opierające się na rozwiązaniach technologicznych. Czy to odpowiednie podejście?
Według badań IBM błąd ludzki jest główną przyczyną 95% naruszeń cyberbezpieczeństwa. Można powiedzieć, że kiedy wyeliminujemy błąd ludzki to 19 na 20 cyberwłamań może nie mieć miejsca!
Czym jest błąd ludzki?
W kontekście bezpieczeństwa błąd ludzki oznacza niezamierzone działania – lub brak działania – przez pracowników i użytkowników, które powodują, rozprzestrzeniają się lub pozwalają na naruszenie bezpieczeństwa.
Chociaż możliwości ludzkiego błędu są nieskończone, można je ogólnie podzielić na dwa różne typy: błędy oparte na umiejętnościach i oparte na decyzjach. Różnica między nimi jest zasadnicza, sprowadza się do tego, czy dana osoba miała wymaganą wiedzę, aby wykonać prawidłowe działanie.
Jeśli chcemy zminimalizować wystąpienie błędu ludzkiego powinniśmy zbudować odpowiednią kulturę organizacyjną zorientowaną na bezpieczeństwo.
Zmiana kultury pracy
Kultura skoncentrowana na bezpieczeństwie ma kluczowe znaczenie w ograniczaniu błędów ludzkich. W kulturze bezpieczeństwa bezpieczeństwo jest brane pod uwagę przy każdej decyzji i działaniu, a użytkownicy końcowi będą aktywnie wyszukiwać i omawiać problemy związane z bezpieczeństwem w miarę ich napotykania.
Zachęcajmy do dyskusji. Jednym z najlepszych sposobów zapewnienia bezpieczeństwa na pierwszym miejscu jest zachęcenie ludzi do rozmowy o tym. Poruszajmy dyskusje na tematy związane z bezpieczeństwem — i upewnijmy się, że są one istotne dla codziennych czynności użytkowników końcowych, aby zwiększyć prawdopodobieństwo ich zaangażowania. Pomoże nam to zobaczyć, co każdy może zrobić osobiście, aby pomóc w utrzymaniu bezpieczeństwa Twojej organizacji.
Ułatwiajmy zadawanie pytań. W ramach procesu uczenia się użytkownicy końcowi prawdopodobnie natkną się na wiele sytuacji, w których nie będą pewni konsekwencji związanych z bezpieczeństwem. W takich sytuacjach lepiej, aby zapytali nas lub kogoś innego posiadającego wiedzę, zamiast zgadywać i ryzykować samodzielnym dokonaniem złego wyboru. Upewnijmy się, że ktoś jest zawsze dostępny, aby odpowiedzieć na wszelkie pytania użytkowników końcowych w przyjazny sposób i nagradzajmy użytkowników, którzy zadają dobre pytania.
Używajmy plakatów i broszur. Plakaty i wskazówki dotyczące bezpieczeństwa służą jako małe przypomnienia, które pomagają upewnić się, że użytkownicy końcowi myślą o bezpieczeństwie przez cały dzień pracy. Plakat z informacjami o silnych hasłach pozwoli na przykład użytkownikom łatwo sprawdzić, jakie są wymagania dotyczące bezpieczeństwa kont firmowych.
Unikajmy stresu i niezdrowej presji. Badania prowadzone nad cyberbezpieczeństwem pokazują, że w sytuacjach mocno stresowych często dochodzi do błędów. Pracownicy odpowiadając na pytanie, dlaczego nie przestrzegali zasad bezpieczeństwa odpowiadali: „aby lepiej wykonywać zadania związane z moją pracą”, „musiałem szybko zdobyć coś, czego potrzebowałem” i „musiałem pomóc innym w wykonaniu ich pracy”. Te trzy odpowiedzi stanowiły 85% przypadków, w których pracownicy świadomie złamali przepisy.
Nie zapominajmy o szkoleniu
Szkolenie w zakresie świadomości cyberbezpieczeństwa dla wszystkich pracowników, niezależnie od pełnionej funkcji, jest absolutną koniecznością, jeśli organizacja poważnie myśli o ochronie swoich danych wrażliwych.
Warto przetestować kadrę pracowniczą testami phishingowymi, które są dostępne w sieci. W zaledwie 10 minut będziemy wstanie zweryfikować jaki procent zespołu jest na to podatny. Pamiętajmy o zmienianiu haseł oraz stosowaniu 2FA. Upewnijmy się, że pracownicy używają oprogramowania do zarządzania hasłami do przechowywania i szyfrowania wszystkich swoich haseł. Tworzone przez nich hasła powinny być unikalne dla każdej witryny lub aplikacji ze znakami alfanumerycznymi. Uwierzytelnianie dwuskładnikowe powinno być obowiązkową praktyką dla wszystkich pracowników.
Jak reagować?
Dla personelu IT odpowiedzialnego za cyberbezpieczeństwo organizacji niezbędna jest nauka prawidłowego reagowania na zagrożenie lub naruszenie cyberbezpieczeństwa. Posiadanie ustalonego planu działania na wypadku zagrożenia lub naruszenia cyberbezpieczeństwa pozwoli na natychmiastowe działanie w celu powstrzymania szkody i ochrony danych wrażliwych.
Niektóre tematy, które należy uwzględnić, to:
- Ustalenie źródła ataku
- Jak powstrzymać uszkodzenia i zapobiec dalszym atakom?
- Jak ocenić zakres ataku?
- Jak prawidłowo powiadomić pracowników, których dotyczy problem?
Pamiętajmy, że człowiek nie musi być najsłabszym ogniwem w kontekście cyberbezpieczeństwa, a wręcz odwrotnie human firewallem.
Autor: Marek Kędziera, Prezes Kancelarii IT