Když se podíváme na informační technologie a bezpečnost v poslední době, celkem významným se stává trend využití uživatele jako vstupní brány na proniknutí do systému. Jestli už se jedná o ransomware, různé formy phishingu anebo krádež dat, velká část současných úspěšných napadení spoléhá právě na to, že běžný člověk za počítačem úmyslně anebo neúmyslně otevře útočníkovi dveře do systému. Je vůbec možné se proti něčemu takovému bránit?

Uživatel = nejslabší místo systému
Útočníci, jejichž cílem je kompromitovat systém anebo rovnou celou firmu, začínají čím dál tím víc spoléhat na běžného uživatele systému. Ten se s ohledem na rozvoj bezpečnostních řešení totiž stává nejjednodušší cestou, jak prolomit všechna pravidla a nastavené ochrany. Jak vyplývá z průzkumu společnosti Osterman, každá druhá firma byla v průběhu minulého roku postihnuta ransomware. Další statistiky ukazují nárůst phishingových útoků na organizace všech druhů a velikostí. Nezaostávají ani incidenty interní bezpečnosti, kdy omylem anebo záměrně uživatel pošle citlivé informace nesprávnému adresátovi.

Pro podobné situace nemusíme chodit daleko, dějí se téměř všem. Z menších incidentů, které jsme zaznamenali v poslední době můžeme vybrat například jednou firmu z Moravy, jejíž zaměstnanec sdílel více jak 100 nascanovaných občanských průkazů externí firmě prostřednictvím služby ulož.to, kde je mohl kdokoliv najít a stáhnout. V další větší organizaci došlo k tomu, že zaměstnanec omylem zaslal seznam všech zákazníků firmy jednomu ze zákazníků, se kterým běžně komunikoval.

Ve většině případů se tedy jedná o omyl anebo nevědomost uživatele, kterou je pro útočníka velmi jednoduché zneužít. Adekvátně komplikované je se proti ní bránit. V mnoha případech totiž stačí kliknout na nesprávné tlačítko anebo otevřít přiložený soubor. Tak málo stačí na to, aby se stal incident s dalekosáhlými následky.

Takže, existuje nějaké řešení?
Asi to nebude znít překvapivě, ale pro ochranu před chybou běžného uživatele existuje možnost – věnovat se prevenci a ovlivnit jeho chování.

Prvním krokem je ve firemním prostředí příprava směrnic a politik. Tyto dokumenty mají informativní charakter a mohou navést zaměstnance směrem, jakým by se měl chovat při práci s počítačem a firemními systémy, či dokumenty. Pokud jsou napsané srozumitelnou řečí a nejsou příliš dlouhé, přímo úměrně se zvyšuje pravděpodobnost, že je zaměstnanci budou znát a řídit se podle nich.

Dokumenty jsou samozřejmě jenom formální stránka věci. Co je podstatné, je věnovat dostatek pozornosti školením a připomínat důležitá doporučení. Zkusme se všichni zamyslet a připravit sadu jednoduchých doporučení tak, aby je pochopili i naši rodiče anebo babička. Seznam bude s největší pravděpodobností obsahovat minimálně:


Autor
Safetica team

Další články

Ochrana dat před únikem (DLP), průvodce pro rok 2022

Data jsou to nejcennější, co společnost má. Patří sem celá řada informací, od autorských práv, přes seznamy klientů, až po citlivé informace o zaměstnancích. Většina dat má nyní elektronickou podobu, procházet je lze pomocí softwaru, databází a dalších nástrojů a data jsou tak zranitelná vůči ztrátě a krádeži.

Datový kvadrant v oblasti DLP za rok 2021 ovládla Safetica

Společnost Safetica se stala podle SoftwareReviews vítězem datového kvadrantu v oblasti ochrany dat před únikem (DLP) za rok 2021. Podívejte se na podrobnou zprávu, která srovnává jednotlivé poskytovatele DLP řešení.

DLP: Jak zabránit úniku firemních dat

Jak vám může Safetica pomoci zajistit, aby vaše citlivá data, jako jsou osobní údaje, strategické plány, databáze zákazníků, smlouvy atd., neopustila vaši firmu?