Служителите са най-голямата слабост за IT сигурността на фирмите

52% от фирмите признават, че служителите им са най-голямата им слабост по отношение на корпоративната IT сигурност, със своите небрежни действия или липса на знания. Това сочи проучване на компанията за киберсигурност Kaspersky и B2B International. Ярък пример за това е течът на данни през 2017 от Equifax, който изложи на неоторизиран достъп данните на 146 милиона души – той беше резултат от човешка грешка на служител, пренебрегнал съобщение свързано със сигурността.

През последните години бизнесът видимо инвестира в специализирани инструменти за контрол на киберзаплахите, модерни фишинг филтри и защитни стени. Престъпниците обаче намират друга пробойна, като насочиха вниманието си към служителите като начална точка на навлизане в информационните системи на компаниите. Използването на пропуски в познанията на потребителите или използването на човешки слабости като невнимание, невежество или небрежност е значително по-лесно и по-евтино, отколкото да се опитват да заблудят сложен софтуер за защита.

Служителите все още проявяват опасно поведение. Цели 55% от работещите възрастни например позволяват на приятели и членове на семейството да имат достъп до работния компютър или телефон, сочи доклада на Wombat, анализиращ рисковете за потребителите през 2018 г. 

66% от анкетираните, които не използват инструмент за управление на пароли, признават, че използват повторно 60% от секретните си комбинации за различни профили онлайн. Около 60% от служителите имат поверителни данни на своето корпоративно устройство (финансови данни, имейл база данни и т.н.), а 30% признават, че споделят паролата за работния си компютър с колеги. 

През 2018 г. все още има и хора, макар и 4%, които вярват, че щракването върху подозрително прикачено приложение не представлява голяма заплаха, според доклад на Verizon за кражбите на данни за миналата година. 

Никоя организация не е твърде малка или твърде голяма. Всяка организация може да попадне в полезрението на киберпрестъпниците. Доказателство за това е, че през 2018 г. 43% от кибератаките са били фокусирани върху малки и средни бизнеси. 

Случаят с Equifax пък показва, че просто не е достатъчно да има внедрена политика за IT сигурност, за да бъде разрешен проблемът с човешката славост. Сама по себе си една политика няма да защити бизнеса от заплахи – отчасти защото политиките за сигурност в IT не винаги се следват от персонала, за който са предназначени, и отчасти защото не могат да покрият всеки възможен риск.

„Обучението е от съществено значение за повишаване на осведомеността сред служителите – мотивирайте ги да обръщат внимание на киберпрестъпленията и противодействията, дори ако това първоначално не се възприема от тях, като част от техните служебни ангажименти“, коментира Богдан Писмиченко, директор за България, Румъния и Молдова в Kaspersky. 

Обучението на персонала и привличането на специалисти в компанията за прилагането на политиките за сигурност е логичен отговор на проблема с небрежността на служителите. Идеята е да се постигне правилен баланс между фирмената политиката и ангажираността на служителите, за да се предотврати небрежността на персонала или опасностите поради слаба информираност на работещите в организацията.

Инсталирането на актуализации, гарантирането, че защитата срещу злонамерен софтуер е включена и правилното управление на личните пароли не трябва винаги да бъде в дъното на списъка със задачи на служителите.