Zamestnanci sú často prvou obranou proti kybernetickým útokom, ale zároveň aj slabým článkom. Ich neznalosť, nepozornosť alebo nevhodné správanie môžu spôsobiť vážne bezpečnostné incidenty. Prečítajte si zoznam najčastejších chýb, ktorých sa zamestnanci dopúšťajú aj to, ako sa im vyhnúť.
IT bezpečnosť je dnes kľúčovou súčasťou každej firmy. Stačí však jedna nepozornosť a môže dôjsť k strate dát alebo narušeniu súkromia, čo často otvára dvere kybernetickým útokom.
„Technológie a procesy môžu riziká minimalizovať, ale pokiaľ nie sú správne zavedené alebo nastavené, zvyšuje sa priestor pre ľudské chyby a riziko narušenia bezpečnosti,“ vysvetľuje náš kolega Petr Kocmich, Global Cyber Security Delivery Manager.
Čo teda patrí medzi najčastejšie chyby zamestnancov?
Ponechanie notebooku alebo telefónu na stole v kancelárii, v kaviarni alebo zasadacej miestnosti, a to dokonca odomknutého, predstavuje závažné bezpečnostné riziko. Nechránené zariadenie môže predstavovať cestu, cez ktorú uniknú citlivé firemné alebo zákaznícke dáta.
Útočníci využívajú psychologické triky pomocou tzv. sociálneho inžinierstva. Snažia sa vo vás navodiť pocit dôvery a získať napríklad prístupové údaje. Aj drobná nepozornosť môže mať vážne dôsledky. Jedným z najčastejších trikov je útok s názvom BEC (Business Email Compromise). Pri ňom sa útočník vydáva za vysoko postaveného manažéra s rozhodovacou právomocou a pomocou presvedčivého e-mailu požiada finančné oddelenie o urýchlené spracovanie falošnej faktúry, a to pokojne aj od existujúceho dodávateľa. E-mail obsahuje vymyslené podrobnosti a čísla účtov.
Tento typ podvodu zneužíva dôveru ľudí a ich snahu vyhovieť autoritám, a tak útočník môže ľahko obísť bežné interné platobné procesy. Útočník často používa podvrhnutú e-mailovú adresu, ktorá sa podobá tej legitímnej (veľakrát preto, že získal prístup aj priamo k reálnemu mailboxu) a vytvára pocit naliehavosti, aby donútil zamestnancov k neoprávneným prevodom bez dôkladných kontrol. V takom prípade je vždy najlepšie si celú situáciu overiť s nadriadeným telefonicky.
Používať jednoduché heslá, napríklad „123456“ alebo mená domácich maznáčikov a členov rodiny, je stále bežné, ale veľmi riskantné. Také heslá útočníci ľahko uhádnu pomocou základných algoritmov alebo dostupných informácií o užívateľovi na sociálnych sieťach. Opakované používanie rovnakých hesiel na viacerých účtoch, či už pracovných alebo súkromných, potom vytvára reťazovú reakciu – ak útočník prelomí jedno heslo, získa prístup aj k ďalším službám. To platí dvojnásobne, ak používate rovnaké heslo pre pracovné a súkromné účty bez multifaktorového overenia.
Heslo je súkromné a slúži na ochranu vášho prístupu. Keď ho zdieľate s kolegami, aj len na chvíľu, napríklad pri zamknutom účte po niekoľkých neúspešných pokusoch o prihlásenie, riskujete. Zdieľané heslo môže byť zabudnuté, použité nesprávne alebo dokonca zneužité. Heslo je ako osobný kľúč – šírenie znižuje jeho hodnotu aj bezpečnosť.
Nechať dôležité dokumenty na tlačiarni je ako nechať peňaženku bez dozoru. Tieto materiály sa môžu dostať do rúk neoprávnených osôb.
Verejné Wi-Fi siete, napríklad v kaviarňach, sú prínosné, ale zároveň môžu byť aj zo svojej povahy nebezpečné. Keď sa pripojíte k nezabezpečenej sieti, útočníci môžu sledovať, čo na internete robíte. Dokonca aj zachytiť citlivé nešifrované údaje, ako sú vaše prihlasovacie mená, heslá alebo čísla platobných kariet. Môžu tiež získať prístup k firemným dátam, pokiaľ cez túto sieť riešite pracovné záležitosti. Bez VPN, ktorá šifruje dáta, je používanie verejnej Wi-Fi ako posielať dôležité dokumenty pohľadnicou – ktokoľvek si ich môže prečítať.
Zastaraný softvér môže obsahovať zraniteľnosti, ktoré útočníci ľahko zneužijú. Preto je nutné vykonávať pravidelné aktualizácie nielen na firemných, ale aj na súkromných zariadeniach, ktoré tieto nedostatky „záplatujú“.
Incidenty, ako je napríklad podozrivý e-mail, SMS alebo aj neoprávnenú osobu na pracovisku je dôležité okamžite hlásiť, ideálne priamo IT či bezpečnostnému oddeleniu alebo aspoň nadriadenému. Neriešené problémy totiž môžu viesť k väčším škodám a porušeniu zákona.
Aj keď nemusia byť všetky povinné pracovné školenia záživné, je dôležité dávať pri nich pozor. Môžete sa dozvedieť niečo nové a zistíte, aké špecifické pravidlá platia u vášho zamestnávateľa. Kyberbezpečnostné tipy sa navyše hodia aj v súkromnom živote.
Podobne ako nepúšťate do svojho domu len tak niekoho, ani cudzích ľudí nenechávajte prechádzať sa vo vašich kanceláriách alebo skladoch, ak na to nemajú preukázané oprávnenie.
Rovnako tak nie je múdre nechávať odomknuté dvere do kancelárie (popr. okna), pretože k vám môže ľahko preniknúť niekto zvonku, a to aj „za bieleho dňa“. Neoprávnená osoba sa môže vydávať napr. za kuriéra. Namiesto balíka však môže odcudziť vaše pracovné a/alebo súkromné zariadenia, prístupové karty, pripojiť do siete zariadenia pre vzdialený prístup alebo priamo odcudziť dáta zapnutých zariadení.
Prácu je možné dnes mnohokrát riešiť zo smartfónu bez nutnosti fyzickej prítomnosti v kancelárii, a tak najskôr aj vy odpovedáte na e-maily v kaviarni, knižnici alebo električke. Pokiaľ vám to znie povedome, strážte si, aby vám nikto cielene nepozeral cez rameno na to, čo a komu píšete. Môže totiž ísť o tzv. shoulder surfing alebo surfovanie cez rameno. Pri ňom môže páchateľ spozorovať pri zadávaní vaše prihlasovacie údaje alebo iné citlivé informácie.
Prevencia je základ. „Zamestnanci by si mali uvedomiť, že ich digitálne návyky ovplyvňujú nielen ich prácu, ale aj bezpečnosť celej firmy. Dodržiavanie pravidiel IT hygieny nie je len formalita, ale kľúčový krok k ochrane pred kybernetickými hrozbami, ktorých je stále viac,“ uzatvára Petr Kocmich.
Vyvarovaním sa týchto chýb môžete chrániť nielen firemné dáta, ale aj svoju vlastnú reputáciu a kariéru. Buďte IT zodpovední – vyplatí sa to.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
