Co je to vnitřní hrozba?
Vaši lidé jsou tlukoucím srdcem vaší firmy. Ať už se jedná o pracovníky, kteří na místě provádí měření pro novou stavbu, administrativní asistenty, kteří zpracovávají přihlášky studentů, nebo třeba vedoucího kanceláře, který tiskne důležité dokumenty– každý hraje důležitou roli. Zároveň však platí, že každý je člověk a je náchylný dělat chyby. A v dnešním světě online práce s sebou tato skutečnost nese vážná bezpečnostní rizika.
Vnitřní hrozba se týká osob pracujících uvnitř podniku, jejichž chyby mohou bezpečnost podniku ohrozit. Bohužel i ta nejmenší chyba zaměstnance může mít významné následky. To platí zejména pro malé a střední podniky (MSP), kde může mít útok na podnik skutečně zásadní dopad. Kybernetičtí zločinci již vědí, že slabým místem digitální obrany podniku jsou jeho zaměstnanci. Spoléhají na to, že jednotliví pracovníci nemusí být dostatečně proškoleni nebo pečliví, například když se přihlašují nebo odpovídají na e-mail, a doufají, že si zaměstnanci nejsou těchto rizik vědomi.
Abychom zjistili, jak jsou podniky vnitřními hrozbami ohroženy, provedli jsme průzkum mezi malými a středními podniky v celé Evropě. Oslovili jsme 5 770 osob s rozhodovacími pravomocemi v oblasti IT z firemních odvětví, jako je stavebnictví, právo, školství a zdravotnictví, a zjistili jsme, jaká vnímají online zranitelná místa a jaké jsou jejich obavy. V současné době se téměř čtyři z deseti dotázaných (37 %) domnívají, že nedodržování školení nebo pokynů ze strany zaměstnanců představuje pro účinnost zabezpečení IT významné riziko. To ale není vše.
Problém lidské chyby
Vaše digitální obrana je jenom tak silná, jak silná je vaše proškolená pracovní síla. Dokonce i v případě, kdy jsou zavedeny tradiční podnikové systémy zabezpečení, může lidská chyba způsobit, že kybernetická ochrana nebude účinná. Není tedy překvapivé, že třetina našich respondentů uvedla jako příčinu zvýšených obav o bezpečnost IT nedostatečné znalosti nebo proškolení zaměstnanců.
K narušení bezpečnosti může vést celá řada běžných chyb. Může se třeba stát, že váš marketingový pracovník omylem odešle citlivé informace o zákaznících na nesprávný účet. Nebo třeba asistent omylem klikne na škodlivý odkaz v e-mailu, čímž odhalí údaje studentů (útok známý jako phishing). Může jít i o případ, kdy někdo na kancelářském skeneru pořídí kopie důvěrných stránek, ale poté zapomene vyjmout originální dokument ze zásobníku.
Ve hře jsou samozřejmě i jiné faktory. Zaměstnanci o rizicích jednoduše nemusí vědět, což výrazně oslabuje jakoukoli obranu proti nim. Mnoho zaměstnanců ve firmě nemusí na žádosti o školení reagovat, protože jsou příliš zaneprázdněni nebo se domnívají, že jsou již proškoleni. Někteří z nich mohou dokonce podnikové bezpečnostními postupy dodržovat, ale jsou náchylní občas udělat chybu. Pojďme se podívat, co naše zjištění o malých a středních podnicích odhalila.
Co průzkum ukazuje
Podívejme se, co nám sdělily evropské malé a střední podniky, kterých jsme se dotazovali.
Každá firma, bez ohledu na velikost, používá ke komunikaci nějakým způsobem e-mail. Složky nevyžádané pošty mohou být docela dobré pro automatické zachycování spamu od neznámých odesílatelů. S tím, jak se kybernetická kriminalita stává sofistikovanější, přibývá phishingových útoků (při nichž jsou osoby podvedeny, aby prozradily, upravily nebo vymazaly citlivé informace). Phishingové útoky, které jsou v současnosti nejčastější formou počítačové kriminality, závisí na chybném úsudku vašich zaměstnanců. Zároveň může dojít k útokům malwarem, pokud zařízení v síti (včetně telefonů, tabletů a tiskáren) nejsou plně zabezpečena. Každý útok může mít zničující následky a 20 % malých a středních podniků, které jsme oslovili, uvedlo ztrátu dat jako největší obavu ve smyslu bezpečnost svého podnikání. Aby se předešlo chybám, měli by vedoucí pracovníci firem zajistit, aby si jejich zaměstnanci byli plně vědomi toho, na co si mají dávat pozor v každém e-mailu, včetně důsledků jejich nesprávné kontroly.
Přes všechny výhody hybridní práce se v jejím důsledku u malých a středních podniků zvýšily obavy z bezpečnostních technologických rizik. Současně 29 % z nich má nyní větší obavy z toho, že zaměstnanci používají svá vlastní zařízení. Mnoho zaměstnanců pracuje z kanceláře i z domova, někteří se však mohou rozhodnout pracovat v kavárnách nebo co-workingových prostorách, jejichž sítě nejsou zabezpečené. Navzdory těmto obavám téměř tři pětiny (59 %) malých a středních podniků po přechodu na hybridní model nezvýšily počet školení o bezpečnosti IT. Kombinace potenciálně nezabezpečených sítí a zastaralých znalostí o bezpečnosti IT představuje živnou půdu pro chyby.
Ve firmách se denně pracuje se obrovské množství citlivých údajů. Ať už se jedná o data studentů, pacientů, zákazníků nebo firmy samotné, nelze popřít, je s takovými údaji nutno zacházet opatrně. K jejich odhalení může současně dojít nejen v důsledku škodlivého odkazu v e-mailu. K narušení zabezpečení dat může dojít v jakémkoli koncovém bodě (zařízení připojeném k síti) - od kancelářské tiskárny až po tablety zaměstnanců. Bohužel, pouze třetina malých a středních podniků má zavedeno zabezpečení tiskáren, takže mnoho z nich nepokrývá všechna zranitelná místa - a ne všichni zaměstnanci mají tušení, kde se rizika skrývají. Třetina malých a středních podniků si totiž není příliš jistá (14 %) nebo si není jistá (15 %), že zaměstnanci mají o bezpečnostních rizicích v oblasti IT dostatečné znalosti.
Prolínání lidského a digitálního světa
S ohledem na náš výzkum by malé a střední podniky měly zařadit zmírnění vnitřních hrozeb mezi své hlavní priority. Existují dva různé přístupy, jak toho efektivně dosáhnout - oba jsou stejně důležité.
Za prvé, pochopení a řešení lidské stránky bezpečnosti ve firmě. Je důležité vytvořit kulturu online bezpečnosti, která se bude týkat všech zaměstnanců, nejen IT oddělení a pracovníků v kanceláři. Všichni, od doručovatelů zboží až po pracovníky, kteří odpovídají na telefonní hovory, by měli mít při práci na paměti osvědčené bezpečnostní postupy. Způsobem, jak bezpečně a obezřetně otestovat reakce zaměstnanců, může být simulace „phishingového hodnocení“, kdy firma rozesílá falešné škodlivé e-maily. Další možností je zavedení povinného online bezpečnostního školení pro všechny zaměstnance.
Za druhé, správně technologie používat. Zatímco vnitřní hrozby závisí na činnosti člověka, technologie může pomoci zabránit chybám - a víceúrovňový přístup k zabezpečení pomůže pokrýt všechna zranitelná místa. To by v podstatě zahrnovalo celou řadu bezpečnostních kontrol, pravidelné posouzení rizik a školení, pravidelnější penetrační testy (kdy je síť testována z pohledu přístupnosti pro třetí strany) a nepřetržitý monitoring. Klíčové je najít rovnováhu mezi technologiemi a připomínáním zaměstnancům, že jejich role je zcela zásadní.
Chyby se stávají, kybernetické útoky se stávat nemusí
Stejně jako všichni ostatní, i zaměstnanci dělají chyby. Ať už jste obchodní ředitel nebo administrativní asistent, k nehodám zkrátka bude vždy docházet. To však neznamená, že musí docházet i ke kybernetickým útokům. Zajištění odpovídajícího školení a zvýšení informovanosti, pečlivosti a odpovědnosti zaměstnanců pomůže minimalizovat chyby vedoucí ke skutečným škodám.
Pokud dojde k chybě, je důležité mít k dispozici správnou kybernetickou ochranu. Ve společnosti Sharp pomáháme malým a středním podnikům vybudovat robustní digitální obranu tím, že jim zajistíme odpovídající úroveň kybernetické ochrany již dnes. Naše komplexní nabídka na míru šitých bezpečnostních služeb a řešení dodá vašim podnikovým bezpečnostním systémům další úroveň obrany.
Objevte další způsoby, jak se chránit
Prozkoumejte Centrum Sharp Real World Security, kde najdete další obsah o kybernetických rizicích, jež v dnešní době ohrožují malé a střední podniky.