Когато става въпрос за компютърна престъпност, кибератака, повечето си въобразяват, че крайната заплаха идва извън компанията. Донякъде е така, но истинската опасност за една компания е точно това работникът, който държи лаптоп в ръката си или a калкулатор свързан с вътрешна мрежа на дружеството и кои обработват чувствителни данни.
През повечето време, когато се появява в автобиографията: “Компютърни познания: средно“, е достатъчно, стига бъдещият служител да знае как да използва софтуер, който използва компанията или Excel. Оттук до бедствието в случай на кибератака има само едно…щракнете.
В проучване, проведено от Haystax Technology, беше показано, че 74% от анкетираните организации се чувстват уязвими към вътрешни заплахи, докато 56% от анкетираните компании за ИТ сигурност отговарят, че опасностите вътре в компаниите са се увеличили значително през последната година.
След нападението WannaCry беше установено, че повечето от уязвимостите се появяват поради невежество и / или небрежността на някои служители които имат игнорира предупрежденията.
Идентифицирани са три типа служители, които могат да се превърнат във вътрешна заплаха за данните на компанията.
1. Служители, които чрез невинни действия могат да компрометират важни данни.
Това включва категорията на тези, които губят служебните си телефони, на които са съхранявали имейли и други данни на компанията, в която работят. По-лошото е, че служители също са докладвани, които, без да осъзнават опасността, са продали служебните си телефони на трета страна.
Тази категория включва и тези, които изтеглят чувствителни фирмени данни от работни лаптопи в устройства за съхранение на лични данни. Използването на лаптопа за работа вкъщи и това става проблем, ако мрежата “домашен потребител” не е защитено или ако компютри или други заразени устройства са свързани към тази мрежа. В случая с WannaCry бяха докладвани няколко ситуации, при които вирусът е бил внесен във вътрешната мрежа на компанията от служители, които са имали лаптопите си у дома.
Този тип служители могат да причинят по-големи щети от действията на недобронамерен хакер.
2. Небрежност и/или небрежност
Всички знаем предупреждения, мигащи на екрана и ни молят да предприемем a незабавни действия.
В проучване, проведено от Google през 2013 г., беше установено, че от 25 милиона предупреждения, дадени от Google Chrome,70,2% са пренебрегнати. След този катастрофален доклад Google реши да опрости процедурата за незабавни действия, насочена към блокиране или неутрализиране на потенциалната опасност. Това е пример само за Google Chrome. Предупрежденията, дадени от антивирусния софтуер, често се пренебрегват от потребителите или се третират лекомислено. Има много ситуации, в които служителят дори не проверява доклада за предупредително съобщение, камо ли да се информира за потенциалната опасност. Голям брой сигнали са отхвърлени и служителите тихо продължават работата си на лаптопа / компютъра.
Отварянето на съмнителни имейл съобщения и изтеглянето на злонамерени файлове е друг голям проблем. Много служители отварят прикачени файлове към електронна поща без да мигат, без да направят предварителна проверка. Намерете го тук подробности.
Както за точка 1, така и за точка 2 голяма част от вината е на компанията, която не осигурява адекватно обучение в тази насока. Нека се запитаме колко компании обясняват на служителите си как работи антивирусната програма и как да оптимизират настройките си за сигурност? По-добре недей.
3. Злонамерени служители
За съжаление, не само човешка грешка и невнимание са причините за компрометиране на данни в една компания. Злонамерените служители играят важна роля,
Тази категория включва служители, които “алина” разочарования от изтичане на чувствителни фирмени данни на трети страни или дори директно в интернет. Имало е ситуации, в които служители на някои компании, поради различни оплаквания, са оповестили в интернет чувствителните бази данни на компаниите, за които работят или са работили.
Не са малко случаите, когато данните са откраднати и продадени на друга компания. Саботажът и компютърният шпионаж отвътре също са в тази категория.
В проучване, поръчано през 2016 г. от компания за киберсигурност Nuix, показва, че 93% от интервюираните смятат човешкия фактор за най-големия риск за целостта на данните.
Решението е в ръцете на компаниите, които биха могли да санкционират небрежните служители, тези, които не разбират или умишлено нарушават политиките за сигурност и поверителност.
Едва ли това ще се случи масово, в среда, в която всичко се прави “бързо напред”.
