Společnost Anect na základě průzkumu mezi tisícovkou zaměstnanců českých firem odhalila, že třetina tuzemských zaměstnanců porušuje zásady bezpečného chování na internetu a své zaměstnavatele tak vystavuje zvýšenému riziku online podvodu nebo hackerského útoku.
Co se dozvíte v článku
Téměř 13 % společností nemá interní pravidla zvyšující firemní odolnost proti kybernetickým útokům. Situace je přitom výrazně horší u malých firem do 50 zaměstnanců, kde tato opatření chybí ve čtvrtině případů. Naopak u firem nad 500 zaměstnanců mají tato opatření téměř všechny společnosti.
Jen minimum zaměstnanců používá bezheslové metody
Největší část zaměstnanců, konkrétně 65 %, uvedla, že mají ve firmě zakázáno sami instalovat programy a aplikace v pracovním počítači. Pouze polovina lidí (48 %) však uvedla, že má omezený přístup k souborům a části firemní sítě, které nepotřebují ke své práci, a pouze 39 % používá při přihlašování do firemních systémů vícefaktorovou autentizaci.
Zákaz využívání externích USB disků, stejně jako zákaz využívání osobních zařízení (mobilní telefony, počítače, tablety apod.) k pracovním účelům má zavedený třetina firem. Pouze šestina zaměstnanců (16 %) využívá pro přihlašování do interních systémů bezheslové metody, ať už jde o biometrii či hardwarové klíče.
„Tato čísla jsou alarmující, protože většinou jde o opatření, která je poměrně snadné a levné zavést a která můžou výrazně snížit riziko úspěšného hackerského útoku vedeného přes zaměstnance,“ říká Petr Mojžíš, konzultant kybernetické bezpečnosti v Anectu.
„Například omezení možnosti zaměstnanců cokoli sami instalovat nebo důsledná správa identit a omezení pohybu zaměstnanců po firemní síti jsou opatření, která by neměla chybět v žádné společnosti,“ podotýká.
V malých firmách jsou rizika větší
Průzkum odhalil, že u společností do 50 zaměstnanců je podíl firem s jednotlivými opatřeními o deset až dvacet procentních bodů nižší než je průměr, naopak u firem nad 500 zaměstnanců je o deset až dvacet procentních bodů vyšší.
„Rozdíl mezi velkými a malými firmami je přirozený,“ vysvětluje Petr Mojžíš. „Čím větší společnost, tím více si na jedné straně uvědomuje možná rizika a tím větší má většinou zdroje vyčleněné na oblast IT včetně firemní bezpečnosti.“
Pozitivní podle něj je, že alespoň nějaká opatření mají v zásadě všechny velké firmy. „Na druhou stranu podíl těch, které využívají všechny základní ochranné metody by měl být určitě vyšší,“ dodává.
K rizikovým činnostem se přiznává třetina zaměstnanců
Výše popsaná opatření jsou přitom podle Petra Mojžíše o to důležitější, že třetina zaměstnanců se přiznává k činnostem, které jsou z pohledu firemní bezpečnosti rizikové. Nejvíce lidí, konkrétně 15 %, přiznalo využití neschválených soukromých zařízení.
Graf 1: Rizikové činnosti zaměstnanců s ohledem na kybernetickou bezpečnost
Někteří dokonce sdílejí hesla s kolegy
Desetina lidí v průzkumu přiznala otevírání neznámých e-mailových příloh a stejný počet také instalaci programů nebo aplikací do firemního počítače či telefonu bez vědomí IT oddělení. V obou případech jde přitom o činnosti, u kterých existuje velké riziko napadení počítače a následně celé firemní sítě.
Graf 2: Firemní opatření na zvýšení kybernetické bezpečnosti, která si zaměstnanci vybavují
„Ve všech výše popsaných případech najdeme celou řadu rizik, která se v nich skrývají. Obecně ale jde vždy o to, že útočníci se snaží, aby jejich maskovaný škodlivý kód někdo stáhl, otevřel a spustil,“ vysvětluje Petr Mojžíš.
Mladší lidé mají tendenci rizika podceňovat
Rizikověji se přitom podle průzkumu chovají mladí zaměstnanci. Zatímco mezi lidmi od 45 do 54 let uvedlo 70 % respondentů, že se podobným aktivitám vyhýbají a u zaměstnanců nad 54 let dosahoval tento podíl 75 %, u lidí do 35 let šlo pouze o 57 % lidí.
„Důvodem je podle našich zkušeností kombinace několika faktorů. Mladí lidé jsou obecně více spjatí s technologiemi, které využívají téměř ke všem činnostem v každodenním životě, a mají tak mnohem více příležitostí k rizikovému chování. I díky tomu mají tendenci některá rizika podceňovat nebo si je uvědomovat méně než starší kolegové,“ říká Petr Mojžíš.
Dva z pěti obdrželi vymyšlenou fakturu
Průzkum se zaměřil také na to, s jakými situacemi se v oblasti kybernetické bezpečnosti zaměstnanci setkali. Dvě třetiny respondentů (62 %) uvedly, že se v jejich firmě už řešil pokus o podvod vedený online nebo přímo určitý kybernetický incident.
Graf 3: Firemní opatření na zvýšení kybernetické bezpečnosti, která si zaměstnanci vybavují
Nejčastěji šlo o snahu o podvod spojenou se zaplacením vymyšlené faktury (38 %), ale 8 % zaměstnanců se ve firmě setkalo s krádeží či únikem dat a necelých 7 % i s úspěšným ransomwarovým útokem, který vyřadil z provozu firemní síť.
„Právě tyto typy útoků patří mezi ty nejnebezpečnější. V obou případech vedou k velkým reputačním i finančním ztrátám a v některých extrémních případech můžou vést až k zániku celé společnosti,“ upozorňuje Petr Mojžíš.
Zároveň dodává, že množství firem, které se setkaly s pokusem o ransomwarový útok je reálně vyšší, než vidí jejich zaměstnanci. „Řada ransomwarových útoků může být úspěšná jenom částečně nebo vůbec a nemusí tak dojít k vyřazení celé sítě nebo se o nich zaměstnanci nemusí dozvědět,“ uzavírá.
Zdroj: Anect
