Soitron: Za většinou firemních kyberútoků stojí lidská chyba

27. 9. 2022
Doba čtení: 3 minuty

Sdílet

 Autor: © Alexander Santander - Fotolia.com
Společnost zmiňuje nejčastější chyby, jichž se s největší pravděpodobností dopouští každý zaměstnanec.

Společnost Soitron upozorňuje, že pro podnikové sítě, které musí každý den čelit různým druhům bezpečnostních incidentů a jsou doslova pod palbou útočníků, se jako velmi významným zranitelným místem ukazují zaměstnanci. Soitron v tomto kontextu definoval rizika, kterými zaměstnanci otevírají pomyslná zadní vrátka firemních IT prostředí.

Co se dozvíte v článku
  1. Člověk sociální
  2. Člověk zvědavý
  3. Člověk ignorující
  4. Člověk dohledatelný
  5. Člověk hloupý
  6. Člověk lenivý

Rizika jsou rozdělena do dvou oblastí. Lehkovážnost až naivita a potom ignorace, tedy to, že zaměstnanci si uvědomují, že něco dělají špatně, ale i přesto tak konají,“ prozrazuje Martin Lohnert, specialista pro oblast kyberbezpečnosti ve společnosti Soitron.

Některé hrozby způsobené zaměstnanci jsou zapříčiněné sdílením hesel, nekonzistentním přístupem k aktualizacím, otevíráním podezřelých e-mailových příloh a klikáním na nebezpečné URL adresy. Další představují přístup k podnikovým sítím z neautorizovaných a nezabezpečených osobních zařízení.

Člověk sociální

Technologická společnost poukazuje na to, že sdílení informací je dnes velice populární. Dokonce je považováno za bohulibou nesamozřejmou činnost, která je nám vštípená do naší DNA. Jenže sdílet by se mělo odsud posud, nebo spíše rozumně.

To se však podle odborníků neděje. Místo toho zaměstnanci sdílejí informace dost často i o své práci neuvážlivě a útočníci toho využívají. O podniku se tak snadno dozví řadu informací – ze screenshotů, e-mailových adres, fotografií zařízení apod.

Člověk zvědavý

Další silnou lidskou vlastností je podle Soitronu zvědavost. Co člověk udělá, když se dozví, že vyhrál? Jistě si bude chtít ověřit, co vyhrál, nebo kolik peněz to dělá, či jak dále postupovat.

Klikání na různé linky oznamující výhry, nebo že je něco zdarma, je velmi nebezpečné. Navíc zde vstupuje do role i sociální inženýrství prostřednictvím tlaku – výhra se musí vyzvednout do určité doby – dává prostor chybám a překotné neuvážené lidské reakci.

Člověk ignorující

Systémy jsou podle odborníků navrženy tak, aby fungovaly. Ideální by bylo, kdyby automaticky, ale to není v praxi možné. Proto čas od času vyžadují interakci s uživatelem.

Jestliže se zaměstnanci objeví od antivirového programu hlášení, že v PC bylo nalezeno něco podezřelého, neměl by to ignorovat. To samé platí o tom, pokud jsou vyzváni k instalaci updatu, nebo restartu systému. Hlášení tu jsou od toho, aby se s nimi pracovalo, ne se ignorovala.

Člověk dohledatelný

Soitron dále uvádí, že přístupová jména a hesla byla vymyšlena z důvodu prokázání oprávněného vstupu například do nějaké služby. Mají však i další využití. Díky nim lze sledovat, co uživatel v systému dělal.

Takže pokud jeden přístup využívá více zaměstnanců, je to špatně, protože potom není možné v případě bezpečnostního incidentu najít cestu průniku do systému. Jinými slovy, ztěžuje to detekci nastalých problémů – případně odcizení přístupů atd.

Člověk hloupý

Podle analytiků je neoddiskutovatelné, že člověk je tvor líný. Proto i v případě hesel volí taková, aby si je snadno pamatoval. Takže se snaží používat jedno heslo na vše, případně typu heslo123, své jméno, jména rodinných příslušníků apod.

To ale není správně, taková hesla jsou snadno prolomitelná. Přitom silné heslo si lze také dobře zapamatovat. Použít lze oblíbené citáty z knih, filmů, či dokonce reklam, oblíbené verše, písničky atd. zkrátka cokoliv a následně to upravit pomocí malých a velkých písmen, číslic a speciálních znaků.

Člověk lenivý

Společnost v neposlední řadě dodává, že současná pandemická doba dala vyniknout využití vlastních zařízení pro firemní účely. Jejich nedostatečné zabezpečení je však zdrojem bezpečnostních incidentů v podnikových sítích. A málokdo si to uvědomuje, ale platí to i obráceně.

bitcoin školení listopad 24

Proto by se v ideálních podmínkách jedno zařízení nemělo používat k firemním i soukromým účelům. A pokud už je to nutné, tak v případě firem používat bezpečnostní prvky, typu VPN nejlépe s multifaktorovým ověřením apod.

Zdroj: Soitron

Čtěte dále

ComSource: Čtvrtinu dat nahraných z mobilu na internet tvoří obsah pro sociální sítě
ComSource: Čtvrtinu dat nahraných z mobilu na internet tvoří obsah pro sociální sítě
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
AT Computers je IDG Distributorem roku společnosti Lenovo
AT Computers je IDG Distributorem roku společnosti Lenovo
Gartner: Šťastné a veselé, výdaje na IT příští rok vzrostou bezmála o desetinu
Gartner: Šťastné a veselé, výdaje na IT příští rok vzrostou bezmála o desetinu
Fortinet: V roce 2025 se připravte na větší a odvážnější útoky
Fortinet: V roce 2025 se připravte na větší a odvážnější útoky