Společnost Soitron upozorňuje, že pro podnikové sítě, které musí každý den čelit různým druhům bezpečnostních incidentů a jsou doslova pod palbou útočníků, se jako velmi významným zranitelným místem ukazují zaměstnanci. Soitron v tomto kontextu definoval rizika, kterými zaměstnanci otevírají pomyslná zadní vrátka firemních IT prostředí.
Co se dozvíte v článku
„Rizika jsou rozdělena do dvou oblastí. Lehkovážnost až naivita a potom ignorace, tedy to, že zaměstnanci si uvědomují, že něco dělají špatně, ale i přesto tak konají,“ prozrazuje Martin Lohnert, specialista pro oblast kyberbezpečnosti ve společnosti Soitron.
Některé hrozby způsobené zaměstnanci jsou zapříčiněné sdílením hesel, nekonzistentním přístupem k aktualizacím, otevíráním podezřelých e-mailových příloh a klikáním na nebezpečné URL adresy. Další představují přístup k podnikovým sítím z neautorizovaných a nezabezpečených osobních zařízení.
Člověk sociální
Technologická společnost poukazuje na to, že sdílení informací je dnes velice populární. Dokonce je považováno za bohulibou nesamozřejmou činnost, která je nám vštípená do naší DNA. Jenže sdílet by se mělo odsud posud, nebo spíše rozumně.
To se však podle odborníků neděje. Místo toho zaměstnanci sdílejí informace dost často i o své práci neuvážlivě a útočníci toho využívají. O podniku se tak snadno dozví řadu informací – ze screenshotů, e-mailových adres, fotografií zařízení apod.
Člověk zvědavý
Další silnou lidskou vlastností je podle Soitronu zvědavost. Co člověk udělá, když se dozví, že vyhrál? Jistě si bude chtít ověřit, co vyhrál, nebo kolik peněz to dělá, či jak dále postupovat.
Klikání na různé linky oznamující výhry, nebo že je něco zdarma, je velmi nebezpečné. Navíc zde vstupuje do role i sociální inženýrství prostřednictvím tlaku – výhra se musí vyzvednout do určité doby – dává prostor chybám a překotné neuvážené lidské reakci.
Člověk ignorující
Systémy jsou podle odborníků navrženy tak, aby fungovaly. Ideální by bylo, kdyby automaticky, ale to není v praxi možné. Proto čas od času vyžadují interakci s uživatelem.
Jestliže se zaměstnanci objeví od antivirového programu hlášení, že v PC bylo nalezeno něco podezřelého, neměl by to ignorovat. To samé platí o tom, pokud jsou vyzváni k instalaci updatu, nebo restartu systému. Hlášení tu jsou od toho, aby se s nimi pracovalo, ne se ignorovala.
Člověk dohledatelný
Soitron dále uvádí, že přístupová jména a hesla byla vymyšlena z důvodu prokázání oprávněného vstupu například do nějaké služby. Mají však i další využití. Díky nim lze sledovat, co uživatel v systému dělal.
Takže pokud jeden přístup využívá více zaměstnanců, je to špatně, protože potom není možné v případě bezpečnostního incidentu najít cestu průniku do systému. Jinými slovy, ztěžuje to detekci nastalých problémů – případně odcizení přístupů atd.
Člověk hloupý
Podle analytiků je neoddiskutovatelné, že člověk je tvor líný. Proto i v případě hesel volí taková, aby si je snadno pamatoval. Takže se snaží používat jedno heslo na vše, případně typu heslo123, své jméno, jména rodinných příslušníků apod.
To ale není správně, taková hesla jsou snadno prolomitelná. Přitom silné heslo si lze také dobře zapamatovat. Použít lze oblíbené citáty z knih, filmů, či dokonce reklam, oblíbené verše, písničky atd. zkrátka cokoliv a následně to upravit pomocí malých a velkých písmen, číslic a speciálních znaků.
Člověk lenivý
Společnost v neposlední řadě dodává, že současná pandemická doba dala vyniknout využití vlastních zařízení pro firemní účely. Jejich nedostatečné zabezpečení je však zdrojem bezpečnostních incidentů v podnikových sítích. A málokdo si to uvědomuje, ale platí to i obráceně.
Proto by se v ideálních podmínkách jedno zařízení nemělo používat k firemním i soukromým účelům. A pokud už je to nutné, tak v případě firem používat bezpečnostní prvky, typu VPN nejlépe s multifaktorovým ověřením apod.
Zdroj: Soitron
