fb
4. 3. 2021 13:05

V zajištění bezpečnosti firem hraje podstatnou roli neznalost rizik a špatné návyky zaměstnanců

Není žádným tajemstvím, že v zajištění kybernetické bezpečnosti hraje velmi důležitou roli člověk neboli lidský faktor. Bezpečnostní technologie jsou důležité, ale ochrání nás pouze před určitými hrozbami. Zásadní jsou zejména naše návyky. Neznalost možných rizik a špatné návyky se ovšem týkají všech generací zaměstnanců, ať se jedná o starší zaměstnance, kteří nemají s  technologiemi zkušenosti, nebo nastupující generaci, která zase rizika velmi podceňuje. Jak mohou zaměstnanci ohrozit firmu nebo organizaci, kde pracují?

Podívejme se nejdříve na mobilní telefony. Podle průzkumu společnosti Proofpoint z minulého roku zamyká svůj chytrý telefon biometrickým zámkem (otisk prstu nebo scan tváře) pouze 42 % uživatelů a číselným heslem pouze 24 % uživatelů. Zhruba 10 % uživatelů nezamyká mobilní telefon vůbec, což je nebezpečné. Krádež telefonu nebo pouze zanechaný telefon na pracovním stole, který není pod dohledem, může způsobit zaměstnavateli velké potíže. V chytrých mobilních telefonech dnes nosíme prakticky celou svou firemní kancelář se spoustou citlivých dat. Navíc se často stává, že firemní telefon dáváme na hraní dětem, které nám mohou nevhodnou manipulací data z telefonu nenávratně smazat nebo je omylem přeposlat mimo firmu.

Dalším problémem jsou veřejné Wi-Fi sítě, které jsou často nezabezpečené a uživatelé se k nim s důvěrou připojují firemními notebooky a chytrými telefony. Nezřídka se také stává, že zaměstnanci mají velmi špatně zabezpečenou Wi-Fi ve svém vlastním home office. Používají nevhodné šifrování nebo nepoužívají žádné. Dalším problémem u domácí Wi-Fi je jednoduché heslo, které se dá lehce uhodnout.

Zaměstnanci se často o svém počítači chybně domnívají, že je 100% bezpečný, pokud používají antivirus. Též často spoléhají na to, že je firemní IT ochrání před jakoukoliv kybernetickou hrozbou. Tyto domněnky jsou samozřejmě liché.

Ožehavým tématem jsou také hesla, která dnes potřebujeme úplně všude. Máme jich velké množství a mnoho zaměstnanců si zjednodušuje život tím, že hesla jednoduše používá opakovaně. Pouze asi čtvrtina uživatelů používá heslové manažery. Nejhorším zlozvykem je ovšem použití hesla, které je stejné jako přihlašovací jméno. Tyto chybné návyky používá podle průzkumu společnosti Proofpoint až 16 % lidí.

Pokud jsou zaměstnanci na cestách nebo v nedůvěryhodném prostředí, tak by měli používat buď firemní VPN, nebo služby veřejných VPN poskytovatelů. To ovšem běžné nedělají a ohrožují tak nejen sebe, ale hlavně zaměstnavatele. Např. nákaza ransomwarem může organizaci přijít na desítky milionů. Typickým příkladem bylo podcenění bezpečnostních rizik u nemocnice v Benešově, kde škody podle oficiálního prohlášení zřizovatele nemocnice vystoupaly na závratnou částku 60 milionů korun.

Neznalost bezpečnostních rizik nikoho neomlouvá. Za problémy v oblasti kybernetické bezpečnosti si firmy z velké části mohou samy. Jen nákup technologií nic nevyřeší, velmi podceňovaná je prevence a lidský faktor. Pravidelná školení zaměstnanců jsou nesmírně důležitá a organizace, které je dělají, významně snižují rizika. Nejčastější a nejúčinnější kybernetický útok je sociální engineering kombinovaný s dobře provedenou phishingovou kampaní, která plošně útočí na celou organizaci nebo pouze na vybrané jedince. Obrana bez průběžného školení zaměstnanců je prakticky nemožná.

Martin Půlpán Martin Půlpán
Autor článku je expertem na kybernetickou bezpečnost, který působí ve společnosti net.pointers.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1