31 iul. 2017 | 13:47

De ce angajatul e una dintre verigile slabe în securitatea unei firme

OPINII
De ce angajatul e una dintre verigile slabe în securitatea unei firme

Securitatea unei firme ar trebui să fie o prioritate pentru toți angajații, în special într-o perioadă în care atacurile cibernetice sunt tot mai numeroase. Dar de la „ar trebui“ la „este“ calea e ceva mai lungă.

Într-un articol anterior, vorbeam despre cât de ușor este să compromiți rețeaua unei companii, mai ales când te ajută cineva din interior. De multe ori, ajutorul acesta nici măcar nu este premeditat. Pur și simplu, este vorba de lipsă de informare în domeniul securității cibernetice, de nepăsare, neatenție sau, pur și simplu, de credulitate. Chiar și oamenii foarte buni pe segmentul lor de activitate, oferă ușor prea multe informații, când vine cineva de la IT. Un alt experiment făcut de colegii mei a fost următorul: la contabila unui ONG vine un IT-ist, pentru a instala un update de securitate. Responsabilul IT îi cere parola, o primește și este lăsat să lucreze în liniște.

În acest caz, IT-istul extern era un cercetător și nu s-a întâmplat nimic rău. Putea la fel de bine, însă, să fie un hacker interesat să obțină acces la  rețeaua ONG-ului, pentru a ajunge la o altă companie, să zicem. Ideea e că prin diferite tehnici de social engineering o persoană suficient de bine motivată ar putea să pătrundă în rețeaua companiei.

Un atac simplu ca formă e, în realitate, complex și are o țintă exactă

Deși nu sunt foarte răspândite, astfel de atacuri rareori dau greș. Infractorii se bazează pe încrederea automată care li se acordă și pe contactul direct pentru a-i prinde cu garda jos pe angajații de bună-credință, urmând ca apoi să acționeze. Atacurile în masă se bazează mult pe factorul uman: vedem asta în în mail-uri infectate, în tentative de phishing și în atacuri pe rețelele sociale prin care infractorii încearcă să obțină cât mai multe informații confidențiale.

Cifrele noastre confirmă, pe baza răspunsurilor oamenilor din companii, că angajații neinformați sau nepăsători au fost implicați în aproape jumătate dintre incidentele de securitate cibernetică cu care s-au confruntat companiile pe parcursul anului trecut. Astfel, angajații sunt a doua cauză a unui atac, după malware. Cauzele pot fi numeroase, fie că distribuie pe rețelele sociale informații care nu ar avea ce să caute acolo, fie că pierd un dispozitiv mobil, deschid un link infectat sau îl lasă la computerul lor pe primul venit care susține că e de la furnizorul extern de IT și trebuie să verifice sau instaleze ceva.

Din experiența noastră, există anumite tipuri de posturi care sunt mai atractive pentru infractorii cibernetici.

Angajații din IT – Surprinzător, nu? Pentru că ei sunt cei mai în temă cu tehnologia, ar trebui să fie și cei mai pregătiți. În realitate, de multe ori cred că le știu pe toate și sunt invulnerabili, dar obiceiurile lor în materie de securitate lasă de dorit. De exemplu, un angajat IT a activat opțiunea ca parolele să nu expire niciodată, ceea ce era împotriva regulamentului companiei, care prevedea schimbarea periodică a acestora. Acest lucru a pus în pericol conturile angajaților.

Angajații departamentului financiar – Oamenii care primesc mereu facturi și detalii de plată sunt o mină de aur pentru infractori. Majoritatea dintre ei își vor da seama că este ceva în neregulă dacă primesc un e-mail suspect, dar vor fi și câțiva care vor cădea în capcană. Anul trecut, a fost un caz celebru la noi în țară. Șefa departamentului financiar al firmei Leoni Wiring Systems a plătit 40 de milioane de euro în contul unor infractori cibernetici în urma unor mail-uri care veneau, aparent, din partea unor directori de la sediul central, din Germania.

Angajații de la HR – Sunt interesanți pentru că au acces la o mulțime de informații despre companie și personalul ei și sunt obișnuiți să deschidă fișiere cu CV-uri de la persoane necunoscute. Un CV banal ar putea să ascundă un fișier malware care să afecteze toată rețeaua companiei (așa numitul „targeted 0 day attack“).

 Angajații departamentului administrativ – Dețin și ei informații importante despre infrastructura firmei. În simulările noastre, s-a întâmplat frecvent ca un angajat al departamentului administrativ sau de la front office să dea curs unui mail de la „IT“ în care i se cere să descarce un update important. Angajaților li se pare perfect normal să procedeze astfel și pe acest lucru mizează infractorii.

Persoanele din top management – Se întâmplă de multe ori ca cei aflați în funcții de conducere să considere că regulile IT nu li se aplică și lor, iar această concepție îi transformă într-un element vulnerabil pentru companie. Pot fi abordați de către atacatori prin intermediul social media sau pe e-mail, cu link-uri infectate, sub pretextul că reprezintă autorități sau companii cunoscute.

Ar fi absurd să le pretindem oamenilor să nu mai aibă încredere în nimeni când sunt la serviciu, dar sunt câteva lucruri pe care companiile le pot face pentru a diminua riscurile. De exemplu, ar trebui să încurajeze oamenii să verifice informațiile și prin telefon când li se cere pe mail un update sau să plătească o sumă de bani.

Training-urile pe teme de securitate nu trebuie să fie plictisitoare, ci pot fi făcute prin joc. În plus, o cultură organizațională care să încurajeze raportarea incidentelor de securitate, este foarte importantă. Într-un astfel de caz, este mai bine să spui ce era de făcut, decât să-l sancționezi pe cel care nu a procedat corect. De regulă, oamenii se tem de consecințe sau le este jenă să spună că au provocat o problemă de securitate. Cu alte cuvinte, că au fost „veriga slabă“.

Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile ... vezi toate articolele