Az emberi hibák jelentős IT-biztonsági problémákat okoznak a kisvállalkozásoknak

Az Acronis kibervédelmi kutatási alelnöke, Candid Wüest a minap egy nem is olyan régi történetet idézett fel az amerikai Computerworldnek. Olyan ügyféllel dolgozott együtt, akinek zsarolóprogrammal fertőződött a rendszere, miután egyik alkalmazottja bedőlt egy adathalász kísérletnek: az illetőt rávették, hogy letöltsön és futtasson egy fájlt, amiről végig azt hitte, hogy az informatikai osztályról érkezett.

A behatolás akkora pusztítást okozott, hogy a vállalatnak a nap hátralévő részére – és a következő napra is – le kellett állítania a működését. „Az alkalmazott véletlenül beengedett egy támadást a hálózatba” – mondja Wüest. „Ez az emberi hiba miatt a vállalatnak jelentős mennyiségű időt és pénzügyi erőforrást kellett fordítania a támadás utáni helyreállításra.” Hozzátette, hogy több hétbe telt, amíg a vállalat befejezte a támadás kivizsgálását, és megbizonyosodott arról, hogy a hálózatukban nem történt más veszélyeztetés. 

Sajnos az emberi hiba még mindig kulcsszerepet játszik számos kiberbiztonsági támadásban. Az IDG 2021-es biztonsági prioritásokról szóló tanulmánya szerint 2021-ben a biztonsági incidensek 44%-át az okozta, hogy az alkalmazottak adathalászat vagy más, nem rosszindulatú (azaz véletlen) biztonsági szabályszegés áldozatává váltak – az előző évi 36%-hoz képest. Ez annak ellenére volt így, hogy a válaszadók közel fele kiemelten kezelte a munkatársak biztonsági képzését és tudatosságát.

Az emberek azért jelentenek szűk keresztmetszetet, mert a megszokások rabjai vagyunk, és néha inkább megkerüljük a biztonsági protokollokat, mintsem alkalmazkodnánk hozzájuk.

„Egy másik ok, hogy gyakran érezzük magunkat sietősnek és túlhajszoltnak, ami hanyagsághoz vezethet, különösen az e-mailek átnézésekor” – mondja Wüest. „A legtöbb embert valószínűleg felkészítették arra, hogyan kerüljék el az adathalász e-maileket, de a linkek ellenőrzése vagy az ismert, legitim domainek kézzel történő beírása a böngészőablakba időt vesz igénybe – így ezeket a műveleteket gyakran kihagyják.”

Hogyan védhetik meg rendszereiket a kisvállalkozások?

A vállalkozások vezetőinek továbbra is eltökéltnek kell maradniuk abban, hogy a biztonságot a céges kultúra részévé tegyék. 

„Az alkalmazottak megfelelő biztonsági eljárásokra való oktatása nem lehet egy az egyben megoldás” – mondja Wüest.

„A vállalati kultúrának folyamatosan a biztonságot előtérbe helyező mentalitást kell fenntartania. Ennek a stratégiának felülről kell kiindulnia.”

Tartson továbbra is rendszeres képzéseket. „Adathalász-teszteket is lehet futtatni, hogy az alkalmazottak lássák, milyen könnyű bedőlni az adathalász-kísérleteknek. Ezt azonban az alkalmazottak oktatására kell használni, nem pedig büntetésre.”

„A biztonsági eljárásoknak rendszeres beszédtémának kell lenniük a megbeszéléseken, és minden lehetséges problémát széles körben meg kell vitatni” – tette hozzá.

Bár az oktatás és az éberség kultúrája csökkentheti a kockázati lehetőségeket, minden olyan rendszer, amely kizárólag az emberi ítélőképességre támaszkodik, szinte elkerülhetetlenül sérülésekkel jár – és elég egyetlen ilyen hiba ahhoz, hogy egy egész szervezetet veszélybe sodorjon.

A modern biztonsági megoldások olyan automatizált védelmet tartalmaznak, mint például a többrétegű rosszindulatú programok elleni képességek, amelyek a fenyegetésekkel való azonnali találkozáskor lépnek fel, míg az URL-szűrők képesek megjelölni a gyanús címeket, és megakadályozni, hogy a felhasználók valaha is találkozzanak a legtöbb kiberfenyegetéssel.

Még ha nincs is erős belső IT-csapata egy cégnek, minden költségvetéshez találhat megfelelő, harmadik féltől származó szolgáltatásokat. A menedzselt szolgáltatást nyújtók fel tudják húzni az IT-rendszereket a megfelelő biztonsági szintre anélkül, hogy a vállalat csődöt jelentene. Mivel az átlagos zsarolóvírus-kifizetések mára meghaladják a 100 000 dollárt, ideje befektetni a proaktív védelmi intézkedésekbe. A vállalkozások léte függ ettől.

Védje meg alkalmazottait és vállalkozását az emberi hibák ellen. Látogasson el a Computerworld által rendezett SecWorld konferenciára!

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!