"Ljudski faktor" u borbi protiv cyber prijetnji: Zašto su zaposlenici prva linija odbrane?
U današnjem digitalnom dobu, sve više kompanija i organizacija ulaže značajna sredstva u svoju IT infrastrukturu kako bi štitila svoje ključne sisteme i intelektualno vlasništvo od cyber napada.
Firewalli, End-point zaštite, SDWAN, VPN i drugi napredni sigurnosni sistemi često su smatrani prvom linijom odbrane.
Iako ove tehnologije i tehničke sigurnosne mjere igraju ključnu ulogu u smanjenju cyber sigurnosnih rizika, važno je imati na umu da analize pokazuju da novi metodološki pristupi koje napadači iskorištavaju ciljaju na ljudsko ponašanje i nedostatak svijesti i znanja uposlenih o sigurnosti.
Statistike pokazuju da čak 80-90 posto svih uspješnih cyber napada je posljedica ljudske greške, a ne propusta tehničkog dijela sistema. Ipak, bez obzira što je ljudski faktor odgovoran za više od 80 posto sigurnosnih incidenata, tradicionalne cyber sigurnosne mjere i dalje se primarno usmjeravaju na osiguranje infrastrukture.
Ovo znači da je značajan dio budžeta za sigurnost potrošen na tehnologije za odbranu od prijetnji, ali bez vidljivosti rizika ljudskog faktora. To ukazuje na nedostatak edukacije i podizanja svijesti o Cyber sigurnosti kod uposlenika o svim potencijalnim rizicima sa kojima se mogu susresti u svom svakodnevnom radu.
Upravo iz ovog razloga koncept "Human Risk Assessment-a" u cyber sigurnosti je nešto o čemu se mora češće govoriti kada je u pitanju planiranje IT sigurnosti unutar kompanija. Za razliku od tradicionalnih IT sigurnosnih rješenja sada se ovim pristupom fokus stavlja na evaluaciju rizika koje ljudsko ponašanje unosi u poslovanje.
Potreba za Human-Centric Cyber sigurnošću
Predviđanja su da će organizacije morati usmjeriti svoju pažnju na rješenja u oblasti Human-Centric Cyber sigurnosti. Ovo podrazumijeva poboljšano obrazovanje, obuke i rigoroznu primjenu sigurnosnih mjera.
Podizanje svijesti o prepoznavanju Phishing napada ili operativnoj sigurnosti u vezi sa važnim uređajima ili podacima mora biti kontinuirano da bi bilo efikasno.
Kultura cyber sigurnosti u organizacijskoj strukturi podrazumijeva ne samo adekvatnu obuku zaposlenika, već i postojanje procedura za prijavu sigurnosnih propusta. Također, mora postojati najveće povjerenje između sigurnosnog rukovodstva i ostatka organizacije. Sigurnosno rukovodstvo se mora moći osloniti na zaposlenike da slobodno prijave ako su bili žrtve Phishing napada, uključujući i prevare sa finansijskim transferima novca. Kada zaposlenici posumnjaju da su možda žrtva phishing napada, moraju imati svijest o tome da je pravovremena prijava ključna.
Stvaranje kulture Human-Centric Cyber sigurnosti znači da zaposlenici ne bi trebali strahovati od prijavljivanja mogućih sigurnosnih povreda. Za rukovodstvo u cyber sigurnosti, svaka minuta je važna. Kreiranje svijesti da prijavljivanje takvih incidenata što ranije može napraviti bitnu razliku kada je u pitanju adekvatan odgovor na incident, ali i sam konačni ishod. Također, postojanje uspostavljenih protokola u kojima je brzo prijavljivanje ovakvih incidenata nagrađeno i poticano stvara sigurnije radno okruženje i bolju usklađenost s postojećim zakonima i regulativama o zaštiti podataka.
Isto tako, kada je riječ o ispunjavanju različitih regulativa o zaštiti podataka, organizacije su se do sad fokusirale na ulogu službenika za zaštitu podataka. To svakako ima svoju svrhu. Međutim, to ne štiti organizaciju od curenja podataka ili zloupotrebe ličnih podataka od strane zaposlenika. Tu je pitanje ljudskog faktora jednako relevantno kao i u slučaju Ransomwarea. Znanje o rukovanju osjetljivim podacima je složeno i podudara se s općim najboljim praksama koje se primjenjuju za sprečavanje Ransomwarea ili drugih sigurnosnih povreda.
Uz to, Phishing napadi su danas izuzetno sofisticirani i prilagođeni po ciljanim kulturnim i geografskim karakteristikama. Pojavom naprednih AI i ML modela i alata hakerima je omogućeno usmjeriti se na veći broj jezičkih i kulturoloških područja i to sa izuzetnom uspješnošću. Stoga su Phishing i socijalni inženjering glavni rizici za organizacije na svim nivoima. Od korisnika na najnižem nivou, pa do najvišeg menadžmenta, svi su podložni Phishing napadima, a posljedice mogu biti katastrofalne.
Neki od ključnih alata u edukaciji korisnika je simulacija prijetnji. Neke vrste simulacija su:
-
Phishing simulacije: Korisnici se izlažu lažnim e-mailovima ili porukama koje oponašaju stvarne Phishing pokušaje. Sistem prati njihove reakcije i informiše organizaciju o odgovorima. Ovo omogućava identifikaciju ranjivih tačaka u znanju korisnika i pruža priliku za ciljanu dodatnu obuku.
-
Testiranje na socijalni inženjering: Scenariji socijalnog inženjeringa postavljaju korisnike pred manipulativne situacije putem društvenih mreža, telefonskih poziva ili direktnim ličnim pristupom osobi i lokaciji. Ovakvi testovi pomažu korisnicima da prepoznaju više ili manje upadljive pokušaje manipulacije.
-
Fizička sigurnost: Pored online prijetnji, fizička sigurnost igra važnu ulogu u konceptu sigurnosti organizacije. Simulacije nepoznatih osoba koje pokušavaju pristupiti fizičkim prostorima ili uređajima pomažu u evaluaciji reakcija zaposlenika i identifikaciji potrebe za dodatnim zaštitnim mjerama.
-
Testiranje odgovora na incidente: Organizacije mogu simulirati incidente kako bi testirale reakciju korisnika. Na primjer, slanje lažne obavijesti o gubitku uređaja ili bankovne kartice može pomoći u procjeni koliko brzo korisnici prijavljuju incidente i slijede odgovarajuće postupke.
-
Kontinuirano obrazovanje i testiranje: Svijest o Cyber prijetnjama se mijenja kako se pojavljuju nove tehnike napada. Stoga je ključno kontinuirano obrazovanje korisnika kako bi njihova svijest ostala ažurirana i prilagodila se evoluciji prijetnji.
U zaključku, iako kompanije i dalje moraju ulagati znatne resurse u tehničke sigurnosne alate, ne smijemo zanemarivati ljudski faktor u cyber sigurnosti. Edukacija korisnika je ključna komponenta u zaštiti organizacija od cyber prijetnji. Kroz simulacije prijetnji i kontinuirano obrazovanje, organizacije mogu smanjiti rizik od ljudske greške i podići nivo cyber svijesti među svojim zaposlenicima. Time se stvara jača i sveobuhvatnija odbrana od cyber prijetnji u današnjem digitalnom svijetu.
Ukoliko želite razmotriti mogućnosti ovakvog pristupa za vašu organizaciju molimo Vas da se javite Cyber Security specijalistima na mail [email protected] ili broj telefona 033 716 500.