Soitron: Nejčastější prohřešky proti kyberbezpečnosti, kterých se zaměstnanci dopouštějí

Lidská chyba stojí za velkou částí kybernetických útoků na firmy. Pro podnikové sítě, které musí každý den čelit různým druhům bezpečnostních incidentů a jsou doslova pod palbou útočníků, se jako velmi významným zranitelným místem ukazují zaměstnanci. Jsou to právě oni, kdo otevírají širší pole působnosti hackerům. Proč se zaměstnanci stávají slabým článkem v kybernetické bezpečnosti. A co dělají špatně?

Společnost Soitron definovala rizika, kterými zaměstnanci otevírají pomyslná zadní vrátka firemních IT prostředí. „Rizika jsou rozdělena do dvou oblastí. Lehkovážnost až naivita a potom ignorace, tedy to, že zaměstnanci si uvědomují, že něco dělají špatně, ale i přesto tak konají,“ prozradil Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron. Některé hrozby způsobené zaměstnanci jsou zapříčiněné sdílením hesel, nekonzistentním přístupem k aktualizacím, otevíráním podezřelých e-mailových příloh a klikáním na nebezpečné URL adresy. Další představují přístup k podnikovým sítím z neautorizovaných a nezabezpečených osobních zařízení.

„Pokud by se měly spočítat všechny potenciální útoky způsobené zaměstnanci, byl by seznam nekonečný. Proto pojďme zmínit ty, které jsou nejčastější a s největší pravděpodobností se jich dopouští každý zaměstnanec,“ uvedl Lohnert.

Člověk sociální – sdílení informací je dnes velice populární. Dokonce je považováno za bohulibou nesamozřejmou činnost, která je nám vštípená do naší DNA. Jenže sdílet by se mělo odsud posud, nebo spíše rozumně. To se však neděje. Místo toho zaměstnanci sdílejí informace dost často i o své práci neuvážlivě a útočníci toho využívají. O podniku se tak snadno dozví řadu informací – ze screenshotů, e-mailových adres, fotografií zařízení apod.

Člověk zvědavý – další silnou lidskou vlastností je zvědavost. Co člověk udělá, když se dozví, že vyhrál? Jistě si bude chtít ověřit, co vyhrál, nebo kolik peněz to dělá, či jak dále postupovat. Klikání na různé linky oznamující výhry, nebo že je něco zdarma, je velmi nebezpečné. Navíc zde vstupuje do role i sociální inženýrství prostřednictvím tlaku – výhra se musí vyzvednout do určité doby – dává prostor chybám a překotné neuvážené lidské reakci.

Člověk ignorující – systémy jsou navrženy tak, aby fungovaly. Ideální by bylo, kdyby automaticky, ale to není v praxi možné. Proto čas od času vyžadují interakci s uživatelem. Jestliže se zaměstnanci objeví od antivirového programu hlášení, že v PC bylo nalezeno něco podezřelého, neměl by to ignorovat. To samé platí o tom, pokud jsou vyzváni k instalaci updatu, nebo restartu systému. Hlášení tu jsou od toho, aby se s nimi pracovalo, ne se ignorovala.

Člověk dohledatelný – přístupová jména a hesla byla vymyšlena z důvodu prokázání oprávněného vstupu například do nějaké služby. Mají však i další využití. Díky nim lze sledovat, co uživatel v systému dělal. Takže pokud jeden přístup využívá více zaměstnanců, je to špatně, protože potom není možné v případě bezpečnostního incidentu najít cestu průniku do systému. Jinými slovy, stěžuje to detekci nastalých problémů – případně odcizení přístupů atd.

Člověk hloupý – je neoddiskutovatelné, že člověk je tvor líný. Proto i v případě hesel volí taková, aby si je snadno pamatoval. Takže se snaží používat jedno heslo na vše, případně typu heslo123, své jméno, jména rodinných příslušníků apod. To ale není správně, taková hesla jsou snadno prolomitelná. Přitom silné heslo si lze také dobře zapamatovat. Použít lze oblíbené citáty z knih, filmů, či dokonce reklam, oblíbené verše, písničky atd. zkrátka cokoliv a následně to upravit pomocí malých a velkých písmen, číslic a speciálních znaků.

Člověk lenivý – současná pandemická doba dala vyniknout využití vlastních zařízení pro firemní účely. Jejich nedostatečné zabezpečení je však zdrojem bezpečnostních incidentů v podnikových sítích. A málokdo si to uvědomuje, ale platí to i obráceně. Proto by se v ideálních podmínkách jedno zařízení nemělo používat k firemním
i soukromým účelům. A pokud už je to nutné, tak v případě firem používat bezpečnostní prvky, typu VPN nejlépe s multifaktorovým ověřením apod.

Volně přístupné neznamená bezpečné

Toto jsou jen některá bezpečnostní rizika přicházející od zaměstnanců, kterým musí čelit podnikové IT sítě. Existuje jich však daleko více. Jedním z nich je například
i maskování veřejně dostupných sítí za ty legitimní. „Běžnou situací je, že host hotelu, který se chce připojit k hotelové Wi-Fi, najde dvě sítě. Jednu nezabezpečenou a jednu zabezpečenou. Zatímco by se měl připojit k té zabezpečené tím, že si vyžádá oprávnění, tak se z důvodu usnadnění připojí k nezabezpečené. Jenže ta nemusí být hotelová. Na první pohled z důvodu podobného názvu jako má hotel, se vše může zdát legitimní, ale stejně tak se za ní může vydávat, být podvržená. Jakmile se zaměstnanec/host hotelu připojí, útočník může zachytit jeho komunikaci směrem na internet,“ řekl Lohnert.

Podobné je to i s používáním nefiremních zařízení. Jejich neautorizované zapojování do firemní infrastruktury je dalším velkým bezpečnostním rizikem.
A přitom to mohou být třeba jen USB gadgety, které firmě přivodí velký bezpečnostní problém. „Samozřejmě je těžké postarat se o to, aby zaměstnanci dodržovali všechna bezpečnostní doporučení. Avšak formou edukace lze celé řadě nevědomých pochybení předcházet. Pokud se tak neděje, tak pacient nula vlastně ani nemusí tušit, že něco dělá špatně,“ uzavřel Lohnert.

Zdroj: Soitron