9 человеческих факторов кибербезопасности сотрудников, которые угрожают корпоративным данным
В следующий раз, когда крупная кибератака попадет в заголовки международных газет, попробуйте спросить случайных людей, как, по их мнению, произошел этот инцидент. Вскоре вы придете к быстрому заключению. Многие люди воспринимают кибератаки как индивидуальную или групповую работу по использованию уязвимостей существующей операционной системы или корпоративного приложения.
Однако чаще злоумышленники используют слабое звено , возникающее в результате действий или бездействия человека. В этой статье мы обсудим 9 человеческих факторов, на которые попадают сотрудники , которые подвергают вашу компанию риску кибербезопасности. К ним относятся события или действия, когда человеческая ошибка приводит к успешному взлому системы и/или утечке данных.
Что кибератаки делают с компанией
Человеческая ошибка остается одной из самых больших проблем в корпоративной кибербезопасности . Согласно отчету BakerHostetler о реагировании на инциденты в области безопасности данных за 2021 год , 36% инцидентов, с которыми работала юридическая фирма, были связаны с фишингом, непреднамеренным раскрытием информации или кражей/потерей устройств/записей. Некоторые угрозы, связанные с человеком, включают совместное использование паролей, непоследовательное исправление, открытие подозрительных вложений электронной почты и нажатие на небезопасные URL-адреса. Еще одна угроза — доступ к корпоративным сетям с неавторизованных и незащищенных личных устройств.
Помимо риска для информации, кибератаки ежегодно обходятся организациям в миллиарды долларов. Это, кажется, только ухудшилось в последние годы.
Стоимость утечки данных часто многогранна. Расходы могут включать следующее:
- Привлечение сторонних экспертов по кибербезопасности
- Расследование инцидента
- Закрытие бреши
- Системы очистки
- Обновление приложений безопасности
- Уведомление затронутых клиентов
- Риск доверия клиентов
- Имидж бренда Denting
- Страдающие нормативными штрафами и внесудебными урегулированиями
Согласно отчету IBM о стоимости взлома данных за 2021 год , средняя стоимость взлома составила 4,24 миллиона долларов , что является самым высоким показателем за 17 лет. Кибератаки по инициативе сотрудников являются причиной значительной части таких инцидентов.
Тем не менее, с какими наиболее распространенными кибератаками сталкиваются компании в результате ошибок сотрудников?
Распространенные кибератаки на безопасность сотрудников
Если бы я захотел подсчитать все потенциальные атаки сотрудников, список был бы бесконечным. Давайте рассмотрим атаки, которые, скорее всего, будут исходить от вашего персонала.
Заражение вредоносным ПО
Вредоносное ПО — это программное обеспечение, устанавливаемое без явного или информированного согласия пользователя . Это может произойти, если сотрудник открывает подозрительное вложение электронной почты или посещает зараженный веб-сайт. Как следует из названия, когда вредоносное ПО заражает вашу систему, оно выполняет вредоносные несанкционированные действия. Эти действия могут включать постоянный доступ к вашей сети, слежку за пользователями, нарушение работы вашей сети, вымогательство денег и многое другое.
Фишинговая атака
Фишинг возникает, когда злоумышленник обманывает жертву (в данном случае вашего сотрудника). Они могли бы заставить их раскрыть конфиденциальную информацию о клиентах или организациях , такую как пароли, данные кредитных карт и конфиденциальные или стратегические документы. Вы скажете, но мои сотрудники не настолько доверчивы. Это правда, но злоумышленники могут отправлять электронные письма , которые, как представляется, исходят из надежного источника . Таким образом, ничего не подозревающий сотрудник перейдет по ссылке и попадет под фишинговую атаку.
Атака «Человек посередине» (MITM)
Атака MITM происходит, когда злоумышленники перехватывают интернет-связь между двумя или более сторонами. Цель состоит в том, чтобы подслушать сообщения, украсть учетные данные или получить конфиденциальную информацию. MITM может произойти, когда сотрудник использует общедоступный Wi-Fi .
Однако вы можете легко избежать этих атак. Просто рассмотрите эти 9 распространенных факторов, которые приводят к угрозам кибербезопасности со стороны сотрудников.
9 причин, по которым сотрудники становятся слабым звеном кибербезопасности
Причины, по которым сотрудники подвергают опасности корпоративные системы и данные, варьируются от преднамеренного саботажа до неосведомленных действий. Когда происходит кибератака, системы и данные вашей компании подвергаются риску, независимо от того, как она началась. Рассмотрим эти 9 вещей, которые могут привести к угрозам кибербезопасности со стороны сотрудников.
1. Усталость
Усталость может быть вызвана тяжестью обязанностей вашего сотрудника на работе . Это также может происходить из-за характера деятельности, которой они занимаются, пока находятся вне офиса . Это часто расширяет физические и умственные возможности ваших сотрудников.
Затем это приводит к снижению уровня концентрации на работе. Сотрудники просто слишком устали, чтобы постоянно следовать корпоративным процедурам по защите данных и безопасности приложений. Это, в свою очередь, увеличивает вероятность совершения ими ошибок кибербезопасности, которые могут поставить под угрозу ваши корпоративные системы и данные.
Советы профессионалов:
- Сдерживать усталость, гарантируя, что сотрудники уходят с работы вовремя
- Равномерно распределяйте работу, чтобы не перегружать одного сотрудника
2. Финансовая потребность
Финансовая выгода лежит в основе большинства форм незаконной деятельности. Киберпреступность ничем не отличается. Персонал в погоне за легкими деньгами может выйти из строя и сделать несанкционированное. Ваш сотрудник может захотеть обойти политики и процедуры, чтобы участвовать в несанкционированных системных действиях или сотрудничать с внешними злоумышленниками.
Может ли финансовая выгода быть такой заманчивой? Злоумышленники могут пообещать вашему сотруднику финансовую выплату, которая изменит его жизнь, если они смогут раскрыть конфиденциальные данные. Сотрудники могут бороться с накоплением долгов . Это приводит к тому, что они цепляются за все, что дает возможность вырваться из их финансовой ловушки.
Советы профессионалов:
- Организуйте семинары по финансовому планированию для сотрудников, чтобы помочь им выбрать законные варианты, которые максимизируют их богатство.
- Обращайте внимание на сотрудников, у которых есть признаки финансового затруднения, например, репутация тех, кто берет взаймы у коллег.
3. Невежество
Вы можете себе представить, что с повышением компьютерной / технологической грамотности повысится и базовая осведомленность среднего сотрудника о рисках кибербезопасности. Однако реальность заметно отличается.
Вы можете быть удивлены тем, как много сотрудников не знают, что делать правильно . Они не понимают, что им нужно использовать пароли, избегать подключения к общедоступным сетям Wi-Fi или воздерживаться от сохранения конфиденциальной информации компании на своих личных устройствах.
Сотрудники не понимают, как их повседневные действия могут поставить под угрозу конфиденциальные данные компании, сотрудников, клиентов и поставщиков.
Советы профессионалов:
- Разработайте комплексную программу повышения осведомленности и обучения сотрудников в области кибербезопасности.
- Все сотрудники проходят обязательный ежегодный тренинг по кибербезопасности
4. Удобство
Сотрудники по кибербезопасности не всегда самые популярные люди среди ИТ-отдела или сотрудников в целом. Часто сотрудники считают, что специалисты по кибербезопасности затрудняют быстрое развертывание проектов и быстрое выполнение задач. Когда ваши сотрудники думают, что элементы управления мешают их работе, они будут более открыты для ярлыков.
Возьмем в качестве примера банк, где для окончательной проверки транзакциям требуется разрешение менеджера. У менеджера может возникнуть соблазн поделиться учетными данными с подчиненным сотрудником. Таким образом, менеджер не вызывается каждый раз, когда необходимо завершить транзакцию.
Нашли оговорку? Когда менеджер делится учетными данными, он жертвует безопасностью данных и системы ради краткосрочного удобства .
Профессиональный совет:
- Убедитесь, что обучение сотрудников по кибербезопасности включает риск, связанный с обходом средств контроля, для краткосрочного удобства.
5. Внутренний конфликт
Исследования показывают, что вы подвергаетесь более высокому риску дорожно-транспортного происшествия, если садитесь за руль, когда злитесь или расстроены. Эмоциональный дистресс увеличивает риск отвлечения внимания. Одно исследование показало, что у вас в пять раз больше шансов попасть в аварию, чем у водителя, болтающего по телефону .
Конфликт на рабочем месте и соперничество создают аналогичный риск. Ваши сотрудники могут быть слишком сосредоточены на наборе очков против соперника или чувствовать, что коллеги постоянно их провоцируют. Это приведет к тому, что сотрудники разобьют свою машину кибербезопасности, когда они попытаются срезать путь, чтобы победить своих коллег.
Советы профессионалов:
- Следите за трениями между сотрудниками или отделами
- Создайте каналы для быстрого решения любого внутреннего конфликта
6. Неконвергентная безопасность
Традиционно физическая и ИТ-безопасность были отдельными подразделениями, которые функционировали независимо друг от друга и сотрудничали друг с другом только в отдельных случаях. Тем не менее, цифровая и интернет-революция быстро сузила грань между физическими и виртуальными угрозами. Это привело к тому, что многие организации осознали ценность объединения функций физической и ИТ-безопасности.
Когда компании не хватает такой конвергенции , угрозы, находящиеся за границей физического и киберриска, могут остаться незамеченными. Вы закончите нарушением безопасности, и обе команды переложат вину на другую команду.
Подумайте о злоумышленнике, который запирает сотрудника в центре обработки данных через входную дверь с карточным управлением. Дверь доступа находится под физической защитой, в то время как инцидент в центре обработки данных находится в области ИТ-безопасности. Кто возьмет на себя вину?
Советы профессионалов:
- Объединение процессов физической и ИТ-безопасности
- Способствовать более тесному и более стратегическому сотрудничеству между ними, поскольку конвергенция не обязательно влечет за собой слияние обеих функций.
7. Это «ИТ-проблема»
Вы, вероятно, слышали это несколько раз раньше. Не только обычные сотрудники, не связанные с ИТ, говорят: «Это проблема ИТ». Часто это культура, которая начинается сверху , то есть с правления и топ-менеджеров. Этот взгляд на кибербезопасность игнорирует тот факт, что для борьбы с киберрисками, с которыми сталкиваются компании, требуется целый военный флот.
Чтобы защитить компанию от угроз кибербезопасности, потребуется несколько отделов . Ваша ИТ-служба безопасности и/или ИТ-отделы не могут устранить каждую потенциальную лазейку в системе безопасности в компании. Они не могут быть везде и всегда. Если другие отделы рассматривают кибербезопасность сотрудников как ИТ-проблему, вам следует обратить внимание на серьезную опасность, скрывающуюся вокруг ваших данных и систем.
Профессиональный совет:
- Убедитесь, что все сотрудники понимают свою личную ответственность за защиту корпоративных систем и данных.
8. Устаревшие или неадекватные политики и процедуры
Я не могу не подчеркнуть необходимость регулярного обновления политик и процедур кибербезопасности . Средства контроля и методы , которые были эффективны три года назад, сегодня могут оказаться крайне неадекватными.
Подумай об этом. За последние три года ваша компания, скорее всего, приобрела новые системы, значительно обновила существующие, исключила определенные роли и ввела новые должности. Устаревшие политики и процедуры не учитывают эти изменения в ландшафте угроз.
Вот почему сотрудники, полагающиеся на эти старые политики и процедуры, плохо подготовлены. Они не могут с самого начала принять необходимые меры для обеспечения безопасности корпоративных систем и данных.
Профессиональный совет:
- Разработайте график регулярной проверки и обновления кибербезопасности, а также всех корпоративных политик и процедур.
9. Безрассудство
Кибератаки иногда бывают успешными из-за безрассудства сотрудников. В этом случае ваш сотрудник понимает, что ему нужно сделать, но умышленно игнорирует это . Они могут полагать, что никто не узнает или что их действия не нанесут вреда системам и данным компании.
Часто беспечность ваших сотрудников растет по мере того, как они привыкают нарушать правила без каких-либо последствий. Сотрудники проявляют небрежное отношение , поскольку они начинают внутренне сомневаться в ценности соблюдения политик и процедур кибербезопасности сотрудников.
Советы профессионалов:
- Обеспечить преднамеренное игнорирование политик и процедур, вызывающее решительную реакцию, включая увольнение для рецидивистов
- Убедитесь, что программа обучения кибербезопасности вашей организации посвящена тому, как элементы управления безопасностью помогают защитить корпоративные системы и данные.
Хотя эти проблемы кажутся слишком сложными, наши профессиональные советы помогут вам начать снижать риски.
Вы можете снизить риск
Люди могут быть ахиллесовой пятой кибербезопасности, но это не значит, что вы не можете снизить их риски. Вы можете извлечь выгоду из быстрого распространения инструментов предотвращения потери данных, мониторинга поведения и обнаружения внутренних угроз.
Тем не менее, такие технические решения настолько эффективны, насколько эффективны нетехнические элементы управления, с которыми вы их сочетаете . Эти нетехнические меры включают установление правильного тона наверху, проведение обучения и информирования сотрудников, объединение функций безопасности и регулярное обновление процедур.
Последние мысли
Подумайте о том, как произошла последняя вредоносная или фишинговая атака на вашу организацию. Сотрудник, вероятно, загрузил подозрительное вложение или ответил на мошенническую ссылку, полученную по электронной почте.
Действия или бездействие сотрудников являются причиной многих успешных кибератак и утечек данных. Причины варьируются от совместного использования учетных данных и игнорирования процедур до внутренних конфликтов и неконвергентной безопасности. Эти нарушения совокупно обходятся организациям в миллиарды долларов каждый год.
Лидеры бизнеса, ИТ и кибербезопасности не могут позволить себе игнорировать риск, который их сотрудники потенциально представляют для корпоративных систем и данных.
Часто задаваемые вопросы
Что такое целевой фишинг?
Целевой фишинг — это целенаправленный фишинг . Злоумышленники часто изображают из себя известный и надежный источник, чтобы обмануть тщательно отобранную жертву, чтобы она разглашала конфиденциальную информацию. Это одна из самых разрушительных кибератак на сотрудников.
Каковы основные типы вредоносных программ?
Вредоносное ПО бывает разных видов и зависит от используемого эксплойта и вектора атаки. Некоторые из них включают: вирусы, черви, трояны, программы-вымогатели, рекламное ПО, шпионское ПО, ботнеты, руткиты и кейлоггеры. Многие из них, такие как вирусы, черви и трояны, используют атаки путем внедрения, чтобы обойти большинство мер безопасности. Другие используют социальную инженерию для распространения вредоносного ПО, минуя зоны безопасности. Выбор правильного вектора атаки будет иметь жизненно важное значение для успеха киберпреступника.
Что такое программы-вымогатели?
Форма вредоносного ПО, которое блокирует или шифрует устройство, приложение или данные. Затем злоумышленник требует от жертвы выкуп за восстановление доступа. Злоумышленники-вымогатели обычно являются организованными преступниками с профессиональными инструментами.
Какой был самый крупный платеж программ-вымогателей в 2021 году?
Страховая компания CNA Financial заплатила злоумышленникам 40 миллионов долларов за восстановление доступа к своим системам. В этом случае CNA Financial не смогла успешно восстановить свою систему. Им пришлось заплатить за удаление программы-вымогателя или обанкротить компанию из-за убытков.
Кто такой C-Suite?
Термин C-Suite представляет руководителей высшего звена в организации. В C-Suite обычно входят генеральный директор, главный операционный директор, финансовый директор и ИТ-директор/технический директор. Этот термин помогает отличить их от менеджеров среднего и среднего звена. ИТ-специалистам, вероятно, потребуется получить одобрение от C-Suite для более крупных изменений в области кибербезопасности из-за финансовых затрат, изменений в рабочих процессах пользователей и политик.