Człowiek to często najsłabsze ogniwo cyberbezpieczeństwa
A jeśli słabym ogniwem jest pracownik, to jaki typ ataku byłby dla hakera najłatwiejszy? No cóż, taki, który nie wymaga szczególnych umiejętności technicznych. Po prostu taki, który wykorzysta naiwność pracowników. Ot, na przykład phishing. Podesłać komuś e-maila o konieczności zalogowania się na konto w banku czy konto firmowe. Podstawić stronę łudząco przypominającą bankową czy firmową i pobrać do nich loginy i hasła. Jeśli jeszcze bank czy firma nie mają uwierzytelniania dwuetapowego…. dla hakera to bajka.
O tym, jak kosztowny może być atak phishingowy przekonało się Pepco, które straciło w ten sposób 15 mln euro.
Nic więc dziwnego, że jak wynika z raportu firm Eset i Dagma Bezpieczeństwo IT na temat cyberbezpieczeństwa w firmach, phishing jest najpopularniejszym atakiem doświadczanym przez firmy, z którym zetknął się co trzeci biznes w Polsce. Drugi typ ataków, na sieci wi-fi, dotyka już tylko co piątej polskiej firmy.
Czy te ataki bywają skuteczne? Zapewne tak – pod względem umiejętności cyfrowych Polska jest w ogonie Europy a firmy, zwłaszcza mniejsze, często niewiele robią, by podnosić świadomość pracowników dotyczącą cyberzagrożeń. Tylko 42% małych firm (do 50 pracowników) przeprowadziło dla swoich pracowników szkolenie z cyberbezpieczeństwa. Lepiej jest w firmach większych – tu trzy czwarte podmiotów przeprowadziło choć jedno szkolenie.
Ogółem, 52% pracowników nie przeszło żadnego szkolenia z zakresu cyberbezpieczeństwa w ciągu ostatnich pięciu lat. Wynik? Niemal co trzeci pracownik nie wie nawet tego, komu w firmie zgłosić cyberatak, jeśli taki by wystąpił.
Najpilniejsze inwestycje? Szkolenia
Czy firmy zdają sobie sprawę z braków w wyszkoleniu pracowników z zakresu cyberbezpieczeństwa? Znaczna ich część – tak. Niemal połowa firm wymienia szkolenia wśród najpilniejszych inwestycji i jest to najczęściej wymieniany obszar priorytetowych inwestycji z zakresu bezpieczeństwa cybernetycznego.
Wiele oczywiście zależy od jakości szkoleń, ale pracownicy zwykle są z nich zadowoleni. Jak odnotowuje raport, „aż 3 na 4 badanych pracowników zadeklarowało, że szkolenie z zakresu cyberbezpieczeństwa zwiększyło ich świadomość reguł w tym obszarze”.
Źródło grafiki: Sztuczna inteligencja, model Dall-E 3