6 priežastys, kodėl darbuotojai nesilaiko saugumo politikos

Nors nemažai įmonių yra įgyvendinusios saugumo politiką (ypač po BDAR įsigaliojimo), susiduriame su problema, kad ji neveikia taip, kaip tikėtasi. Kodėl? Tam yra kelios galimos priežastys, tad pamėginsime apžvelgti dažniausias – galbūt su jomis susiduria ir Jūsų organizacija, o galbūt į jas reikėtų atsižvelgti, jei artimiausiu metu planuojate įgyvendinti saugumo politiką savo įmonėje.

 

 

1. Nežinojimas

Šiandien daugiau nei 90 % kibernetinių atakų prasideda “fišingo” (ang. phishing) laišku. Šį strategija puikiai veikia dėl dviejų priežasčių: nusikaltėliai yra kūrybiški psichologai, tad geba nesunkiai apgauti auką, o kompiuterių vartotojai paprasčiausiai nežino, kaip nepapulti į nekalto el. laiško pavidalu atkeliavusius spąstus. Bet tai tik viena medalio pusė.

 

Darbuotojai taip pat dažnai tiesiog nežino, kad organizacijoje įtvirtinta saugumo politika: tyrimai rodo, kad tai yra maždaug pusės naujų ir trečdalio ilgai dirbančių darbuotojų problema. Kodėl? Priežastis paprasta - daugelio įmonių vidinė komunikacija ir vystymo strategijos tiesiog neskiria reikiamo dėmesio saugumo kultūros kūrimui.

 

Suprantama, kad jei trūksta informacijos apie saugumo politikos egzistavimą, negalime kalbėti ir apie jos vykdymą. Pavyzdžiui, keliaujantys kolegos nesiima papildomų prietaisų saugumo priemonių, siunčiamos kvestionuotino patikimumo programėlės, jautrūs duomenys keliami į viešąsias debesų saugyklas be papildomų žingsnių informacijos saugumui užtikrinti ir t.t.

 

 

2. Patogumas

Tenka pripažinti, kad tie, kurie apie saugumo politiką žino, neretai sąmoningai jos nesilaiko - taip prasčiau. Dažnai susiduriame su situacija, kai kolegoms darbui reikalinga prieiga prie sistemos, kuria jie įprastai nesinaudoja. Kad visų gyvenimas būtų lengvesnis ir viskas vyktų greičiau ir efektyviau, prisijungimo duomenų paprašoma tų, kurie šiais įrankiais dirbdami naudojasi  nuolat. Tyrimai rodo, kad daugiau nei 70 % darbuotojų sutiktų dalintis jautria ar konfidencialia informacija, jei tai padėtų kolegoms efektyviau atlikti užduotis.Be to, toli gražu ne visose organizacijose įdiegta saugi failų dalijimosi sistema ar platforma, tad dokumentai paprasčiausiai įkeliami į neapsaugotas SaaS ar AWS saugyklas.

 

Nors galima būtų kaltinti ir bausti darbuotoją – tai nėra ilgalaikis sprendimas. Į šią problemą rekomenduojama žiūrėti konstruktyviai, nes pagrindinė priežastis, kodėl darbuotojai tikslingai nesilaiko kibernetinio saugumo politikos yra ta, kad ji darbą padaro sudėtingesnį ir lėtina procesus. Šiuo atveju už saugumą atsakingos komandos turėtų parengti ir įgyvendinti saugias, universalias ir lengvai naudojamas saugaus bendradarbiavimo ir dalijimosi sistemas.

 

 

3. Nusivylimas

Net ir su technologijomis “sutariantys” darbuotojai, puikiai išmanantys saugumo politiką ir žinantys, kodėl ją taikyti reikia, neretai savo noru tam nusižengia. Pavyzdžiui, dirbdamas iš namų ar keliaudamas nesinaudoja VPN, nes jo įjungimas užtrunka ir / arba sulėtėja darbas tinkle.

 

Taip pat susiduriame su atsakomybės klausimu. Pastebima, kad vos kelios organizacijos taiko papildomas priemones kovai su saugumo politikos nesilaikančiais darbuotojais, todėl į saugumą kolegos paprasčiausiai nežiūri kaip į sprendimo reikalaujančią problemą. Ar atsakomybės niekas neprisiims net kai už juos bus prašoma išpirkos?

 

 

4. Ambicijos

2017-ųjų metų Gartner duomenimis, maždaug 40 % technologijų pirkimų organizacijose inicijavo ne vadovybė ir dažnai be IT departamento pritarimo. Taip nutinka, nes vadovų tikslas – skatinti efektyvų verslo vystymąsi, tačiau tai dažnai sukelia papildomų trukdžių IT saugumo klausimu.

 

Šiuo atveju CIO ir CISO organizacijose turėtų proaktyviai dalyvauti priimant bet kokius technologijų įsigijimo sprendimus, ir vystyti veiksmingas strategijas bei diskutuoti apie galimus įrankius, kurie padėtų verslo vystymui, bet kartu ir netrikdytų saugumo.

 

 

5. Smalsumas

Žmonės – smalsūs padarai. Jūsų kolegos – taip pat. Galbūt jie gavo laišką su priedu, kuriame mano rasiantys informaciją apie kolegos profesinius pasiekimus, algą, o gal priede yra slaptos ar net skandalingos informacijos apie Jūsų klientus. Įprastai tokio pobūdžio duomenimis nesidalinama, tad kai jie taip netikėtai nukrenta iš giedro dangaus norisi žinoti viską iki menkiausių smulkmenų.

 

Tyrimai rodo, kad daugiau nei 90 %  saugumo specialistų patvirtino, kad darbuotojai bandė peržiūrėti su jų tiesioginiu darbu nesusijusią informaciją, o 23 % darbuotojų tai daro nuolatos. Suteikiant mažiausios privilegijos teises funkcijomis pagrįstoms prieigoms (ang. role-based access controls) ir profilaktiškai stebint vartotojų elgseną galima valdyti smalsumo problemą.

 

 

 

6. Noras padėti

Per pastaruosius penkerius metus sukčiavimas naudojant el. laiškus organizacijoms jau kainavo daugiau nei 12 milijardų eurų, o per pastaruosius pora metų tokių sukčiavimo atvejų padaugėjo 136 %.

 

Dažniausiai tokios atakos būna nukreiptos į kolegas, kurie iš geros valios perveda pinigus nusikaltėliams. Kodėl? Vienas populiariausių nusikaltėlių naudojamų sukčiavimo būdų - pasinaudoti žmonių geraširdiškumu. Sukčiai kreipiasi į organizacijas apsimetę susierzinusiais arba į neviltį patekusiais tiekėjais, kuriems čia ir dabar reikalingas mokėjimas (dažnai į neįprastą sąskaitą, apie kurios pasikeitimus jie pamiršo informuoti), antraip bus imtasi teisnių priemonių / bus atšauktas užsakymas / bus kreiptasi į vadovybę ir pan.  

 

Tokio tipo atakų sėkmę lemia nesugebėjimas atpažinti apgavystės el. laiškuose bei silpna finansinių mokėjimų ir procedūrų kontrolė. Šiuo atveju reikėtų peržiūrėti bei patobulinti procesus ir šviesti darbuotojus, ypač skyriuose, kurie galėtų būti aktualūs nusikaltėliams.

 

 

 

Share on Facebook
Please reload

Skaitomiausi

Startuoja kibernetinių atakų simuliacijų laboratorija

2018/05/17

1/2
Please reload

Naujausi
Please reload

Ieškoti pagal žymas
  • Cyber Security Academy LinkedIn
  • Cyber Security Academy Facebook

© 2017 Cyber Security Academy www.cybersecurityacademy.lt

This site was designed with the
.com
website builder. Create your website today.
Start Now