Pracownicy to najcenniejszy zasób w firmie, który zwiększa dochód, buduje relacje z klientami i oczywiście odgrywa nieocenioną rolę w jej ochronie.
Jednak dla cyberprzestępców pracownicy to najłatwiejsza metoda ominięcia zabezpieczeń w celu przedostania się do organizacji. Na przykład w Ameryce Północnej dwie najczęstsze przyczyny wycieków danych to nieostrożni lub niedoinformowani pracownicy oraz phishing wraz z innymi metodami socjotechniki. Cyberprzestępcy o tym wiedzą i wykorzystują do osiągnięcia swoich celów.
Dzięki solidnemu programowi edukacyjnemu firma może ochronić swoje najbardziej wrażliwe informacje, uniemożliwiając cyberprzestępcom pokonanie zapory, jaką stanowią pracownicy.
Dostajemy wiele pytań odnośnie najlepszych praktyk cyberbezpieczeństwa w pracy, więc postanowiliśmy przekierować je do Bartona Jokinena, szefa działu ochrony informacji i zgodności z przepisami na obszar obu Ameryk, Kaspersky Lab.
Esposito: Czym jest cyberbezpieczeństwo?
Jokinen: Cyberbezpieczeństwo ma wiele definicji i znaczeń. My omówimy je w kontekście stosowania systemów zabezpieczających, ochrony danych przed szkodliwymi atakami oraz szkoleń dotyczących bezpieczeństwa fizycznego i podnoszących świadomość.
Esposito: Jaki jest najlepszy dostępny program zwiększający świadomość na temat bezpieczeństwa cybernetycznego?
Jokinen: Programy zwiększające świadomość cyberochrony nie są uniwersalne. Każda organizacja ma inne potrzeby wynikające z jej celów strategicznych czy zagrożeń. Lepiej więc zapytać, w jaki sposób cyberbezpieczeństwo może pomóc firmie w jej podstawowej działalności.
Esposito: O czym powinny pamiętać firmy podczas zabezpieczania przestrzeni roboczej — z perspektywy cyberbezpieczeństwa?
Jokinen: Jeśli chodzi o cyberbezpieczeństwo, organizacje często zapominają o trzech obszarach.
Bezpieczeństwo fizyczne. Jednym z najważniejszych elementów planu związanego z cyberochroną powinno być dobre samopoczucie pracowników. Nie zawsze o tym pamiętamy, gdy myślimy o wszelkich kwestiach związanych z cyberprzestrzenią — w tym o bezpieczeństwie. Jednak coraz częstsze wykorzystywanie urządzeń Internetu Rzeczy (ang. Internet of Things, IoT) zaciera granicę między bezpieczeństwem fizycznym a cybernetycznym. Bezprzewodowe kamery zabezpieczające, którymi można zarządzać za pośrednictwem interfejsu sieciowego, czy inteligentne zamki, które mogą otwierać telefony pracowników — trudno tu powiedzieć, gdzie kończy się aspekt fizyczny, a zaczyna cybernetyczny.
Wiele firm stosuje tradycyjne zabezpieczenia fizyczne i narzędzia do kontroli środowiska, jednak nie rozwiązują one problemu z IoT. W erze Internetu Rzeczy działania naprawcze spoczywają na barkach zespołów odpowiedzialnych z cyberbezpieczeństwo oraz kwestie związane z IT. W miejscu pracy urządzenia należące do rodziny IoT często korzystają z tych samych zasobów sieciowych co pozostała część firmy. Jest to ryzykowne posunięcie, ponieważ potencjalny atakujący może uczynić z nich punkt wejściowy, dzięki któremu będzie można uzyskać dostęp do firmowych zasobów sieciowych.
Dziurawe systemy mogą zostać również wykorzystane do uzyskiwania dostępu do słabo chronionych przemysłowych systemów sterowania (ang. Industrial Control Systems, ICS). W przypadku organizacji, w których działa infrastruktura krytyczna, należy dokładnie sprawdzić takie systemy. Ponadto sieci te należy uwzględnić we wszystkich działaniach na rzecz cyberbezpieczeństwa.
Doświadczenie w różnych sytuacjach związanych z zasobami i danymi. Większość schematów związanych z cyberochroną polega na informacji, jakie zasoby (w tym dane) posiada organizacja: jakie systemy i aplikacje przetwarzają dane, kto ma do nich dostęp i gdzie się one znajdują. Oszacowanie zagrożeń dla cyberbezpieczeństwa na podstawie znanych zasobów umożliwia dokładniejsze określenie możliwego ryzyka. Dzięki temu organizacja może skupić swoje cyberbezpieczeństwo w miejscu, w którym jest ono potrzebne najbardziej.
Zwiększanie świadomości i szkolenia w zakresie cyberbezpieczeństwa. Świadomość to nie tylko identyfikowanie i katalogowanie zasobów. Świadomość to nieustanna praca na rzecz edukowania pracowników odnośnie polityk, aktualnych zagrożeń, a także tego, jak sobie z nimi radzić. Szczególną uwagę należy poświęcić socjotechnice, która nadal pozostaje najpowszechniejszym i najskuteczniejszym wektorem ataku.
Organizacje powinny oferować szkolenia nastawione na określone cele, a nie tylko ogólnie zwiększające świadomość. Najlepiej, jeśli są dostosowane indywidualnie i zawierają elementy rozrywkowe, opowiadają jakąś historię, przypominają gry edukacyjne. Program zwiększający świadomość nie powinien być testem.
Dobry program to warsztaty prowadzone osobiście, przez instruktora, jest dostępny w internecie i ma oddzielne moduły, wykorzystuje scenariusz i zawiera ankietę. Zbieranie danych pozwala dostrzec, które elementy programu zwiększającego świadomość w zakresie cyberbezpieczeństwa wymagają jeszcze poprawy.
Esposito: Nasz zespół ds. IT dobrze zna się na cyberbezpieczeństwie. Po co nam więcej szkoleń?
Jokinen: Edukacja na temat higieny cyberbezpieczeństwa musi być powszechną praktyką w całej organizacji. Pracownicy stanowią często najsłabsze ogniwo — stanowią oni najczęściej wykorzystywany wektor ataku i powinni być traktowani jak każdy inny wektor ataku w firmie.
Esposito: Mieliśmy już kilka programów szkoleniowych w naszej firmie, ale wydaje się, że żaden nie był naprawdę skuteczny. Co mamy zrobić?
Jokinen: Nie jest tajemnicą, że tradycyjne programy szkoleniowe zazwyczaj nie skutkują zamianami w zachowaniu i motywacji. Aby utworzyć skuteczny program edukacyjny, należy zrozumieć, co stoi za uczeniem się i procesem nauczania. W przypadku skutecznego programu zwiększającego świadomość w zakresie cyberbezpieczeństwa kluczem jest utworzenie kultury cyberbezpieczeństwa, która motywuje pracowników do stosowania bezpiecznych praktyk w ich codziennym życiu poza biurem. W końcu celem szkoleń podnoszących świadomość jest nie tylko przekazanie wiedzy, ale również zmiana nawyków i tworzenie nowych wzorców zachowania.
Produkty Kaspersky Security Awareness są bardzo przydatne na początku tej drogi, a także uzupełniają dotychczas wykorzystane programy. Przygotowaliśmy je pod kątem wszystkich poziomów struktury organizacyjnej. Produkty szkoleniowe wykorzystujące komputer opierają się na nowoczesnych technikach uczenia: grywalizacji, nauce poprzez ćwiczenia praktyczne czy wielokrotnym wzmacnianiu, co pomaga budować trwałe umiejętności i zapobiega ich zapominaniu. Ponadto produkty te naśladują miejsce pracy i zachowanie pracowników, a także prezentują stosowne ćwiczenia praktyczne. Dzięki temu nowe umiejętności nie pójdą w las.
Esposito: Jak często pracownicy powinni zgłaszać podejrzaną aktywność?
Jokinen: Zespoły ds. cyberochrony wolałyby, aby pracownicy zgłaszali nawet fałszywe alarmy, a nie czekali, aż coś podejrzanego przeistoczy się w duże zagrożenie. Jednak zanim pracownicy zgłoszą podejrzane działania, muszą nauczyć się poprawnie je identyfikować.
Solidne szkolenie podnoszące świadomość w kwestii cyberbezpieczeństwa oraz użyte podczas niego materiały wzmacniające powinny prezentować podejrzane incydenty poprzez przykłady, a także uczyć, w jaki sposób i kiedy należy utworzyć raport. Pracowników należy zachęcać do raportowania wszelkich aktywności, które uznają za podejrzane. Incydenty można raportować w ramach różnych procedur: niektóre organizacje korzystają z biur obsługi IT, inne dysponują wiadomością e-mail, która generuje informacje przydatne dla zespołów bezpieczeństwa, a jeszcze inne mogą wymagać od pracowników, aby zgłaszali incydenty menedżerom.
Gdy pracownicy będą już potrafić poprawnie identyfikować i raportować podejrzaną aktywność, kolejnym krokiem jest przygotowanie zasad reagowania na incydenty. Polityka reagowania na incydenty to zbiór procedur i zakresu odpowiedzialności pracowników podczas wystąpienia incydentu.
Warto pamiętać o zasadzie „Jeśli coś widzisz, powiedz o tym”. Łatwiej jest zdusić coś w zarodku niż zarządzać wielkim kryzysem.
Esposito: Jaka stosujesz politykę odnośnie trendu BYOD?
Jokinen: Trend przynoszenia do pracy władnych urządzeń (ang. Bring your own device, BYOD) to coraz powszechniej stosowane podejście. Pracownicy cieszą się elastycznością w wyborze czasu pracy i urządzenia; z kolei pracodawcy mają mniejszy koszt zasobów IT. Jednak sytuacja ta stwarza duże zagrożenie dla firmowych danych. Zezwalając pracownikom na korzystanie z własnych urządzeń do pracy, eliminuje się możliwość kontroli sprzętu przez tradycyjne narzędzia bezpieczeństwa.
Esposito: Czyli jesteś przeciwny trendowi BYOD?
Jokinen: Firmy nie muszą rezygnować z trendu BYOD, ale bardzo ważne jest, aby tworzyły polityki i procedury bezpieczeństwa. Na przykład muszą oddzielać pracę od zabawy. Dane firmowe powinny być przetwarzane tylko przez aplikacje, które zostały sprawdzone i odpowiednio zabezpieczone przez organizację. Może to stanowić swojego rodzaju wyzwanie, gdyż w końcu urządzenia te nadal należą do użytkowników. Na szczęście istnieją narzędzia umożliwiające zarządzanie urządzeniami mobilnymi (ang. Mobile Device Management, MDM). Mogą one oddzielać i zabezpieczać dane firmowe, sprawdzać i akceptować aplikacje, jak również śledzić urządzenia i zdalnie usuwać z nich wszelkie dane związane firmą.
Esposito: Gdzie można znaleźć więcej zasobów do dalszej edukacji?
Jokinen: Kaspersky Lab oferuje wiele różnych źródeł, dzięki którym można nieustannie podnosić świadomość zagrożeń i incydentów, jakie mają miejsce w świecie cyberbezpieczeństwa:
- Threatpost to obszerne źródło rzetelnych informacji związanych z IT i bezpieczeństwem firmy, zawierające analizy cyberbezpieczeństwa.
- Securelist zawiera informacje, raporty i badania z branży cyberbezpieczeństwa.
- Mapa cyberzagrożeń w czasie rzeczywistym to interaktywne narzędzie, które wizualizuje cyberzagrożenia w czasie rzeczywistym na całym świecie.
- I oczywiście Kaspersky Daily, nasz główny blog, zawiera posty odpowiednie zarówno dla firm, jak i klientów indywidualnych.