21/07/2017

Czynnik ludzki w bezpieczeństwie IT: jak pracownicy sprawiają, że firmy są podatne od wewnątrz

Biznes Zagrożenia

Wprowadzenie

Czasami personel podchodzi do wymagań związanych z cyberbezpieczeństwem niezbyt rzetelnie, co skutkuje dramatycznymi konsekwencjami dla organizacji, w której pracuje.

W ostatniej epidemii oprogramowania żądającego okupu WannaCry to właśnie czynnik ludzki odegrał główną rolę w narażaniu firm na zagrożenia na całym świecie. Dwa miesiące od udostępnienia przez Microsoft łaty dla ujawnionych luk wiele firm na całym świecie wciąż nie zainstalowało jej w swoich systemach. W takich okolicznościach najsłabszym ogniwem okazali się pracownicy spoza działu IT: na przykład osoby posiadające lokalne uprawnienia administratora wyłączyły na swoich komputerach produkty zabezpieczające, co umożliwiło rozprzestrzenienie się infekcji w całej sieci firmowej.

Jaką więc rolę odgrywają pracownicy w batalii firmy z cyberprzestępczością? Aby odpowiedzieć na to pytanie, Kaspersky Lab wraz z firmą B2B International przeprowadzili badanie obejmujące ponad 5000 firm na całym świecie.

Wyniki były zdumiewające. Okazało się, że tylko połowa firm (52%) wierzy, że zagrożenie może przyjść od środka. Ich pracownicy — celowo, z braku ostrożności lub wiedzy — narażają je na różne niebezpieczeństwa.

Wspomniany raport pokazuje, jak to się dzieje i gdzie leżą przyczyny, a także co mogą zrobić firmy, aby się chronić przed nieodpowiedzialnymi pracownikami.

Zagrożenia związane z nieodpowiedzialnymi i niedoinformowanymi pracownikami

Zagrożenie od wewnątrz

Jeśli chodzi o krajobraz złożonych i rosnących cyberzagrożeń, 57% firm dopuszcza, że ich bezpieczeństwo IT zostanie naruszone, ale także ma świadomość, że jedną z największych luk w ich ochronie przeciwko cyberatakom są zatrudnieni pracownicy: 52% firm przyznaje, że uznaje ich za najsłabsze ogniwo z uwagi na niedbałe działania.

Obawa o ryzyko płynące od wewnątrz jest widoczna w trzech odpowiedziach powiązanych z czynnikiem ludzkim i zachowaniem pracowników. Poniższa tabela pokazuje, że firmy są świadome tego, jak łatwo błąd pracownika może wpłynąć na bezpieczeństwo firmy. Na pierwszym miejscu znalazło się niewłaściwe udostępnianie danych firmowych za pośrednictwem urządzeń mobilnych (47%), następnie fizyczna utrata urządzeń mobilnych (46%) oraz niewłaściwe użycie zasobów IT (44%).

Źródło: IT Security Risks Survey 2017, dane globalne

Jeśli przyjrzeć się bliżej tym wynikom, strach przed niewłaściwym użyciem IT przez pracowników znacząco różni się w zależności od rozmiaru firmy: małe firmy (1-49 pracowników) czują się bardziej zagrożone niż firmy zatrudniające ponad 1000 osób. Może to wynikać z wielu czynników, na przykład z tego, że większe przedsiębiorstwa mają surowsze zasady, a także częściej szkolą pracowników w tym zakresie. Ponadto możliwe jest, że bardzo małe firmy umożliwiają pracownikom większą elastyczność w zakresie używania firmowych zasobów IT.

Źródło: IT Security Risks Survey 2017, dane globalne

Działania pracowników prowadzą do incydentów cyberbezpieczeństwa

Wyniki naszego badania pokazują, że zmartwienia firm związane z narażeniem cyberbezpieczeństwa firmy przez pracowników są zasadne. Personel może popełniać błędy wynikające z nieostrożnego czy przypadkowego działania, ale także dlatego, że w firmie nie prowadzi się odpowiednich szkoleń, na czym polega właściwe zachowanie i jak chronić firmę.

Nieostrożny lub niedoinformowany personel stanowi drugą (po szkodliwych programach) najbardziej prawdopodobną przyczynę poważnego wycieku bezpieczeństwa. W zeszłym roku przyczynili się oni do ataków w 46% incydentów cyberbezpieczeństwa.

Błąd personelu nie jest jedynym „wektorem ataku”, którego ofiarami padają firmy. W zeszłym roku pracownicy spowodowali problemy z bezpieczeństwem także poprzez szkodliwe działania, z czego 30% takich zdarzeń w ciągu ostatnich 12 miesięcy dotyczyło osób działających na szkodę pracodawcy.

W firmach, które miały do czynienia z incydentami cyberbezpieczeństwa w ciągu ostatnich 12 miesięcy, jeden na dziesięć (11%) najpoważniejszych incydentów był związany z nieostrożnym działaniem pracowników.

Źródło: IT Security Risks Survey 2017, dane globalne

Nieostrożność pracowników, phishing i socjotechnika to główne czynniki mające związek z atakami szkodliwych programów i ukierunkowanymi, które, notabene, zanotowały największy wzrost w zeszłym roku.

Źródło: IT Security Risks Survey 2017, dane globalne

W tym roku aż 49% firm na całym świecie zgłosiło, że padło ofiarą wirusów i szkodliwego programu, co stanowi 11% wzrost w porównaniu do roku 2016. Spośród firm, które doświadczyły incydentów szkodliwych programów i wirusów, około połowa (53%) uważa, że w największym stopniu przyczynili się do tego nieostrożni lub niedoinformowani pracownicy, a wg jednej trzeciej (36%) atak był powiązany z phishingiem i socjotechniką.

Wirusy i szkodliwe oprogramowanie

2017 r. (dynamika rok do roku)
Odsetek firm, które zgłosiły incydent 49 (wzrost o 11% w porównaniu do 2016 r.)
Najbardziej wpływające czynniki 1. Nieostrożni/niedoinformowani pracownicy (53%)
2. Przypadkowa utrata sprzętu (38%)
3. Phishing/socjotechnika (36%)

Źródło: IT Security Risks Survey 2017, dane globalne

Podobnie, w tym roku więcej niż jedna firma z czterech (27%) doświadczyła ataków ukierunkowanych, co stanowi 6% wzrost w porównaniu z zeszłym rokiem. Spośród atakowanych firm ponad jedna czwarta (28%) jest przekonana, że do ataku przyczynił się phishing/socjotechnika.

Ataki ukierunkowane

2017 r. (dynamika rok do roku)
Odsetek firm, które zgłosiły incydent 27 (6% wzrost w porównaniu z 2016 r.)
Najbardziej wpływające czynniki 1. Wirusy/szkodliwe oprogramowanie (49%)
2. Exploity/utrata urządzeń mobilnych (30%)
3. Phishing/socjotechnika (28%)

Źródło: IT Security Risks Survey 2017, dane globalne

Jeśli scenariusze takich ataków są coraz częściej stosowane, a pracownicy mają w nich swój udział (przypadkowo lub celowo), firmy muszą podjąć odpowiednie działania, aby zmniejszyć ryzyko zagrożeń, na które są narażone, i lepiej chronić swoje systemy.

Zabawa w chowanego

Gdy w firmie wydarzy się incydent bezpieczeństwa, ważne jest, aby pracownicy zarówno dostrzegli wyciek, jaki i łagodzili ryzyko. Przecież skoro pracownicy mogą stanowić zagrożenie dla firmy (jak wynika z naszych dotychczasowych ustaleń), mogą oni także odegrać istotną rolę w ochronie przedsiębiorstwa, dla którego pracują.

Jednak w takich okolicznościach pracownicy nie zawsze podejmują działania. W 40% firm na całym świecie pracownicy ukrywają taki incydent, jeśli do niego dojdzie.

Ukrywanie sytuacji może prowadzić do dramatycznych konsekwencji, zwiększając szkody. Jedno niezgłoszone zdarzenie może nawet spowodować ogromny wyciek w całej infrastrukturze organizacji. Oto sytuacja opisana przez pracownika z firmy konsultingowej, która doświadczyła takiego incydentu:

W naszej firmie zatrudniona była kobieta, która nienawidziła swojego służbowego laptopa. Pracowała w dziale prawnym. Zawsze miała otwartych kilka dokumentów, które edytowała równolegle. Używane wówczas przez nas komputery były stare i nie zawsze wytrzymywały natłok pracy. Za każdym razem, gdy jej laptop wyświetlał błąd i traciła wszystkie zmiany w dokumentach, chodziła z pretensjami do działu IT.

Pewnego dnia czara goryczy się przelała. Kobieta zdecydowała, że przyniesie do pracy własny, prywatny laptop. Zarząd zgodził się; kobieta pracowała na własnym komputerze z lokalnymi uprawnieniami administratora.

Kilka tygodni później po otwarciu załącznika z fałszywego adresu e-mail złapała infekcję programu szyfrującego. Pliki na laptopie zostały zaszyfrowane, a żądanie okupu opiewało na 300 dolarów. Wszystkie osobiste zdjęcia, filmy, a także ważne dokumenty firmowe, nad którymi pracowała przez ostatnich kilka tygodni, zostały zaszyfrowane i były potencjalnie nie do odzyskania. Kobieta rozważała swoje opcje przez kilka dni. Nie chciała z powrotem swojego firmowego laptopa, ale nie mogła też ryzykować utraty firmowych plików ani miesiąca pracy. W końcu zdecydowała się rozwiązać problem na własną rękę bez informowania o tym działu IT. Po zapłaceniu okupu jej pliki zostały przywrócone, a kilka dni później kobieta zapomniała o całym incydencie.

Niestety nie wiedziała, że szkodliwy program wciąż przebywał na jej komputerze. Nie wiedziała, że zapłacenie okupu nie oznacza oczyszczenia systemu, nawet jeśli dostęp do plików został przywrócony. Ostatecznie wiele firmowych danych w folderach współdzielonych zostało zaszyfrowane, a praca w organizacji została wstrzymana przez żądanie okupu, ujawniając w efekcie cały incydent.

Szybkie wykrycie jest także kluczem pomyślnego zidentyfikowania ataku ukierunkowanego i jego analizy śledczej. Poleganie wyłącznie na czujności pracowników i możliwości zgłoszenia przez nich ewentualnych incydentów nie wystarczy, ponieważ zagrożenia są związane nie tylko z samym czynnikiem ludzkim, ale także ze starannie przygotowanymi atakami. Dlatego zaleca się, aby firmy używały specjalnych rozwiązań i technologii, które automatycznie monitorują system i redukują ryzyko wystąpienia błędu czy nieodpowiedzialnego zachowania.

Problem ten wydaje się największym wyzwaniem dla dużych firm, w których 45% (ponad 1000 pracowników) doświadcza ukrywania incydentów przez pracowników, w porównaniu do jedynie 29% w przypadku bardzo małych firm (mniej niż 49 pracowników).

Źródło: IT Security Risks Survey 2017, dane globalne

Problem ukrywania incydentów powinien zostać omówiony nie tylko z pracownikami, ale z całą firmą – w tym z zarządem i działem kadrowym. Jeśli pracownicy ukrywają incydenty, musi być ku temu powód. W niektórych przypadkach firmy wymagają surowych, lecz niejasnych reguł i obarczają pracowników dodatkową odpowiedzialnością w przypadku wystąpienia incydentu. Taka polityka jedynie wzmaga strach u pracowników i pozostawia im tylko jedną możliwość — uniknąć kary bez względu na wszystko.

Nieodpowiedzialni pracownicy – szkody

Nieodpowiedzialność związana z ukrywaniem incydentów może także mieć ogromny wpływ na dane firmowe i integralność systemu, jeśli jest powiązana z incydentem bezpieczeństwa.

Na przykład 46% firm potwierdziło, że incydenty wynikające z nieodpowiednich działań pracowników skutkowały wyciekiem danych lub naraziły ich na bezpieczeństwo. Z tego samego powodu więcej niż jedna na cztery firmy (28%) utraciła bardzo wrażliwe lub poufne informacje o klientach lub pracownikach, a 25% utraciło informacje o płatnościach. Może to potencjalnie nieść ze sobą dalekosiężne i niszczące skutki na reputacji firmy.

Oto historia firmy reklamowej, która utraciła prawdziwą okazję biznesową po ujawnieniu krytycznych danych w wyniku drobnego błędu pracownika. Jak opowiada jeden z ekspertów bezpieczeństwa firmy Kaspersky Lab:

Młoda ambitna agencja reklamowa otrzymała szansę współpracy od bardzo dużego klienta, którego starała się zdobyć od kilku miesięcy. Nakład pracy związany z opracowaniem atrakcyjnej propozycji był ogromny, czas i zasoby były ograniczone, a zespół pracowników – projektanci pracujący jako freelancerzy, copywriterzy pracujący z domu, opiekun klienta, dyrektor zlecenia, a także kilku zewnętrznych zleceniobiorców – stał się nienaturalnie duży.

Aby proces przebiegał szybko i sprawni, agencja zdecydowała się umieścić szkic oferty w Dokumentach Google i zezwoliła na dostęp do niej tylko osobom posiadającym łącze, czyli samej grupie. Po zakończeniu prac nad ofertą i pobraniu jej dokument Google został zamknięty. Jednak niedoświadczony opiekun klienta uczynił go dostępnym ponownie — tylko po to, aby go potajemnie pokazać kilku byłym starszym kolegom, którzy mogliby mu dać jakieś przydatne wskazówki, zanim oferta zostanie ostatecznie wysłana. Tym razem jednak nerwy związane z prezentacją oferty przed klientem sprawiły, że opiekun klienta całkowicie zapomniał o zmianie ustawień prywatności i sprawił, że dokument był dostępny dla każdej osoby w Sieci.

Co było dalej? W noc poprzedzającą termin wysłania oferty inna, bardziej doświadczona agencja zdecydowała się przeprowadzić wyszukiwanie rozszerzone w Dokumentach Google (używając kombinacji „nazwa klienta + oferta”). Znaleźli wspomniany dokument zawierający kilka niezłych i kreatywnych pomysłów oraz szacunkowy koszt usługi. Aby wyeliminować nowego gracza na rynku, bardziej doświadczone agencje skontaktowały się i zgodziły się obniżyć swoje koszty, aby sytuacja wyglądała tak, jakby nowa firma zawyżyła koszty. Ostatecznie nowa firma wycofała się z oferty i nie miała świadomości całej sytuacji do momentu, aż rozgoryczony opiekun klienta zaczął przyglądać się ofercie w Dokumentach Google. Dostrzegł wówczas, co poszło nie tak — nie włączono ustawień prywatności.

W ten sposób firma reklamowa utraciła dużą szansę biznesową — z powodu braku świadomości kwestii bezpieczeństwa i braku jasnych zasad.

BYOD: nieodpowiedzialność pracowników a trendy w mobilności

Obawy związane z BYOD różnią się w zależności od rozmiaru firmy

Wyniki naszego badania pokazują, że mimo iż firmy i pracownicy są dobrze poinformowani w kwestii trendu przynoszenia własnych urządzeń do pracy (ang. Bring-Your-Own-Device, BYOD), wciąż przyprawia on o ból głowy duże i małe firmy. Co więcej, obawia się go aż 33% firm na całym świecie.

W przypadku małych firm obawy ogólnie obracają się wokół praktyk pracowników, tymczasem większe firmy borykają się z problemem zarządzania bezpieczeństwem. Na przykład niemal połowa firm (48%) martwi się o to, że pracownicy niewłaściwe udostępnią dane firmowe za pośrednictwem urządzeń mobilnych, które przynoszą do pracy. Problem w tym widzi stosunkowo dużo małych firm (57%), być może dlatego, że chętniej adoptują one tę politykę w celu cięcia kosztów i zaspokojenia potrzeb pracowników mobilnych.

Tymczasem większe firmy widzą większe trudności w zarządzaniu bezpieczeństwem urządzeń użytkowników — tak twierdzi tylko połowa (51%) z nich, w porównaniu do dwóch na pięć (42%) małych firm.

Narażanie urządzeń i mediów: raczej błąd człowieka niż szkodliwe działanie

Strach firm przed trendem BYOD może częściowo wynikać z faktu, że polega on na odpowiedzialności pracowników, a także stosownym traktowaniu przez nich danych biznesowych przechowywanych na urządzeniach prywatnych.

Nigdy nie było to proste – ludzie gubią urządzenia i dają je sobie ukraść. Zasadniczo im więcej urządzeń jest wynoszone ze środowiska firmowego, tym zagrożenie jest większe (także dla danych).

Z naszego badania wynika, że dane ponad połowy firm (54%) zostały narażone na zagrożenia z powodu zgubienia urządzeń przez pracowników.

Jeśli w wykorzystywaniu własnych urządzeń do pracy tak istotna jest odpowiedzialność, nieostrożność może mieć fundamentalne znaczenie w kwestii wystąpienia problemów: przyczyniła się ona bezpośrednio do 48% incydentów związanych z cyberbezpieczeństwem, co przewyższa odsetek kradzieży urządzeń, będącej powodem 37% takich sytuacji.

Jak można rozwiązać dylemat związany z pracownikami?

Same zasady bezpieczeństwa IT nie wystarczą

Nie wystarczy mieć same zasady bezpieczeństwa IT. Sama polityka nie ochroni firmy przed zagrożeniami – po pierwsze dlatego, że zasady bezpieczeństwa IT nie zawsze są spełniane przez personel, dla którego zostały stworzone, a po drugie dlatego, że nie można przewidzieć każdego możliwego zagrożenia.

W naszym badaniu aż 44% firm stwierdziło, że ich pracownicy nie postępują zgodnie z zasadami bezpieczeństwa IT. Co martwi bardziej, chociaż dwie na pięć firm przyznało, że pracownicy nie postępują zgodnie z zasadami bezpieczeństwa, firmy nadal robią niewiele, aby rozwiązać ten problem. Jedna na cztery firmy (26%) planuje zmusić pracowników do stosowania się do zasad bezpieczeństwa IT.

W wielu przypadkach polityki są napisane w tak skomplikowany sposób, że pracownicy nie mogą ich skutecznie przyswoić. Zamiast informować o ryzyku, zagrożeniach i dobrych praktykach poprzez jasne i wyczerpujące instrukcje, firmy często dają pracownikom wielostronicowe dokumenty, które wszyscy podpisują, ale niewielu czyta – a jeszcze mnie je rozumie.

Dobry krok naprzód

Mimo wyraźnych wyzwań firmy próbują rozwiązać problem zagrożeń pochodzących od wewnątrz. Teoretycznie wystarczą szkolenia pracownicze i zatrudnianie wyspecjalizowanego personelu w celu zmuszenia pracowników do postępowania zgodnie z zasadami bezpieczeństwa. Tak właśnie stara się postępować coraz większa liczba firm na całym świecie.

Jak już wiemy, same zasady bezpieczeństwa to nie wszystko. Między obowiązującymi zasadami a dobrowolnym zaangażowaniem musi istnieć odpowiedni balans, co pozwoli wyeliminować problem niedbałości pracowników i zagrożenia wynikające z ich niedoinformowania.

Szkolenia pracowników mają zasadnicze znaczenie w zwiększaniu świadomości wśród personelu, motywowaniu go do zwracania uwagi na cyberzagrożenia oraz stosowaniu środków zaradczych ― nawet jeśli nie należy to do czyjegoś zakresu obowiązków: w końcu instalowanie aktualizacji, włączenie ochrony przed szkodliwym oprogramowaniem czy właściwe zarządzanie hasłami nie zawsze musi być ujęte w umowie.

Środki bezpieczeństwa skupione na pracownikach, które są najczęściej używane przez firmy do ochrony przed zagrożeniami, obejmują zaangażowanie pracowników i przeprowadzanie szkoleń.

Źródło: IT Security Risks Survey 2017, dane globalne

Jak widać na powyższym wykresie, zapewnianie szkoleń pracownikom to druga najpopularniejsza metoda ochrony firm – przed nią znajduje się wdrożenie specjalnego oprogramowania, a tuż za nią — większa liczba wewnętrznych ekspertów ds. IT lub bezpieczeństwa IT.

W Kaspersky Lab wiemy, że najlepszym sposobem ochrony firmy przed cyberzagrożeniami jest połączenie właściwych narzędzi i praktyk. Poza zwiększaniem świadomości pracowników należy stosować produkty zabezpieczające, dzięki którym dział bezpieczeństwa IT łatwiej będzie mógł nią zarządzać.

Do zagrożeń związanych z nieświadomymi lub niedbałymi pracownikami należy przede wszystkim spam, phishing i oprogramowanie żądające okupu. Ryzyko można ograniczyć poprzez stosowanie produktów zabezpieczających punkty końcowe. Na rynku dostępne są różne produkty, które można dostosować wg potrzeb zarówno małych i średnich firm, jak i dużych przedsiębiorstw w zakresie funkcjonalności, wstępnie skonfigurowanej ochrony czy ustawień zaawansowanych.

Choć jest jeszcze dużo do zrobienia, zanim firmy będą bezpieczne przed działaniami ze strony własnych pracowników, pokrzepiający jest fakt, że wiele firm rozpoznaje ten problem i zaczyna walczyć z zagrożeniem płynącym od wewnątrz, wprowadzając dodatkowe szkolenia, produkty i specjalistów.

Wnioski

Nasze badanie pokazało, że firmom grozi realne zagrożenie płynące od wewnątrz. Mają one świadomość tego, jak łatwo błąd człowieka może wpłynąć na ich bezpieczeństwo. Wiedzą także, że niedbały lub niedostatecznie poinformowany personel stanowi drugą najbardziej prawdopodobną przyczynę poważnego naruszenia bezpieczeństwa, i szukają sposobów na złagodzenie ryzyka.

Według raportu pracownicy stają się wektorami ataków na różne sposoby: mogą oni postępować niedbale, mogą nie mieć wystarczająco wiele informacji lub mogą celowo wywoływać szkody w firmie. Trendy związane z mobilnością zwiększają prawdopodobieństwo popełnienia błędów przez pracowników, a sytuację pogarszają dodatkowo phishing i socjotechnika — personel często nie wie, jak rozróżnić aktywność legalną od szkodliwej. Co więcej, po tym, gdy pracownicy przyczynią się do jakiegoś incydentu (lub staną się jednym ze stojących za nim czynników), częściej go ukrywają, przedłużając sytuację zagrożenia i zwiększając firmę na jeszcze większe zagrożenie.

Podjęcie natychmiastowych działań mających na celu eliminację zagrożeń płynących ze strony pracowników nigdy nie miało większego znaczenia.

Chociaż wdrożenie w firmie zasad związanych z bezpieczeństwem jest niezmiernie istotne, firmy muszą zdać sobie sprawę także z tego, że nie zapobiegną one wszystkim incydentom. Co więcej, pracownicy nie zawsze będą się do nich stosować. Należy stosować odpowiednie produkty, które zapewnią scentralizowane zarządzanie bezpieczeństwem sieci firmowych, jak również przeprowadzać szkolenia, dzięki którym ludzie będą bardziej świadomi skutków swojego działania. Edukacja ludzi w zakresie bezpiecznej pracy może pomóc firmom łagodzić zagrożenia, a także zabezpieczyć ich największy skarb – dane.