H προ ολίγων ημερών δημοσιοποίηση της δράσης μίας κυβερνοσυμμορίας, η λεία της οποίας έφθασε το 1 δισ. δολάρια, έφερε και πάλι στο προσκήνιο το θέμα της ασφάλειας των πληροφοριακών συστημάτων των μεγάλων οργανισμών. Και στην περίπτωση της συγκεκριμένης «κυβερνοσυμμορίας», την οποία η Kaspersky Lab, η εταιρεία που ερεύνησε το θέμα, έχει δώσει την επωνυμία Carbanak, αυτό που έγινε -για μία ακόμη φορά- φανερό είναι ότι η πραγματική «κερκόπορτα» των επιχειρήσεων είναι οι ίδιοι οι εργαζόμενοί της.
Τα μέλη της Car-banak προκειμένου να αποκτήσουν πρόσβαση στο εταιρικό δίκτυο των τραπεζών που «χτύπησαν» χρησιμοποίησαν υπολογιστές εργαζομένων στους οποίους κατάφεραν να εγκαταστήσουν ένα κακοηθές πρόγραμμα (malware).
Γενικότερα, τα τελευταία χρόνια έχει αρχίσει να γίνεται όλο και πιο προφανές ότι ο αδύναμος κρίκος στα θέματα κυβερνοασφάλειας δεν είναι άλλος από τους εργαζόμενους, οι οποίοι τις περισσότερες φορές δεν έχουν επαρκή γνώση πως να προστατεύσουν τις συσκευές με τις οποίες συνδέονται στο εταιρικό δίκτυο από «επιθέσεις» κυβερνοεγκληματιών.
Είναι χαρακτηριστικό ότι σύμφωνα με πρόσφατη έρευνα της Kaspersky Lab και της B2B International, το 21% του συνόλου των ευρωπαϊκών επιχειρήσεων έχει χάσει ευαίσθητα επιχειρηματικά δεδομένα λόγω «εσωτερικών απειλών» μέσα στους τελευταίους δώδεκα μήνες.
Σύμφωνα με την έρευνα, η συνηθέστερη εσωτερική απειλή παραμένουν τα τρωτά σημεία λογισμικού, τα οποία αναφέρθηκαν από το 32% των επιχειρήσεων στην Ευρώπη. Οι τυχαίες διαρροές δεδομένων από το προσωπικό (αναφέρθηκαν από το 26% των επιχειρήσεων) και η απώλεια/κλοπή φορητών συσκευών από το προσωπικό (αναφέρθηκε από το 29% των ερωτηθέντων) ακολουθούν στη δεύτερη και τρίτη θέση αντίστοιχα.
Συμβουλές
Τι πρέπει να κάνουν, όμως, οι επιχειρήσεις προκειμένου να εκπαιδεύσουν τους εργαζόμενους τους ώστε να μην πέφτουν οι τελευταίοι θύματα κυβερνοεπιθέσεων;
Σύμφωνα με τους ειδικούς, κατ’ αρχήν οι επιχειρήσεις θα πρέπει να μιλούν σε τακτά χρονικά διαστήματα στους εργαζόμενους για θέματα κυβερνοασφάλειας, εξηγώντας ποιες θα είναι οι επιπτώσεις αν υπάρξει κάποιο συμβάν. Ιδιαίτερη προσοχή χρήζουν οι κινητές συσκευές (smartphones, tablets), ενώ η ενημέρωση δεν θα πρέπει να περιορίζεται απλώς στο να ζητείται από τους εργαζόμενους να διαβάσουν ένα κείμενο και να το αποδεχτούν.
Πλήρη και λεπτομερή ενημέρωση πρέπει να έχουν και τα ανώτατα στελέχη των επιχειρήσεων καθώς πρόκειται για τους πιο πιθανούς στόχους, δεδομένου ότι έχουν πρόσβαση σε πολύ περισσότερα κρίσιμης σημασίας δεδομένα. Σημειωτέον πως έχουν υπάρξει περιστατικά όπου κυβερνοεγκληματίες «μόλυναν» υπολογιστές υψηλόβαθμων στελεχών όταν οι τελευταίοι χρησιμοποιούσαν το δωρεάν WiFi ξενοδοχείου στο οποίο διέμεναν κατά τη διάρκεια ενός επιχειρηματικού ταξιδιού!
Αυτό που πρέπει οι επιχειρήσεις να εξηγήσουν στους εργαζόμενους είναι όσο προηγμένα συστήματα ασφαλείας και να υπάρχουν, το δίκτυο είναι τόσο ευάλωτο όσο και ο πιο αδύναμος κρίκος. Και γι’ αυτό δεν πρέπει απλώς να συμμορφώνονται στις υποδείξεις των υπεύθυνων, αλλά να υπάρχει συνεργασία με όλους όσοι είναι υπεύθυνοι προκειμένου να περιοριστούν οι πιθανότητες ενός συμβάντος.
Καλό θα ήταν κατά καιρούς οι ενημερώσεις να είναι επικεντρωμένες σε ένα θέμα ασφάλειας, όπως επίσης να υπάρχουν και κάποια κίνητρα, όπως, για παράδειγμα, η ενημέρωση να περιλαμβάνει και συμβουλές προστασίας για τους υπολογιστές και τα smartphones που έχει ένας εργαζόμενος στο σπίτι του.
Ένα σημείο στο οποίο πρέπει να επιστήσουν την προσοχή των εργαζόμενων οι αρμόδιοι είναι η χρήση των μέσων κοινωνικής δικτύωσης. Σε πολλές περιπτώσεις η «πόρτα» για τους κυβερνοεγκληματίες είναι σύνδεσμοι video που εμφανίζονται στα social media και τους επιλέγουν ανυποψίαστοι εργαζόμενοι με αποτέλεσμα να «μολυνθεί» ο υπολογιστής.
Σημαντικό είναι επίσης οι εργαζόμενοι να εκπαιδευτούν ώστε να μπορούν να καταλάβουν πότε δέχονται «επίθεση». Επίσης, δεν θα πρέπει ποτέ οι ιθύνοντες να κοροϊδεύουν ή να κάνουν κακά σχόλια για κάποιον εργαζόμενο που σημάνει «συναγερμό» ακόμη και αν αυτός αποδειχθεί λανθασμένος. Ακόμη, όταν υπάρξει κάποιο συμβάν, είναι απαραίτητο να υπάρξει πλήρη ενημέρωση των εργαζομένων γι’ αυτό. Η διαφάνεια θα έχει καλύτερα αποτελέσματα από ότι η προσπάθεια να κρατηθεί κρυφό τι έχει πραγματικά συμβεί.
Τέλος, είναι καλό μία επιχείρηση να ελέγχει σε τακτά χρονικά διαστήματα τις γνώσεις των εργαζόμενων σε αυτήν σε θέματα ασφαλείας, όπως και να τους ζητά την άποψή τους για το πώς θα πρέπει να αντιμετωπίζουν τις πιθανές κυβερνοεπιθέσεις.
Πηγή: imerisia.gr
