Potvrzeno. Nejslabším článkem kyberbezpečnosti je člověk

16. 4. 2020

Sdílet

 Autor: Fotolia © leowolfert
Většina lidí bere kyberbezpečnost v práci na lehkou váhu, k počítači pustí i cizího člověka. Moderní testování probíhá kladením návnad ve formě volně ležících flash disků či využitím falešných IT specialistů.

Série testů IT společnosti Servodata ze skupiny Moore Czech Republic potvrdila, že mezi největší slabiny kybernetické bezpečnosti firem patří sami zaměstnanci. Více než polovina z nich (60 %) do svého počítače bez obav zapojí neznámý flash disk ponechaný na stole. Falešné IT specialisty vyslané do firmy pod smyšlenou záminkou dokonce ke svým souborům pustil každý. Zhruba 70 % testovaných subjektů se zase nechalo zmást phishingem, tedy podvodnými zprávami požadujícími vyplnění citlivých údajů.

Společnost Servodata testovala v loňském a letošním roce kybernetickou bezpečnost mezi svými klienty. Jejich účelem bylo zjistit, jak pracovníci dodržují běžná uživatelská opatření IT bezpečnosti. Experti společnosti proto provedli sérii phishingových útoků s cílem fiktivně vylákat ze zaměstnanců citlivé údaje nebo infiltrovat software do systému klienta, a to se 70% úspěšností.

Vyzkoušeli jsme i baiting, v podstatě kladení návnad. Těmi byly flash disky rozmístěné po stolech v kancelářích. V šedesáti procentech případů je pracovníci zapojili do svých počítačů, přestože nevěděli, odkud jsou nebo co na nich je. Mohly přitom obsahovat potenciálně škodlivý software,“ uvádí Miroslav Kvapil, generální ředitel společnosti Servodata.

Nejlepších výsledků ale dosahovali falešní IT specialisté, kteří se pokoušeli projít přes recepci a od zaměstnanců následně získat přístup do jejich pracovních počítačů. Stačilo, aby pracovníkům řekli, že je posílá jejich nadřízený.

V těchto případech jsme dosahovali stoprocentní úspěšnosti. Naším cílem bylo ukázat firmám, že hrozba může přijít odkudkoliv, a to i od jejich vlastních zaměstnanců. Hackeři jsou stále vynalézavější, konvenční opatření už dávno nestačí. Ukazuje se také, že lidem je nezbytné stále vštěpovat základní pravidla zacházení s firemním hardwarem i softwarem,“ vysvětluje Miroslav Kvapil. Úniky citlivých informací, například obchodních tajemství, mohou mít významný negativní dopad na chod organizace.

Téma kybernetických hrozeb se v posledních letech vztahuje ke státním aktérům, jednotlivcům, ale i firmám a jejich zaměstnancům. Z dat Policie ČR vyplývá, že počet trestných činů v oblasti kybernetiky meziročně narůstá.

ICTS24

V roce 2019 do této kategorie spadalo téměř 8500 skutků. Na rozdíl od útočníků se ale firmy ani jednotlivci nepřizpůsobují novým metodám a technologiím.

 „Kybernetická bezpečnost významně závisí i na přístupu koncových uživatelů. Pro organizace, ať už soukromé, anebo státní, by proto mělo být klíčové vhodné nastavení IT bezpečnosti proti externím i interním hrozbám, identifikace potenciálních rizik a jejich management. Samozřejmostí je také důsledná edukace zaměstnanců,“ dodává Petr Kymlička, partner poradenské společnosti Moore Czech Republic.