eWAY s.r.o.

eWAY s.r.o. logo

Phishing – najväčšia a najrýchlejšie rastúca kybernetická hrozba

Phishing blog

Phishing – najväčšia a najrýchlejšie rastúca kybernetická hrozba

Phishing blog

Phishing je tu už desaťročia, ale zostáva jednou z najväčších – a najrýchlejšie rastúcich – kybernetických hrozieb súčasnosti. Phishingová aktivita, ktorá bola už dávno pred pandémiou COVID-19 rastúcou výzvou, sa odvtedy len zhoršila. Podľa najnovšej výročnej správy o internetovej kriminalite od FBI Internet Crime Complaint Center (IC3) počet podaných sťažností na phishingové podvody a súvisiace sťažnosti medzi rokmi 2019 a 2021 vyskočil o 182 %.
A tieto čísla odrážajú iba nahlásené phishingové útoky; skutočný počet je pravdepodobne oveľa vyšší.

Kybernetickým útočníkom sa v každom prípade jednoznačne darí vo využívaní ľudských zraniteľností. A napriek tomu, že ide o takúto veľkú hrozbu, výskum „State of the Phish 2022“ od spoločnosti Proofpoint zistil, že iba 53 % pracujúcich dospelých vie, čo je phishing.

Phishing musí byť ústredným bodom Vášho programu na zvyšovanie povedomia o bezpečnosti. Ak je pravdepodobné, že len asi polovica Vašich používateľov vie, čo je phishing, zvážte, že by ste mali zakomponovať vzdelávanie o tejto zásadnej téme v oblasti kybernetickej bezpečnosti.

Čo je phishing?

Phishing je príkladom sociálneho inžinierstva, čo je súbor techník –  vrátane falšovania, zavádzania a klamstva, ktoré útočníci používajú na manipuláciu s ľuďmi v online priestore.

Phishingové e-maily využívajú sociálne inžinierstvo, aby ovplyvnili používateľov, aby konali rýchlo, bez toho, aby nad vecami premýšľali. A keď sa útočníkom podarí oklamať používateľov phishingovou správou, odmenou im za to môžu byť prístupy k citlivým údajom, kritickým systémom a sieťam, cloudovým účtom a peniazom.

Väčšina phishingových správ sa posiela e-mailom. Niektorí útočníci však doručujú tieto správy obetiam prostredníctvom iných metód, vrátane smishingu a vishingu (pomocou SMS textových správ alebo softvéru na zmenu hlasu v hlasových správach alebo robocaling).

Tri primárne hrozby v phishingových správach

Keď vaši používatelia lepšie pochopia, čo znamená phishing, načrtnite niektoré z typických stratégií, ktoré útočníci používajú na kompromitáciu príjemcov phishingových správ:

Škodlivé odkazy
Útočníci často používajú škodlivé adresy URL v phishingových správach. Keď používatelia kliknú na škodlivý odkaz, môže ich to priviesť na webovú stránku podvodníka alebo stránku infikovanú škodlivým softvérom. Útočníci často tieto odkazy starostlivo zamaskujú do phishingových správ tak, aby vyzerali, že pochádzajú z dôveryhodných zdrojov. Techniky môžu zahŕňať používanie loga spoločnosti alebo registráciu e-mailových domén, ktoré sú mätúco podobné doménam dôveryhodnej značky alebo firmy.
A až príliš často sa to útočníkovi podarí. Prieskum „State of the Phish 2022“ ukazuje, že 1 z 10 používateľov klikne na škodlivý odkaz v simuláciách phishingu.

Infikované prílohy
Prílohy infikované škodlivým softvérom môžu ohroziť počítače a súbory a často vyzerajú ako legitímne prílohy súborov. Pri simuláciách phishingu, ktoré boli vykonané spoločnosťou Proofpoint sa zistilo, že 1 z 5 používateľov otvorí prílohu e-mailu.
Je dôležité vysvetliť používateľom, aké škody môže phishing spôsobiť. Malvérové ​​infekcie a ransomvéry doručené prostredníctvom phishingového útoku sa môžu ľahko šíriť cez sieťové zariadenia – a dokonca aj do cloudových systémov.

Podvodné žiadosti
Tieto požiadavky sú navrhnuté tak, aby presvedčili príjemcu e-mailu, aby odovzdali citlivé informácie, ako sú prihlasovacie údaje, informácie o kreditnej karte a ďalšie. Často sú prezentované ako formulár (napríklad od daňového úradu, ktorý sľubuje vrátenie peňazí), ktorý vyzve používateľa, aby poskytol citlivé informácie. Keď používateľ vyplní a odošle formulár, môžu útočníci použiť tieto údaje na svoj osobný zisk.

Všetky phishingové útoky využívajú sociálne inžinierstvo

Ako už sme uviedli, phishingové útoky sú formou sociálneho inžinierstva. Vo svojom školení na zvýšenie povedomia o bezpečnosti budete chcieť upozorniť na niektoré spôsoby, akými útočníci využívajú ľudskú psychológiu na manipuláciu používateľov, napríklad:

  • Vydávanie sa za niekoho alebo niečo, čo by používateľ pravdepodobne poznal a dôveroval tomu
  • Využívanie emócií, ako je strach (alebo dokonca len podnecovanie strachu z premeškania), na motiváciu používateľov konať rýchlo
  • Tvorenie lákavých sľubov, ktoré znejú príliš dobre na to, aby boli pravdivé

Phishingoví aktéri sa tiež často pokúšajú načasovať svoje útoky na to, keď je pravdepodobné, že používateľ bude nepozorný, napríklad keď sa cíti unavený alebo roztržitý. Mnoho útočníkov si pred phishingovým útokom preštuduje aj fakturačný cyklus spoločnosti alebo si zistí, kedy sa konajú dôležité stretnutia.

Pozor si musia dávať užívatelia aj v súkromnom živote

Samozrejme, na to, aby školenia o kybernetickej bezpečnosti zarezonovali u používateľov, musia pochopiť, ako môžu phishingové schémy potenciálne narúšať aj ich vlastný súkromný zisk. A s blížiacimi sa sviatkami je ideálny čas pomôcť Vašim používateľom naučiť sa dávať pozor na phishingové taktiky zahŕňajúce:

  • Online nakupovanie (ako napríklad „Kliknite sem a objednajte si teraz a získate 60% zľavu! Navyše budete zaradení do súťaže, aby ste mohli vyhrať 1 000€ zadarmo na nákup na našej webovej stránke.“)
  • Charitatívne organizácie (ako napríklad „Pomôžte v boji proti hladu počas týchto sviatkov – táto potreba je mimoriadne naliehavá. Použite tento formulár a darujte, čo môžete práve teraz.“)
  • Poskytovatelia dopravy (napríklad „Nepodarilo sa nám doručiť vašu zásielku. Skontrolujte priložené informácie o dodaní, aby ste potvrdili podrobnosti objednávky.“)

Tiež upozornite svojich používateľov na potenciál „streamovacích podvodov“, kde sa útočníci vydávajú za legitímnych poskytovateľov populárnych streamovacích služieb a ponúkajú špeciálne ponuky (možno „Jeden mesiac zadarmo!“) alebo sa snažia presvedčiť používateľov, že musia vo svojom účte vykonať zmeny ( ako napríklad „Aktualizujte svoje údaje na opätovnú aktiváciu členstva“).

Tipy pre Vašich koncových používateľov na identifikáciu pokusov o phishing

Najlepšie pre Vašu spoločnosť bude, ak implementujete kompletné riešenie vzdelávania o kybernetickej bezpečnosti. Ak takú možnosť nemáte, dokončite svoje školenie na tému phishingu  aspoň niekoľkými ľahko implementovateľnými radami, ktoré môžu pomôcť Vašim používateľom vyhnúť sa podvodu na phishing:

  • Nedôverujte odosielateľovi okamžite, aj keď sa zdá, že správa pochádza z dôveryhodného zdroja alebo značky
  • Skontrolujte adresu odosielateľa a skontrolujte všetky odkazy
  • Otvorte nové okno a pozrite si webovú stránku, na ktorú odkazuje odkaz
  • Neklikajte na výzvy na akciu v e-maile, napríklad „overte svoj účet“ alebo „prihláste sa teraz“
  • Pochopte, že odkazy na zdieľanie súborov nie sú vždy bezpečné

A nakoniec požiadajte svojich používateľov, aby nahlásili každú správu, ktorú považujú za podozrivú. E-mailové nahlasovanie by malo byť kritickou súčasťou vašej kybernetickej obrany (napríklad. ako PhishAlarm phishing tlačidlo od Proofpointu, ktoré uľahčuje Vašim používateľom stať sa ostražitými a proaktívnymi obrancami).

Pozor na rafinovaný phishing od „overenaspolocnost.sk“

phishing blog overenaspolocnost.sk

Pozor na rafinovaný phishing od podvodnej stránky „OverenaSpolocnost.sk“

Phishingových e-mailov cieliace na spoločnosti je v dnešnej dobe veľmi veľké množstvo, ktoré neustále rastie. Nie nadarmo varujeme, že e-mail je najčastejším vstupným bodom útočníkov do spoločností. Na Slovensku sa v posledných dňoch rozšíril jeden, ktorý sa svojim prepracovaním dostal do viacerých médií, nakoľko poškodzuje dobré meno Slovenskej advokátskej komory.

Phishing sa podvodným spôsobom pokúša vymáhať od ľudí a firiem peniaze za neobjednané služby takzvaného “účtovného auditu”:

phishing blog overenaspolocnost.sk

Ako rozoznať, že ide o phishing?

Pri väčšine phishingov sa dá zistiť, že ide o pokus o phishing už z domény odosielateľa a z podozrivej domény, kam smeruje phishingový link. O to je tento e-mail rafinovanejší, nakoľko útočníci reálne založili webovú stránku „OverenaSpolocnost.sk“ a odosielajú e-maily pod jej menom a na ňu smeruje aj phishingový odkaz. Aj tu si ale môžeme všimnúť malé rozdiely, a to že adresa odosielateľa je v skutočnosti “overena-spolocnost.eu” a nie “overenaspolocnost.sk”, pričom ak by ste vyhľadali adresu “overena-spolocnost.eu”, zistíte, že neexistuje.
Čas odoslania je tiež na pracovný e-mail zvláštny a mohol by v užívateľoch vyvolať pochybnosti.

Varovným znakom pre užívateľov musí byť  fakt, že si danú službu neobjednávali a doteraz o tejto spoločnosti nepočuli ani s ňou neboli v kontakte. V poslednej časti e-mailu sa phishing  tiež uchyľuje ku klasickým nátlakovým taktikám, ktoré sa užívateľa snažia dostať do časového tlaku: „Poprosíme o úhradu, tiež nemáte radi, keď Vám neplatia načas.“ Absencia kontaktu na odosielateľa v samotnom podpise by mohla tiež vzbudiť podozrenie.

Daný e-mail je ale pomerne ťažšie rozoznateľný phishing, ktorý užívatelia musia odhaliť najmä vlastným kritickým zmýšľaním, nakoľko neposkytuje až toľko jasných varovných znakov, ako častejšie sa vyskytujúce menej prepracované phishingové e-maily.

Vyjadrila sa aj samotná Slovenská advokátska komora

Ku podvodnej stránke OverenaSpolocnost.sk sa už vyjadrila aj samotná Slovenská advokátska komora (SAK) :
“SAK preto vyzýva firmy a občanov, ktorí dostali takéto faktúry za nevyžiadané služby, aby ich neuhrádzali, a prípadne sa obrátili s podnetom na orgány činné v trestnom konaní,” zdôraznila komora, ktorá v posledné dni dostala viacero podnetov upozorňujúcich na podvodný projekt “OverenaSpolocnost.sk”.

“Ide o hrubé zneužívanie dobrého mena rešpektovaného súdu i komory ako takej,” vyhlásila SAK, ktorá sa voči tomu dôrazne ohradzuje a na ochranu dobrého mena podnikne potrebné právne kroky. (Zdroj: pracovnepravo.sk )

Ransomware a BEC útoky predstavujú takmer 70 % kybernetických incidentov

ransomware attack phishing

Nová štúdia odhalila, že ransomware a BEC útoky predstavujú takmer 70 % kybernetických incidentov

Poznáte skutočné bezpečnostné riziká svojej organizácie a miesta kde by ste mali najviac cieliť svoje zdroje? Nová štúdia od Palo Alto Networks vrhá trochu svetla na tieto otázky.

Správa obsahuje vzorku viac ako 600 prípadov reakcií na incidenty a zdôraznila hlavné počiatočné vektory útokov, ktoré používajú aktéri hrozieb. Čo bolo na správe veľmi zaujímavé je, že najčastejšie typy útokov sú ransomvér a BEC, ktoré spolu predstavujú takmer 70 % incidentov.

Podľa správy o ransomvéroch „požiadavky na výkupné dosahovali až 30 miliónov dolárov a skutočné výplaty dosahovali až 8 miliónov dolárov, čo je stabilný nárast v porovnaní so zisteniami z minulých rokov“. A veľmi častými útokmi BEC (Business Email Compromise) správa ukazuje, že jednoduché metódy sociálneho inžinierstva umožňujú kybernetickým zločincom ľahký prístup k rôznym užívateľským účtom spoločnosti. Po získaní prístupu bola priemerná doba výpadku po BEC útoku 38 dní a priemerná ukradnutá suma bola 286 000 USD.

Správa tiež obsahuje aj dôsledky incidentov, ako napríklad, že najvyššie ransomvérové výkupné je požadované vo finančnom sektore a sektore nehnuteľností. Najčastejšie tri vektory počiatočného prístupu sú phishing, zraniteľnosti voľne šíriteľných softvérov a aplikácie pre pripojenie na vzdialenú pracovnú plochu.

Vo vyhlásení Wendi Whitmore, viceprezidentka a vedúca v Palo Alto Networks, uviedla: Práve teraz je kybernetická kriminalita jednoduchým „podnikaním“, pretože má nízke náklady a často vysokú návratnosť. Začalo to tým, že prístup k nástrojom ako hacking-as-a-service sa stal populárnejším a dostupným na dark webe.“

Táto správa vrhá svetlo na dôležitosť školenia o bezpečnosti. Vaši zamestnanci sa môžu naučiť, ako rozpoznať akúkoľvek podozrivú aktivitu, a reakcia na incident vďaka tomu môže by rýchla a bezplatná.

Plnú správu nájdete tu [ENG]

Ako to funguje?

RanSim bude simulovať 22 scenárov infekcie ransomware a 1 scenár infekcie kryptominácie a ukáže Vám, či je pracovná stanica zraniteľná:

  • 100% neškodná simulácia skutočného ransomvéru a kryptominačných infekcií
  • Nepoužíva žiadne z vašich vlastných súborov
  • Testuje 23 typov scenárov infekcie
  • Stačí stiahnuť inštaláciu a spustiť ju
  • Výsledky za pár minút!

Podporte zmenu správania používateľov pomocou adaptívneho vzdelávania

blog proofpoint adaptivne vzdelávanie

Podporte zmenu správania používateľov pomocou adaptívneho vzdelávania

Predstavte si tento scenár: je piatok poobede a zamestnanec dostane od IT oddelenia e-mail. Uvedomí si, že školenie na zvýšenie povedomia o bezpečnosti, ktoré posledné tri mesiace odkladal, má byť hotové do dvoch hodín. Používateľ si rýchlo spustí tréningový modul a vydýchne si, keď si uvedomí, že ide o rovnaké video a kvíz z minuloročného tréningu. 1-hodinové video sa prehráva na pozadí, kým si on dokončí svoj projekt a získa 100 % v kvíze, lebo odpovede už poznal.

Tento scenár je bohužiaľ pre mnohých známy a predstavuje veľkú výzvu pre bezpečnostné tímy na celom svete, ktoré súťažia o pozornosť používateľov, najmä keď výskumy ukazujú, že 75 % organizácií má za rok len dve hodiny alebo menej na to, aby sa venovali školeniam o bezpečnosti.

Používatelia majú rôzne roly v spoločnosti a majú rôzne medzery vo svojich znalostiach. Majú rôzne vzdelávacie potreby – nehovoriac ešte aj o krátkom rozsahu pozornosti v dnešnej dobe. Bezpečnostné tímy musia bojovať proti skrátenému rozsahu pozornosti tým, že školenia budú relevantné pre osobný život používateľov na pracovisku aj mimo neho.

Stratégia „jedno školenie všetkým“ môže spôsobiť, že používatelia budú zraniteľní a apatickí

Odborníci na zvyšovanie povedomia o bezpečnosti, ktorí zápasia s obmedzenými zdrojmi a podporou vedenia, sú niekedy nútení zaviesť rovnaký obsah školenia pre všetkých používateľov. Aj keď sa takýto program snaží splniť požiadavky na súlad so zákonom o kybernetickej bezpečnosti, často sa mu nepodarí získať pozornosť od koncových používateľov a používatelia sú tak naďalej zraniteľní.

Ľudia sú vystavení rôznym útokom na základe svojej úlohy alebo dátových privilégií a útočníci to využívajú na zneužitie ich zraniteľnosti. Vzhľadom na obmedzený čas školení používateľov, bezpečnostné tímy, ktoré prideľujú rovnaké školiace moduly všetkým zamestnancom, nevyhnutne nechávajú niektoré z rizík pre určitých používateľov nevyriešené. Navyše, „univerzálny“ tréning často ľudí demotivuje a odpútava, pretože tréning je buď príliš zložitý, alebo príliš jednoduchý. Keď používatelia stratia motiváciu učiť sa, ich pozornosť sa zníži.

Adaptívny prístup k učeniu postupne buduje používateľské znalosti a mení správanie

Na rozdiel od „univerzálneho“ prístupu, adaptívny vzdelávací prístup poskytuje používateľom prispôsobené vzdelávacie skúsenosti. Rovnako dôležité je, aby bezpečnostné tímy pochopili prevládajúce hrozby, ktorým organizácia čelí. Akonáhle sa zistí základná línia medzier vo vedomostiach používateľov, bezpečnostný tím môže vytvoriť prispôsobené vzdelávanie, ktoré používateľom umožní budovať zručnosti nad rámec toho, čo sa už naučili.

Proofpoint využíva tento prístup a predstavuje adaptívny vzdelávací rámec. Tento rámec poskytuje používateľom školenia v rôznych doménach a úrovniach obtiažnosti, počnúc základným učebným plánom, ktorý pokrýva základy. To zaisťuje, že každý používateľ má základné znalosti vo všetkých kľúčových doménach kybernetickej bezpečnosti a ochrany údajov. Odtiaľ môžu bezpečnostné tímy priradiť inú kombináciu školení s progresívnymi úrovňami, ktoré idú od základov po začiatočnícke, potom stredne pokročilé a pokročilé koncepty.

Tento rámec vám umožňuje zostaviť stručné a špecifické školenia. Toto špecifické školenie nazývame „microlearning“. Obsah nie je dlhý a možno ho zoradiť a kombinovať tak, aby poskytoval vzdelávacie cesty prispôsobené rolám a znalostiam jednotlivcov. S adaptívnym vzdelávacím rámcom môžete poskytnúť flexibilitu tréningu, pokiaľ ide o to, kto,  kedy a koľko tréningu potrebuje. Zapája používateľov do rozvoja ich zručností a podporuje zvládnutie obsahu.

blog proofpoint adaptivne vzdelávanie

Organizácie, ktoré využívajú adaptívny vzdelávací rámec:

  • Znižujú riziko
  • Formujú správanie používateľa
  • Posilňujú kultúru bezpečnosti

Zníženie rizika

S adaptívnym vzdelávacím rámcom ako základom môžete hodnotiť a identifikovať najinformovanejších a najzraniteľnejších jednotlivcov. Môžete vykonať základné meranie zlepšenia v priebehu času; prepojiť obsah školenia a výsledkov v rámci domény, podľa úrovne a výsledku jednotlivých užívateľov. Okrem toho tento rámec zaisťuje, že každý používateľ má základné znalosti o kľúčových bezpečnostných témach a že sú používatelia vybavení správnymi zručnosťami na ochranu seba a organizácie.

Formovanie správanie používateľa

Adaptívne vzdelávanie pomáha používateľom osvojiť si pozitívne bezpečnostné návyky v ľahko stráviteľných častiach, vďaka ktorým sa dajú ľahko implementovať do ich každodenného života prostredníctvom microlearningu. Umožňuje organizáciám prispôsobiť vzdelávanie používateľov na základe ich potrieb, čo vedie k zvýšenej angažovanosti, relevantnosti obsahu a maximalizuje autonómiu a motiváciu. Tento rámec navyše poskytuje univerzálny bezpečnostný jazyk a vytvára spoločné porozumenie a slovnú zásobu, čo uľahčuje komunikáciu.

Posilnenie kultúry bezpečnosti

Tento druh učenia vytvára zdravý prístup k učeniu, ktorý používatelia považujú za účelný, personalizovaný a progresívny. Pomáha budovať kultúru poslania a splnomocnenia na všetkých úrovniach organizácie. Pomáha bezpečnostným tímom uprednostniť zručnosti a koncepty, ktoré sa chcú používatelia naučiť v správnom poradí. A tiež umožňuje používateľom pochopiť, čo od nich IT tím očakáva. Umožní používateľom zohrávať aktívnu úlohu pri budovaní kultúry organizácie.

Potom si môžeme predstaviť takýto scenár: Používateľ patrí do organizácie, ktorá používa adaptívny vzdelávací rámec. Zakaždým, keď sa prihlási do platformy, aby dokončil školenie, vie, že sa naučí niečo nové a že modul mu nezaberie veľa času. Obsah pomohol používateľovi dosiahnuť dobré výsledky pri simuláciách phishingu a bezpečnostný tím rozpoznal jeho pokrok.

Ako vybudovať udržateľnú bezpečnostnú kultúru spoločnosti

bezpečnostná kultúra

Ako vybudovať udržateľnú bezpečnostnú kultúru spoločnosti

Ľudia sú novým perimetrom – ktokoľvek sa môže stať cieľom a ktokoľvek môže podkopať bezpečnostnú pozíciu svojej organizácie jediným nevedomým prešľapom ale aj úmyselne zlomyseľným činom. Ako obrátiť scenár vo Váš prospech a premeniť vektor, ktorý je pod najväčším útokom, na kritickú vrstvu ochrany?

Krátka odpoveď je, že musíte zariadiť zmenu správania užívateľov vybudovaním systematickej a udržateľnej bezpečnostnej kultúry, ktorá je prispôsobená Vašej organizácii.

To si vyžaduje výraznú zmenu v tom, ako pristupujete k školeniam o bezpečnosti. Podľa správy „State of the Phish 2022“ od spoločnosti Proofpoint má síce 99 % organizácií školiaci program na zvyšovanie povedomia o bezpečnosti – a predsa len 55 % pracujúcich dospelých vie, čo znamená pojem „phishing“. To je určite znepokojujúce vzhľadom na to, že phishing je už roky hlavnou kybernetickou hrozbou.

Aj keď je cieľom školenia na zvýšenie povedomia o bezpečnosti dosiahnuť zmysluplné bezpečnostné výsledky – napríklad menej kliknutí na škodlivé odkazy, menej kompromitovaných účtovných operácií a menej úspešné phishingové incidenty – mnohé programy jednoducho neprinášajú trvalú zmenu pre užívateľov. Niekoľko hodín školenia ročne neprinúti väčšinu používateľov, aby si osvojili bezpečnostné myslenie z dlhodobého hľadiska. Budovanie silnej bezpečnostnej kultúry to ale urobí.

Čo je to bezpečnostná kultúra?

Keď má organizácia udržateľnú kultúru bezpečnosti, zamestnanci cítia, že oni a ich spolupracovníci sú zodpovední za to, aby zabránili bezpečnostným incidentom. Rozumejú, prečo je kybernetická bezpečnosť dôležitá. A čo je dôležité, cítia sa oprávnení konať – a pohodlne sa obrátiť na bezpečnostný IT tím, keď uvidia niečo podozrivé alebo urobia chybu.

Vybudovanie kultúry zabezpečenia a jej začlenenie do štruktúry základnej firemnej kultúry Vašej organizácie si vyžaduje nájsť spôsoby, ako zmeniť spôsob, akým ľudia uvažujú o bezpečnosti. Vaším cieľom je vybudovať kultúru bezpečnosti, ktorá je:

  • Holistická a nepretržitá – zamestnanci sa neustále učia a sú zapojení a ostražití, pretože rozumejú svojej úlohe v obrane
  • Má určené zodpovedné osoby na všetkých firemných vrstvách – podpora bezpečnosti naprieč organizáciou, a to aj na jej najvyšších úrovniach a jej prepojenie, tak aby všetci vedeli na koho sa obrátiť

Aké sú výhody silnej bezpečnostnej kultúry?

Keď vytvoríte a udržiavate robustnú kultúru zabezpečenia, celkový stav zabezpečenia Vašej organizácie sa zlepší – spolu s agilitou a odolnosťou. Zamestnanci sa cítia zodpovední za to, aby pomohli predchádzať bezpečnostným incidentom a bezpečnostné tímy môžu rýchlejšie reagovať na hrozby a riešiť incidenty.

Okrem toho môžete znížiť riziko. S rastúcou prácou na diaľku, migráciou do cloudu a používaním osobných zariadení rýchlo rastie kybernetické riziko. Silná bezpečnostná kultúra môže pomôcť efektívnejšie zmeniť nebezpečné správanie používateľov, pretože zamestnanci veria, že kybernetické hrozby sú materiálnym rizikom pre úspech organizácie a môžu ich ovplyvniť aj osobne.

Ako získať účasť vedenia na bezpečnostnej kultúre?

Ako prvé pomáha zmapovať všetky možné scenáre pre bežné bezpečnostné incidenty, ktoré pomôžu zvýšiť povedomie vedúcich pracovníkov o rizikách. Musia pochopiť obchodné dopady útoku a tiež ktorí používatelia v organizácii sú najrizikovejší a prečo. A nezabudnite na overené štatistiky: tvrdé údaje oslovia zameranie vedenia na konečný výsledok.

Zdôvodnenie nákladov a úsilia

Keď už hovoríme o tvrdých údajoch, ak potrebujete zmeniť myslenie tých, ktorí rozhodujú o rozpočte vo Vašej finančnej organizácii, poukazujte na bežnú cenu narušenia bezpečnosti – čo je v priemere 4,24 milióna dolárov, podľa výskumu Ponemon Institute. Potom to porovnajte s nákladmi na bezpečnostné školenie, ktoré sa zjavne ani zďaleka nepribližujú tejto hodnote.

Pokiaľ ide o námahu, hľadajte riešenia, ktoré môžu pomôcť zautomatizovať procesy manuálneho zabezpečenia – a vytvoriť úsporu času a nákladov pre podnikanie a zároveň znížiť riziko. Ak Vášmu bezpečnostnému tímu chýbajú zdroje na spravovanie komplikovanejších a nepretržitých školení na zvýšenie povedomia o bezpečnosti, zvážte použitie manažovaného vzdelávania pre Vašich užívateľov. Ako eWAY Vám radi službu manažovania Vášho vzdelávania užívateľov poskytneme.

Udržiavanie interakcie používateľov

Nemôžete očakávať, že používatelia si osvoja bezpečnostné myslenie, ak im nevysvetlíte, prečo je to dôležité. Mnoho zamestnancov vo Vašej organizácii pravdepodobne nepovažuje bezpečnosť za súčasť svojej práce, alebo si jednoducho neuvedomujú hodnotu vynaloženého úsilia na to, aby boli aktívnym obrancom.

Urobte veci osobnými tým, že používateľom ukážete ich rizikový profil. Poskytujte tiež pravidelnú komunikáciu o incidentoch, ktoré sa dejú v „reálnom svete“ mimo Vašej organizácie. Zdieľajte napríklad informácie o porušení údajov, ktoré sa dostanú do titulkov, najmä ak majú vplyv na Vaše odvetvie.

A nakoniec zostavte svoj program tak, aby bolo používateľom jasné, prečo sú pre nich informácie a učenie osobne cenné. Zdôraznite, že svoje zručnosti v oblasti povedomia o bezpečnosti môžu využiť kdekoľvek – vrátane domova, aby pomohli ochrániť seba a svojich blízkych.

Známky skutočnej zmeny správania

Akcie používateľov, postoje a presvedčenia definujú bezpečnostnú kultúru organizácie. A keď dosiahnete dobre rozvinutú bezpečnostnú kultúru, u Vašich používateľov bude zrejmé nasledujúce správanie a myslenie:

bezpečnostná kultúra

Medzinárodný deň hesiel

cybersecurity , heslo

Medzinárodný deň hesiel

cybersecurity , heslo

Dnešný deň 05.05.2020 je medzinárodným dňom hesiel – ako každoročne prvý štvrtok v mesiaci máj – a teda ideálny deň napríklad aj na osobný audit Vami používaných hesiel.

Svetový deň hesiel bol zavedený za účelom pripomenutia dôležitosti úlohy kvalitného hesla v online priestore. Heslá, ktoré denne používame sú veľmi často ľahko prelomiteľné – čo môže viesť k zneužitiu Vašich súkromných údajov, poškodeniu dobrého mena a tiež to môže napríklad stáť spoločnosť v ktorej pracujete nemalý obnos peňazí.

My sme sa Vám rozhodli priniesť krátky zoznam odporúčaní ako na dobré heslo a ako si ho chrániť:

  1. Nepoužívajte rovnaké heslo pre viacero účtov/služieb.
  2. Heslo by sa nemalo skladať z ľahko zistiteľných osobných údajov – dátumy narodenia, mená rodičov či detí.
  3. Dobré heslo by malo byť kombináciou viacerých znakov: malých i veľkých písmen, číslic, špeciálnych znakov a ideálne aspoň 8 znakov dlhé.
  4. Nezapisujte si heslá do online dokumentov, e-mailov a ani do súborov v počítači.
  5. Meňte pravidelne v čase svoje heslá – niektoré služby to od Vás budú samé vyžadovať, no mali by ste si z času na čas zmeniť heslá aj k účtom, ktoré to nevyžadujú.
  6. Pre možnosť ukladania hesiel využite radšej nástroj na správu hesiel /password manager/ (ide o službu, ktorá si všetky Vaše komplikované a unikátne heslá zapamätá za Vás. K prihláseniu do všetkých služieb Vám vďaka tomu vo výsledku bude stačiť zapamätať si iba jedno hlavné unikátne heslo.)
  7. Tam kde je to možné sa nespoliehajte iba na heslo a využite možnosť 2-faktorovej autentizácie.
  8. Zamyslite sa predtým, ako niekde zadáte svoje heslo – dávajte si pozor hlavne na (phishingové) odkazy v e-mailoch, neoverené odkazy zo sociálnych sietí a podobne.

DMARC – čo to je a na čo slúži?

dmarc systém , SPF, DKIM

DMARC - čo to je a na čo slúži?

DMARC je otvorený e-mailový autentifikačný protokol, ktorý poskytuje ochranu e-mailového kanála na úrovni domény. Autentifikácia DMARC zisťuje a zabraňuje technikám spoofingu e-mailov používaných pri phishingu, ohrození obchodných e-mailov (BEC) a iných útokoch založených na e-mailoch. Stavajúc na existujúcich štandardoch – SPF a DKIM – DMARC je prvá a jediná široko nasadená technológia, vďaka ktorej je dôveryhodná  hlavička domény e-mailu. Vlastník domény môže zverejniť záznam DMARC v systéme DNS (Domain Name System) a vytvoriť politiku, ktorá určí, čo sa má robiť s e-mailami, ktoré zlyhali pri autentifikácii.

SPF a DKIM

Sender Policy Framework (SPF) je e-mailový overovací protokol, ktorý umožňuje organizácii určiť, kto môže odosielať e-maily z ich domén. Organizácie môžu autorizovať odosielateľov v rámci záznamu SPF zverejneného v systéme názvov domén (DNS). Tento záznam obsahuje schválené adresy IP odosielateľov e-mailov vrátane adries IP poskytovateľov služieb, ktorí sú oprávnení odosielať e-maily v mene organizácie. Publikovanie a kontrola SPF záznamov je spoľahlivým spôsobom, ako zastaviť phishing a iné e-mailové hrozby, ktoré falšujú odosielateľov e-mailu.

Domain Keys Identified Mail (DKIM) je e-mailový overovací protokol, ktorý umožňuje príjemcovi skontrolovať, či bol e-mail z konkrétnej domény skutočne autorizovaný vlastníkom tejto domény. Umožňuje organizácii prevziať zodpovednosť za prenos správy tým, že k nej pripojí digitálny podpis. Overenie sa vykonáva prostredníctvom kryptografickej autentifikácie pomocou verejného kľúča podpisovateľa zverejneného v DNS. Podpis zaisťuje, že časti e-mailu neboli zmenené od času pripojenia digitálneho podpisu.

Ako funguje DMARC?

Aby správa prešla overením DMARC, musí prejsť overením SPF a zarovnaním SPF a/alebo prejsť overením DKIM a zarovnaním DKIM. Ak správa zlyhá v DMARC, odosielatelia môžu prostredníctvom politiky DMARC inštruovať príjemcov, čo majú s touto správou robiť. Existujú tri zásady DMARC, ktoré môže vlastník domény presadiť: „none“ (správa je doručená príjemcovi a report DMARC je odoslaný vlastníkovi domény), karanténa (správa je presunutá do priečinka karantény) a odmietnutie (správa nie je doručené vôbec).

Politika DMARC „none“ je dobrým prvým krokom. Týmto spôsobom môže vlastník domény zabezpečiť, aby sa všetky legitímne e-maily správne overili. Vlastník domény dostáva DMARC reporty, ktoré mu pomáhajú uistiť sa, že všetky legitímne e-maily sú identifikované a prechádzajú overením. Keď je vlastník domény presvedčený, že identifikoval všetkých legitímnych odosielateľov a vyriešil problémy s autentifikáciou, môže prejsť na politiku „odmietania“ a blokovania phishingu, BEC útokov a iných podvodných e-mailov.
Ako príjemca e-mailov môže organizácia zabezpečiť, aby jej secure mail gateaway (zabezpečená e-mailová brána) presadzovala politiku DMARC implementovanú pre vlastníka domény. To ochráni zamestnancov pred hrozbami prichádzajúcej pošty.

dmarc systém , SPF, DKIM

Autentifikácia SPF začína identifikáciou všetkých legitímnych IP adries, ktoré by mali odosielať e-maily z danej domény, a potom tento zoznam zverejní v DNS. Pred doručením správy poskytovatelia e-mailu overia záznam SPF tak, že vyhľadajú doménu zahrnutú v adrese „od“ v skrytej technickej hlavičke e-mailu. Ak IP adresa odosielajúca e-mail v mene tejto domény nie je uvedená v zázname SPF domény, správa zlyhá pri overení SPF.

Pri autentifikácii DKIM odosielateľ najprv identifikuje, ktoré polia chce zahrnúť do svojho podpisu DKIM. Tieto polia môžu zahŕňať adresu odosielateľa, telo e-mailu, predmet a ďalšie. Tieto polia musia pri prenose zostať nezmenené, inak správa zlyhá pri overení DKIM. Po druhé, e-mailová platforma odosielateľa vytvorí hash textových polí zahrnutých v podpise DKIM. Po vygenerovaní hash reťazca je zašifrovaný súkromným kľúčom, ku ktorému má prístup iba odosielateľ. Po odoslaní e-mailu je na e-mailovej bráne alebo poskytovateľovi spotrebiteľskej poštovej schránky, aby overil podpis DKIM. To sa dosiahne vyhľadaním verejného kľúča, ktorý sa presne zhoduje so súkromným kľúčom. Potom sa podpis DKIM dešifruje späť na pôvodný hash reťazec.

Najlepšie postupy s DMARC

  • Vzhľadom na množstvo reportov DMARC, ktoré môže odosielateľ e-mailu prijímať, a nedostatočnú zrozumiteľnosť správ DMARC môže byť úplná implementácia overenia DMARC náročná.
  • Nástroje na analýzu DMARC môžu organizáciám pomôcť pochopiť informácie obsiahnuté v správach DMARC.
  • Dodatočné údaje a poznatky nad rámec toho, čo je zahrnuté v prehľadoch DMARC, pomáhajú organizáciám rýchlejšie a presnejšie identifikovať odosielateľov e-mailov. Pomáha to urýchliť proces implementácie autentifikácie DMARC a znižuje riziko zablokovania legitímnych e-mailov.
  • Konzultanti profesionálnych služieb s odbornými znalosťami DMARC môžu organizáciám pomôcť s implementáciou DMARC. Konzultanti môžu pomôcť identifikovať všetkých legitímnych odosielateľov, opraviť problémy s autentifikáciou a môžu dokonca spolupracovať s poskytovateľmi e-mailových služieb, aby sa uistili, že sa overujú správne.
  • Organizácie môžu vytvoriť záznam DMARC v priebehu niekoľkých minút a začať pracovať prostredníctvom správ DMARC presadzovaním zásady DMARC „none“.
  • Správnou identifikáciou všetkých legitímnych odosielateľov e-mailov – vrátane poskytovateľov e-mailových služieb tretích strán – a odstránením akýchkoľvek problémov s autentifikáciou by organizácie mali dosiahnuť vysokú úroveň spoľahlivosti pred presadzovaním zásady „odmietania“ DMARC.

Ako vytvoriť záznam DMARC

    • Záznamy DMARC sú umiestnené na vašich serveroch DNS ako záznamy TXT. Každý poskytovateľ hostingu poskytuje zákazníkom prístup DNS, takže tento záznam TXT môžete pridať u vlastníka, u ktorého bola doména zaregistrovaná, alebo na paneli poskytnutom hostiteľom webovej lokality. Kroky na vytvorenie záznamu DMARC sa líšia v závislosti od hostiteľa, ale vytvorenie záznamu je pre každú doménu rovnaké. Po overení u svojho hostiteľa vytvorte záznam DNS pomocou nasledujúcich krokov:
    • Vytvorte záznam TXT. Po spustení procesu vytvárania musíte zadať názov a hodnotu záznamu.
    • Pomenujte svoj záznam DMARC. V niektorých konfiguráciách hostiteľa sa názov domény automaticky pripojí k názvu. Ak sa nepridá automaticky, pomenujte záznam _dmarc.yourdomain.com.
    • Zadajte hodnotu pre váš záznam. Nasleduje príklad hodnoty pre DMARC:

            v=DMARCI; p=none; rua=mailto:vaša adresa@vašadoména.com

    • Tieto tri hodnoty v položke sú dôležité, keď používatelia posielajú e-maily do vašej domény. Prvá hodnota „v“ je potrebná a určuje verziu. Táto hodnota bude rovnaká pre všetky záznamy. Druhá hodnota „p“ určuje, čo sa stane, keď e-mail prejde alebo zlyhá. V tomto príklade je hodnota nastavená na „none“, čo znamená, že sa nič nestane. Táto hodnota sa na začiatku odporúča, aby sa pred umiestnením správ do karantény zabezpečilo správne fungovanie DMARC.
    • Po overení, že DMARC funguje správne, možno hodnotu „p“ zmeniť na karanténu alebo odmietnuť. Odporúča sa umiestniť správy do karantény, aby ste mohli zachytiť falošné poplachy. Správa bude odložená, kým si ju neprečítate. Možnosť „odmietnuť“ priamo zahodí správy, ktoré nespĺňajú pravidlá DMARC. Pokiaľ si nie ste istí, že správy prejdú, použite možnosť odmietnutia iba vtedy, keď ste si istí, že vaše nastavenia DMARC nezahadzujú žiadne dôležité správy.

Typické chyby v kybernetickej bezpečnosti začínajúcich firiem

Typické chyby v kybernetickej bezpečnosti začínajúcich firiem

Na internete nájdete mnoho článkov zaoberajúcimi sa rôznymi biznisovými, marketingovými či rozpočtovými chybami začínajúcich spoločností, ale len málokto sa venuje problematike začiatočníckych kybernetických chýb pri budovaní vášho projektu.

Typický začiatočný príbeh startupov: vy a váš známy prídete so skvelým nápadom, prediskutujete ho so svojím najbližším, zhromaždíte skupinu nadšencov váš tím je pripravený. Takto nejako sa začali aj slávne príbehy teraz už známych značiek ako Airbnb, Pinterestu, Twitteru, Uberu a mnohých ďalších známych projektov.

Problémy však nastanú, keď startup prejde od počiatočného nápadu k budovaniu skutočných pracovných postupov a najímaniu ďalších zamestnancov. V tomto bode sa malá skupina rovnako zmýšľajúcich ľudí rozširuje a stáva sa z nej tím náhodných ľudí s rôznymi názormi na život a rôznymi životnými skúsenosťami. V takomto tíme môžu mať zamestnanci veľmi odlišné chápanie toho, ktoré informácie by sa mali považovať za dôverné a ako ich zabezpečiť.

Zároveň ľudia, ktorí prichádzajú pracovať do startupov, sú často len nadšenci a ľudia čo radi skúšajú nové veci – rýchlo si vašu myšlienku obľúbia, ale následne často dokážu rýchlo zmeniť záujmy a odísť. Navyše, moderné startupy pomerne často závisia od IT špecialistov, ktorí majú vo všeobecnosti tendenciu prechádzať z biznisu do biznisu.

Kombinácia týchto dvoch skutočností môže vytvoriť vysokú fluktuáciu zamestnancov. V takýchto podmienkach sa môžu ľahko množiť rôzne chyby, najmä chyby súvisiace s kybernetickou bezpečnosťou. Preto je ľahké prehliadnuť kybernetickú hrozbu, ktorej sa dá inak pomerne ľahko vyhnúť.

Základné chyby v kybernetickej bezpečnosti začínajúcich firiem

Nadmerné prístupové práva často, keď začínajúci zamestnanec potrebuje prístup k podnikovým zdrojom alebo službám, okamžite získa administrátorské práva. Osoba, ktorá zdieľa tieto prístupové práva, si zvyčajne myslí, že je jednoduchšie poskytnúť prístup ku všetkému raz, bez toho, aby pochopila skutočné potreby konkrétneho zamestnanca a jeho zodpovednosti, ako dostávať nové žiadosti o prístup každý týždeň. Ale čím viac prístupových práv má zamestnanec, tým rastie pravdepodobnosť chyby. Ak chcete minimalizovať počet kybernetických incidentov, každý užívateľ by mal mať iba tie prístupové práva, ktoré sú nevyhnutné pre jeho úlohy.

Absencia systému ukladania informácií – vo všeobecnosti je to zlé pre každé podnikanie. Ale v startupe sa môže stať, že kvôli vyššie spomínanej fluktuácii zamestnancov jedného dňa jednoducho nebudete vedieť nájsť dôležité pracovné súbory. S najväčšou pravdepodobnosťou niekde existujú, ale kde presne je už tajomstvo. Vývojár alebo marketingový stážista o tom raz vedel, no nedávno zo spoločnosti odišiel bez toho, aby to komukoľvek povedal.

Zabudnuté heslá – ďalším častým problémom sú zabudnuté heslá pre firemné sociálne siete či iné zriedka používané služby. Možno si nový zamestnanec založí účet na Facebooku alebo LinkedIn, aby pomohol propagovať podnikanie, ale nedokáže zdieľať podrobnosti o účte s ostatnými zamestnancami, potom náhodou odíde – a prihlasovacie údaje sú preč, s malou šancou na obnovenie.

Zdieľané heslá – niektorí ľudia si môžu myslieť, že môže byť dobrý nápad používať zdieľané účty. Čím viac ľudí však heslo pozná, tým je pravdepodobnejšie, že unikne v dôsledku phishingu, nedbalosti alebo zlého úmyslu. Navyše to značne komplikuje vyšetrovanie incidentu, keď k nemu dôjde. Povedzme, že sa ukáže, že niekto získal prístup k účtu – odborníci majú podozrenie, že heslo zachytil malvér a chcú skontrolovať počítač zamestnanca, ktorý mal prístup. Len aby ste zistili, že každý prístup mal ktokoľvek zo spoločnosti.

Heslá v cloudových službách – ďalšou chybou súvisiacou s heslom je ich uloženie do nejakého súboru napríklad v Dokumentoch Google, pretože  ich základné nastavenie znamená, že sú tieto dokumenty zvyčajne prístupné každému, kto má odkaz. Výhodou sa môže zdať, že je veľmi pohodlné preniesť potrebné informácie všetkým zamestnancom naraz – stačí vložiť všetky potrebné heslá do jedného dokumentu a poslať im odkaz. Takéto cloudové dokumenty však môžu indexovať aj vyhľadávače. Inými slovami, súbor so všetkými vašimi heslami sa môže potenciálne dostať do nesprávnych rúk.

Absencia dvojfaktorovej autentifikácie – niektoré problémy spojené s heslami by boli menej časté, keby startupy nezanedbávali dvojfaktorovú autentifikáciu na pracovných účtoch. To umožňuje chrániť dôležité údaje pred rôznymi metódami krádeže, ako je napríklad phishing.

Univerzálne tipy na prevenciu kybernetických hrozieb

Aby ste sa vyhli „typickým“ chybám, ktorých sa dopúšťa mnoho malých podnikov a začínajúcich podnikov, skúste postupovať podľa týchto tipov:

  • Pokiaľ ide o udeľovanie prístupu k zdrojom alebo službám, mali by ste dodržiavať zásadu najmenších privilégií. To znamená, že zamestnanec musí mať minimálny súbor prístupových práv – dostatočný len na vykonávanie svojich úloh.
  • Zistite presne, kde sú uložené dôležité informácie vášho podnikania a kto k nim má prístup. Z toho vypracujte usmernenia pri prijímaní nových zamestnancov, vrátane jasného definovania toho, ktoré účty sú potrebné pre každého zamestnanca a ktoré by mali byť obmedzené len na určité roly.
  • Vyspelá firemná kultúra kybernetickej bezpečnosti pomáha predchádzať mnohým kybernetickým hrozbám. Môžete napríklad začať vytvorením príručky kybernetickej bezpečnosti pre zamestnancov, aby boli všetci na rovnakej vlne. Alebo vyskúšať nejaký z online školiacich programov pre zamestnancov.
  • Všetky heslá musia byť uložené v zabezpečenom správcovi hesiel. Pomôže vašim zamestnancom, aby ich nezabudli alebo nestratili a tiež minimalizovali šancu, že sa k vašim účtom dostane niekto cudzí. Všade, kde je to možné, používajte aj dvojfaktorové autentifikačné mechanizmy.
  • Poraďte svojim zamestnancom, aby si zamkli počítač, keď odídu od stola. Mali by mať na pamäti, že kanceláriu môžu navštíviť všetky druhy tretích strán – vrátane kuriérov, klientov, subdodávateľov alebo uchádzačov o zamestnanie.
  • Inštalujte si antivírusový softvér  na ochranu zariadení pred vírusmi, trójskymi koňmi a inými škodlivými programami

5 najväčších rizík hybridnej pracovnej sily

ochrana emailu

5 najväčších rizík hybridnej pracovnej sily

Pre väčšinu zamestnancov moderných spoločností už nie je ničím nezvyčajným mať slobodu pracovať odkiaľkoľvek. Zamestnanci často niektoré dni pracujú v kancelárii a iné doma. A potrebným prvkom sú teda pre nich platformy, ktoré používajú na prácu na diaľku. Nástroje ako Zoom, Microsoft Teams a Slack sú teraz nenahraditeľné, rovnako ako platformy sociálnych médií, ktoré zamestnancom predstavujú sieť spolupracovníkov a klientov.

Odvrátenou stranou týchto trendov je zvýšené riziko vnútorných hrozieb. Teraz je jednoduchšie ako kedykoľvek predtým nevhodne zdieľať dôverné informácie, či už aj neúmyselne alebo so zlým úmyslom.

Ako môžu organizácie riadiť riziká týchto nástrojov potrebných na fungovanie digitálnej spolupráce? Tu je päť oblastí, ktoré predstavujú najväčšie hrozby pri práci na diaľku:

1. Strata dát

Platformy pre spoluprácu, ako sú Microsoft Teams a Slack, umožňujú zamestnancom jednoducho spolupracovať medzi sebou, klientmi a dodávateľmi tretích strán. Predstavujú však aj nové zraniteľné miesta, pokiaľ ide o stratu údajov. Či už neúmyselne alebo zámerne, používatelia týchto platforiem by mohli zdieľať údaje spôsobom, ktorý by ohrozil spoločnosť.

Zoberme si napríklad masívne porušenie, ktoré zažil vydavateľ videohier Electronic Arts (EA). Pomocou ukradnutých cookies z black marketu útočníci infiltrovali kanál Slack v EA, pričom sa vydávali za zamestnanca, ktorý potrebuje technickú podporu. Útočníci vytvorili hodnoverný príbeh, aby presvedčili správcu IT, aby im dal token viacfaktorovej autentifikácie (MFA), a potom kompromitovali vývojovú službu, aby si stiahli viac ako 780 Gb zdrojového kódu.

Za stratu údajov však nie sú vždy zodpovední útočníci. Niekedy sú na vine nedbalí zamestnanci. Napríklad chyba pri pokuse o odstránenie konta jedného používateľa v KPMG spôsobila, že účtovná firma stratila záznamy rozhovorov s viac ako 145 000 používateľmi Microsoft Teams.

Bez ohľadu na dôvody straty údajov je vplyv týchto incidentov významný: priemerná cena za stratu údajov je 4,24 milióna USD.

Nástroje digitálnej spolupráce sú nevyhnutné pre hybridnú pracovnú silu, ale nesprávna správa môže spôsobiť, že vaša organizácia bude zraniteľná.

2. Porušovanie personálnej politiky

Sociálne médiá a chatovacie platformy, ktoré kolegovia používajú na pripojenie, môžu mať aj temnú stránku. Napriek najlepším zásadám ľudských zdrojov (HR) môže byť ťažké moderovať tieto prostredia, najmä preto, že zamestnanci môžu zabudnúť, že tieto online platformy sú stále profesionálnou platformou. Nie je preto nezvyčajné, že dôjde k nevhodnému alebo nezákonnému správaniu.

V prípade Steph Korey, CEO a spoluzakladateľa batožinového startupu Away, sa šikanovanie  na Slack platforme stalo významným problémom. Incident zasadil rýchlo rastúcej spoločnosti reputačný úder.
Tento príklad  ilustruje, že oddelenia ľudských zdrojov čelia aj výzve presadzovania svojich politík prostredníctvom kontroly digitálnych kanálov.

Negatívna firemná kultúra môže rozdúchať rôzne konflikty, čo vedie nespokojných zamestnancov k nečestnému správaniu. Bohužiaľ, ako sa nástroje digitálnej komunikácie stávajú samozrejmosťou, HR oddelenia musia monitorovať každý kanál a zabezpečiť dodržiavanie politík. Bez dôsledného presadzovania sa môžu skutky ako online šikanovanie na pracovisku alebo rôzne iné nezákonné aktivity uskutočňovať, čo ohrozuje blaho zamestnancov i spoločnosti.

3. Chybné kroky na sociálnych sieťach, vedúce k poškodeniu dobrého mena

Zatiaľ čo sociálne médiá môžu pomôcť mnohým spoločnostiam nájsť si verných fanúšikov, jeden nesprávny krok môže byť pre firmu katastrofálny. Chyby môžu mať mnoho podôb. Zamestnanec by mohol nevedomky odhaliť chránené informácie napríklad v zdanlivo nevinnom príspevku alebo by mohol preukázať nekvalitné služby zákazníkom tým, že by nevhodne reagoval na sťažnosť zákazníka online.

Sociálne médiá už nie sú len pre marketingové tímy; technická podpora a dokonca aj niektoré služby sú teraz ponúkané výlučne prostredníctvom sociálnych médií. A pre zamestnancov s obmedzenými odbornými znalosťami v oblasti dodržiavania predpisov alebo bez školenia v oblasti zákazníckej podpory je príliš jednoduché uverejniť na sociálnych médiách nesprávnu vec. Koniec koncov, internet má dlhú pamäť a chyby v sociálnych sieťach môžu mať skutočné dôsledky.

Ilustrovať sa to dá na príklade, ktorý uviedol veľký úverový úrad Equifax v dôsledku rozsiahleho úniku údajov, ktorý postihol viac ako 147 miliónov zákazníkov. Tweety odoslané útočníkmi z oficiálneho účtu spoločnosti Twitter nasmerovali zákazníkov na falošnú webovú stránku, čo spôsobilo veľké poškodenie reputácie podniku.

Sociálne médiá sa dajú ľahko skonštruovať tak, aby presvedčili zákazníkov a dokonca aj tých najnáročnejších zamestnancov, aby klikali na rizikové odkazy alebo si stiahli malvéri, bez toho aby niečo tušili. Chyby môžu mať za následok poškodenie reputácie a stratu údajov, z ktorých môže byť náročné zotaviť sa, najmä ak Vaši zákazníci majú zvýšené očakávania týkajúce sa bezpečnosti.

4. Podvody zvnútra

Mnoho organizácií aktívne nemonitoruje svoje platformy spolupráce. V dôsledku toho mnohí zamestnanci považujú chatovacie platformy za bezpečné miesta na zdieľanie rôznych informácií o firme alebo údajov o zákazníkoch.

Goldman Sachs sa túto lekciu naučil tvrdo v roku 2018, keď spoločnosť poskytujúca finančné služby súhlasila so zaplatením pokuty 110 miliónov za podvody pri obchodovaní s devízami, ku ktorým došlo, keď zamestnanci diskutovali o budúcich obchodoch so zákazníkmi v online diskusnej miestnosti. Podobné prípady zdieľania dôverných informácií o  obchodovaní sa vyskytli aj na sociálnych médiách alebo prostredníctvom služieb ako napr. WhatsApp.

Trestná činnosť môže byť spáchaná pomocou sociálnych médií alebo iných nástrojov vzdialenej spolupráce, najmä preto, že túto aktivitu je obzvlášť náročné monitorovať kvôli pravidlám ochrany osobných údajov. Dôsledky môžu byť významné; takéto činy robia spoločnosti zraniteľnými voči veľkým finančným stratám alebo trestným obvineniam.

Keďže čoraz viac konverzácií prebieha online, prípady podvodov zamestnancov pomerne časté. Ak organizácie nemonitorujú svoje chatovacie kanály, môžu zistiť dôkazy o podvode s nesprávnym zaobchádzaním s údajmi až keď už bude príliš neskoro. Proaktívny prístup k predchádzaniu vnútorných hrozieb zahŕňa monitorovanie nástrojov vzdialenej spolupráce.

5. Nedodržiavanie nariadení a zákonov

Zamestnanci ľahko komunikujú medzi sebou a s verejnosťou prostredníctvom neustále sa zvyšujúceho počtu digitálnych kanálov, čo je oblasť, ktorej často chýba súlad s rastúcim počtom pravidiel a nariadení. Keď zamestnanci zverejnia informácie, ktoré upútajú pozornosť regulačných orgánov, výsledné právne dôsledky môžu byť zdrvujúce.

Online pracovné konverzácie sa predtým uskutočňovali výlučne prostredníctvom e-mailu, ale čoraz viac je preferovaným digitálnym kanálom chat. Zamestnanci musia dôsledne uplatňovať zásady, ktoré sú v súlade so zákonom, ako napríklad zákon o ochrane osobných údajov, a to aj cez chat. Organizácie, ktoré nemonitorujú a neukladajú obsah chatu, môžu mať problémy so zabezpečením súladu.

Netflix sa týmto spôsobom skvele dostal do konfliktu s regulačnými orgánmi Komisie pre cenné papiere a burzy (SEC), keď generálny riaditeľ Reed Hastings odhalil údaje o sledovanosti na svojej osobnej facebookovej stránke. Tým sa porušil riadny proces, pretože investori musia byť vopred informovaní o tom, kde (a kedy) spoločnosti budú zverejňovať finančné informácie.

Nástroje digitálnej komunikácie sa môžu zdať osobné, ale vo všetkých komunikáciách sa musia dodržiavať profesionálne štandardy. Zamestnanci a spoločnosti môžu čeliť právnym následkom za zverejnenie citlivých informácií nevhodnými kanálmi. Aby sa spoločnosti vyhli nákladným súdnym konaniam a pokutám, musia dbať na dodržiavanie právnych predpisov vo všetkých komunikačných kanáloch.

Ako zvýšiť bezpečnosť a súlad s pravidlami vašej organizácie

Dobrou správou je, že napriek rizikám spojeným s platformami sociálnych médií a nástrojmi na spoluprácu je možné, aby organizácie tieto riziká účinne zmierňovali.

Na začiatok by organizácie mali vykonať tieto štyri kroky:

  • Zachyťte obchodnú komunikáciu. Dodržiavajte súlad so zákonmi pomocou zachytávania údajov bez ohľadu na typ zariadenia, umiestnenie alebo použitú platformu.
  • Dohliadajte na obchodnú komunikáciu. Monitorujte všetky relevantné nástroje a platformy sociálnych médií v reálnom čase, aby ste zistili porušenie pravidiel.
  • Predchádzajte nesprávnemu správaniu a včas naň reagujte. Vyberte si riešenie na prevenciu straty údajov (DLP), ktoré zohľadňuje údaje, správanie a hrozby. Uistite sa, že riešenie dokáže inteligentne zabrániť a urýchliť vašu reakciu na rizikové správanie zasvätených osôb a pohyb údajov.
  • Chráňte používateľov, účty a údaje pred pokročilými hrozbami, či už sú v cloude, v dátovom centre alebo na zariadení vlastnenom zamestnancami.

4 bezpečnostné chyby, kvôli ktorým sú spoločnosti zraniteľné voči hrozbám z vnútra

interne hrozby blog

4 bezpečnostné chyby, kvôli ktorým sú spoločnosti zraniteľné voči hrozbám z vnútra

Vzhľadom na to, že práca na diaľku a rôzne hybridné formy spolupráce sú veľmi časté a trvácne v dnešnej dobe, potreba silného programu na riadenie vnútorných hrozieb narastá. Mnohé organizácie sa však naďalej zameriavajú iba na obranu pred vonkajšími hrozbami, a nie na hrozby, ktoré prichádzajú zvnútra – čo je voľba, ktorá môže potenciálne ohroziť ich fungovanie. Podľa výskumu Ponemon Institute sú priemerné náklady na vnútorné hrozby 11,45 milióna dolárov, čo predstavuje nárast až o 31% za dva roky.

Výsledné zraniteľnosti spojené s ohrozením jednotlivými zamestnancami a organizáciami môžu spôsobiť veľké problémy pre spoločnosť. Tieto zraniteľnosti je možné minimalizovať tým, že sa vyhnete bežným chybám spojeným s rizikami ohrozenia osobami z vnútra.

Dnes si prejdeme štyri hlavné bezpečnostné chyby, ktoré často spôsobujú, že zamestnanci (a spoločnosti) sú zraniteľnejší voči vnútorným hrozbám, a čo môžete urobiť, aby ste znížili riziko vnútornej hrozby pre Vašu organizáciu:

1. Školenie zamestnancov v oblasti kybernetickej bezpečnosti

Nie všetky vnútorné hrozby sú výsledkom zlomyseľnej činnosti zamestnancov; zamestnanci častejšie robia chyby z nevedomosti. V skutočnosti takéto neplánované vnútorné hrozby predstavujú podľa Ponemona 62 % únikov údajov. Môže to pochádzať z takých zdanlivo neškodných akcií, ako je sťahovanie citlivých dokumentov na USB disk alebo odosielanie zašifrovaných dokumentov e-mailom na dokončenie práce doma.

S nárastom pracovných riešení na diaľku sa tento druh správania stal ešte rozšírenejším. Keďže spoločnosti sa čoraz viac spoliehajú na nástroje spolupráce na diaľku, mnohým chýbajú zavedené postupy a pravidlá pre zamestnancov, ktorí pracujú z domu. Tento problém sa týka aj externých predajcov, ktorí používajú rovnaké nástroje na každodennú komunikáciu. Bez usmernenia o tom, čo predstavuje bezpečné a správne správanie, si zamestnanci možno ani neuvedomia, kedy vystavujú spoločnosť riziku.

Ako tomu predísť?

Ak chcete zmierniť riziká vnútorných hrozieb, zvážte prispôsobenie školení zamestnancov v oblasti kybernetickej bezpečnosti tak, aby boli relevantné pre riziká, ktoré vidíte. Ak môžete do svojej existujúcej technológie zabudovať prispôsobené upozornenia, aby boli používatelia upozornení v čase, keď dôjde k neopatrnému rizikovému správaniu, môžete efektívnejšie určiť dôvod upozornenia a okamžite podniknúť kroky, aby sa tento problém neopakoval.

V prípade iných rizík, s ktorými sa bežne spoločnosti stretávajú, pomôže častejšie školenie o kybernetickej bezpečnosti a najmä o dodržiavaní predpisov o osvedčených postupoch e-mailovej a cloudovej spolupráce.

2. Neberieme do úvahy vonkajšie stresory

Zmeny v spôsobe, akým dnes pracujeme, určite sťažujú rozpoznanie varovných signálov potenciálnej škodlivej činnosti. Kedysi sa považovalo za veľmi podozrivé, ak zamestnanec pristupoval k údajom v mimopracovných hodinách alebo z iného miesta, ale teraz je to už norma.

Vďaka pracovnej sile, ktorá pracuje odkiaľkoľvek, je tiež pre mnohé spoločnosti jednoduchšie prehliadať rôzne vonkajšie stresory, ktoré by mohli inšpirovať k zlomyseľnému vnútornému správaniu. Medzi tieto stresory patria:

  • Núdzové situácie s peniazmi: Zamestnanec môže byť presvedčený, aby konal zlomyseľne voči svojej spoločnosti, keď sa ocitne vo finančnej tiesni.
  • Pomsta: Nespokojný zamestnanec môže pomôcť uniknúť dátam, aby sa mohol spoločnosti pomstiť. Môže k tomu dôjsť v dôsledku zlého zaobchádzania v tíme, pracovného konfliktu alebo prepúšťania.
  • Privilégium: Zamestnanec si môže myslieť, že si zaslúži vlastniť a kontrolovať údaje, najmä ak hral hlavnú úlohu pri získavaní alebo vytváraní údajov.
  • Protichodné hodnoty: Zamestnanec s náboženským alebo politickým presvedčením, ktoré je v rozpore s hodnotami spoločnosti, by sa mohol cítiť oprávnený pri pomoci s únikom údajov.
  • Nábor tretích strán: Zločinecké organizácie alebo rôzne zahraničné špionážne agentúry môžu najímať ľudí s cieľom zneužitia systému, podvodu alebo finančného zisku.

3. Odhaľovanie škodlivých osôb

Pri rozptýlenej pracovnej sile môže byť pre tímy kybernetickej bezpečnosti ťažšie byť informovaní o nespokojných zamestnancoch, hodnoteniach zlého výkonu alebo individuálnych osobných okolnostiach, ktoré môžu spôsobiť, že zamestnanec bude konať zlomyseľne. Zanedbanie ľudskej zložky straty údajov núti Vašu spoločnosť do toho, aby konal proaktívne.

Na zmiernenie potenciálnych rizík zaistite lepšiu spoluprácu a konzistentnú komunikáciu medzi vedúcimi tímov a pracovníkmi kybernetickej bezpečnosti, najmä ak zamestnanec vyjadrí silný nesúhlas alebo ignoruje zásady spoločnosti. Čím vzdelanejší sú vedúci vašich obchodných jednotiek o príznakoch, ktoré zvyčajne predchádzajú krádeži údajov a hrozbám zasvätených osôb, tým viac môžu pomôcť pri informovaní vášho bezpečnostného tímu.

Ideálne by si mal váš bezpečnostný tím tiež pravidelne porovnávať aktivitu používateľov a interakciu s údajmi. V spojení s prehľadom o možných signáloch nekalých aktivít môže táto korelácia aktivity a interakcie pomôcť tímu byť proaktívny pri práci na odhalení zneužitia privilégií a potenciálnych rizík straty údajov.

Neúplné alebo neúčinné procesy

Ako už bolo spomenuté, priemerné náklady na vnútorné hrozby sú ohromujúcich 11,45 milióna dolárov. Toto číslo sa však môže drasticky zvýšiť, keď organizácii chýba účinný proces na včasné riešenie vnútorných hrozieb. Zatiaľ čo priemerný počet dní na riešenie incidentu je 77, podľa Ponemona 35 % spoločností trvalo viac ako 90 dní, čo zodpovedá priemerným nákladom 13,71 milióna dolárov.

Bez efektívneho procesu by váš tím mohol stráviť hodiny skúšaním, či si potenciálna hrozba vyžaduje následné opatrenia. To bol prípad spoločnosti Certified Collateral Corporation (CCC), ktorej bezpečnostnému tímu trvalo posúdenie potenciálnych hrozieb šesť až sedem hodín.

Zlepšite svoj priemerný čas odozvy

Keď sa vyskytnú vnútorné hrozby, je nevyhnutné urýchliť váš čas na reakciu. CCC z vyššie uvedeného príkladu znížilo čas strávený počiatočným vyšetrovaním zo šiestich na sedem hodín na 10 až 15 minút pomocou riešenia Proofpoint Insider Threat Management.

Najúčinnejšie programy ITM zahŕňajú prepojenie medzi oddeleniami, čo znamená, že nie každý bude mať skúsenosti s porozumením žargónu alebo analýze IT tímu. Používanie platformy, ktorá dokáže zvýrazniť relevantné dôkazy v ľahko zrozumiteľných správach, uľahčuje zdieľanie dôkazov na účely rozhodovania.

4. Nedostatok moderného prístupu k prevencii straty dát (DLP)

Existuje veľa spôsobov, ako môžu organizácie utrpieť incident straty údajov, v súčasnosti viac ako kedykoľvek predtým, najmä ak vezmete do úvahy rastúci počet diaľkových spoluprác, ktoré si vyžadujú, aby malo prístup k citlivejším informáciám o spoločnosti viac cudzincov.

Programy na prevenciu straty údajov, ktoré spoločnosti kedysi implementovali, aby zostali v súlade s normami, zvyčajne vytvárajú príliš veľa napätia pre digitálne fungujúcich zamestnancov. To v konečnom dôsledku vedie k tomu, že zamestnanci volia riešenia, ktoré môžu neúmyselne zväčšiť potenciál hrozby, čo je úplne v rozpore so zamýšľaným cieľom implementácie riešenia na prevenciu straty dát.

Aktualizujte svoj prístup k prevencii strate dát

Presvedčte svoj tím, aby sa vzdialil od tradičného prístupu. Koniec koncov, údaje sa sami nepohybujú; ľudia presúvajú dáta. Moderný prístup si vyžaduje implementáciu riešenia zameraného na ľudí, ktoré mení spôsob, akým organizácie zisťujú, predchádzajú a reagujú na incidenty vnútorných hrozieb na základe kombinácie rizikovosti používateľa a citlivosti údajov.

Získanie prehľadu o kontexte pohybu údajov v reálnom čase môže bezpečnostným tímom pomôcť efektívnejšie identifikovať rizikový pohyb údajov. Umožňuje efektívnejšiu prevenciu a riešenie na zastavenie incidentov straty údajov skôr, ako môžu organizácii spôsobiť značné finančné škody alebo škody na značke.

Kľúčový poznatok

Lepším pochopením toho, kde sú vaše zraniteľné miesta medzi vašimi zamestnancami a v rámci vašich interných firemných procesov, môžete podniknúť kroky na zabránenie straty údajov a riziku ohrozenia zo strany zamestnancov. Lepší prehľad o včasných indikátoroch, ktoré môžu spustiť takýto incident, vám umožní efektívnejšie riešiť slabé miesta a zmierniť riziká.