Verslas
Įmonės „nulaužiamos“ per žmones: kaip darbuotojus paversti svarbiausiu ginklu prieš kibernetines atakas?
Nors kibernetinių atakų skaičius Šiaurės Europoje nuo pernai išaugo beveik penkis kartus, jas atremti 2024 metų pradžioje buvo pasirengęs tik trečdalis įmonių, rodo „Telia“ paruošta „Buckle Up“ ataskaita. Ji nustatė, kad pagrindine verslų silpnąja grandimi išlieka darbuotojai, kurie dažnai neturi pakankamai žinių ir sąlygų pasipriešinti programišių puolimui. Išnagrinėjusi geriausias brandžių įmonių patirtis, „Telia“ pateikia penkis patarimus, kaip kibernetinį saugumą stiprinti keičiant organizacijos vidinę kultūrą.
Reklama
„Atakų daugėja ne dėl įmonių abejingumo ar nenoro saugotis, o dėl neteisingai sudėliotų prioritetų. Organizacijos dažnai nesuvokia, kad šiais laikais svarbiausias „antivirusas“ yra jų darbuotojai. Būtent jie po sukčiams į rankas gali įduoti svarbiausius slaptažodžius ar net visas banko sąskaitos lėšas, niekais paversdami brangias elektronines apsaugas. Dėl to būtina supaprastinti saugumo procesus, įmone paversti saugia erdve ir pasirūpinti, kad kibernetinį „saugos diržą“ prisisegtų visi dirbantieji, įskaitant vadovus“, – sako „Telia“ Lietuvoje vadovė Giedrė Kaminskaitė-Salters.
Paverskite įmonę saugia erdve
Tarptautinės skaitmeninio saugumo konsultavimo organizacijos „Splunk“ duomenimis, net 98 proc. visų kibernetinių atakų yra pagrįstos socialine inžinerija, todėl nuo pat pradžių reikėtų susitaikyti, jog dėl įvykusio išpuolio beveik neišvengiamai atsakinga bus kurio nors darbuotojo klaida. Vis dėlto baimės ir gėdos atmosfera žmonių ne tik nesudrausmins, bet dar labiau padidins įmonės pažeidžiamumą.
„Beveik visi kibernetiniu atsparumu pagarsėję verslai yra suformavę tokią kultūrą, kurioje darbuotojai nebijo dalintis patirtimi ir pranešti apie išpuolius. Pavyzdžiui, jei paskyros prisijungimai per neapsižiūrėjimą buvo patikėti sukčiams, atsakingiems asmenims geriau apie šią klaidą sužinoti kuo anksčiau. Taip bus galima laiku užblokuoti prieigą prie jautrių duomenų ir neleisti sukčiams pridaryti daug kainuojančios žalos. Kitaip tariant, atmosfera, kuri darbuotojams leidžia be neigiamų reakcijų kalbėti apie savo skaitmeninius „paklydimus“, įmonei suteikia tvirtesnį kibernetinį skydą“, – pastebi G. Kaminskaitė-Salters.
Saugumas – vadovybės prioritetas
Šiuolaikinėse organizacijose, kuriose verslo procesai vis labiau persipina su technologijomis, kibernetinis saugumas tampa vadovo, o ne IT specialistų atsakomybe. Organizacijos lyderio suvokimas, kad kibernetinis saugumas yra ne išlaidos, o ilgalaikė investicija, bendrovei sukuria palankiausias sąlygas kovoti su galimomis grėsmėmis.
Deja, dabartiniame etape tai vis dar yra retenybė. Remiantis „Telia“ tyrimu, net 71 proc. įmonių šiaurinėje Europoje neturi atsigavimo po atakų strategijų, kas rodo mažą vadovybės įsitraukimą sprendžiant šį klausimą ir valios priimti ryžtingus sprendimus stoką.
Pasak „Telia“ vadovės, vadovo dalyvavimas vystant saugumo strategijas svarbus ne vien dėl išteklių pasiskirstymo. Aktyviai kibernetinių grėsmių klausimus sprendžianti įmonės galva dažnai veikia tarsi jungiančioji dalis tarp skirtingų skyrių bei padeda užtikrinti, kad saugumo strategijos būtų integruotos visose veiklos srityse, pradedant IT ir baigiant žmogiškaisiais ištekliais ar rinkodara.
Supaprastinkite
Nereta įmonė susiduria su iššūkiu motyvuoti darbuotojus aktyviai dalyvauti kibernetinio saugumo procesuose. Dažnai tai kyla iš to, kad saugumo instrukcijos būna per daug sudėtingos arba pateikiamos, naudojant techninį žargoną. Kai taisyklės atrodo painios, žmonės natūraliai linkę jas ignoruoti arba nepakankamai rimtai vertinti jų svarbą.
Norint, kad darbuotojai suprastų ir taikytų saugaus elgesio elektroninėje erdvėje praktiką, reikia užtikrinti, kad įmonės saugumo politika būtų aiški ir paprasta. Todėl svarbiausius algoritmus rekomenduojama pateikti infografikais, trumpais vaizdo įrašais ar kita interaktyvia forma. Supaprastinant komunikaciją, sudaromos sąlygos kiekvienam darbuotojui suprasti esminius saugumo principus ir juos susieti su kasdiene veikla.
Padarykite saugumą įtraukų
Šiuolaikinėje verslo praktikoje vis dar labai įprasta kibernetinio saugumo mokymus vienu metu organizuoti visiems darbuotojams, tikintis, kad gautus bendrinius patarimus jie patys sugebės adaptuoti ir pritaikyti savo darbe. Dar blogiau, kai mokymai apskritai neorganizuojami, o kibernetinio saugumo užtikrinimo pareiga „nuleidžiama“ ant IT komandos pečių.
„Kadangi kiekvienas organizacijos skyrius susiduria su specifinėmis rizikomis, į saugumo strategijos kūrimą turi būti įtraukti visi įmonės departamentai. Pavyzdžiui, personalo skyrius gali padėti identifikuoti galimas socialinės inžinerijos grėsmes, o teisės skyrius – užtikrinti, kad įmonės duomenų apsaugos politika atitiktų teisės aktų reikalavimus. Kuo daugiau įvairovės ir kompetencijų įtraukiama į saugumo procesus, tuo platesnis ir efektyvesnis tampa kibernetinis atsparumas“, – atskleidžia G. Kaminskaitė-Salters.
Sudominkite
Kibernetinio saugumo buvimas viena svarbiausių šiuolaikinių organizacijų temų automatiškai nereiškia, kad kiekvienas darbuotojas degs noru domėtis. Dažnai kibernetinio saugumo temos atrodo sausos, sudėtingos ir per daug techninės, todėl darbuotojai gali jaustis atitolę nuo jų. Vienas būdų sudominti skeptikus – kurti šviečiamąjį turinį su pramoginiais elementais ar žaidimus, kuriuose darbuotojas turi „mąstyti kaip nusikaltėlis“.
Bendro intereso stiprinimui „Telia“ vadovė G. Kaminskaitė-Salters taip pat rekomenduoja įmonės viduje palaikyti „lengvą paranoją“. Reguliariai organizuojamas neplanuotos pratybos, naudojant netikrus „fišingo“ laiškus ar sukčių skambučius, gali paskatinti kolektyvą į kibernetinį saugumą žiūrėti rimtai bei pasitikrinti, kaip sekasi pritaikyti teoriniuose mokymuose įgytas žinias. Tokiu būdu darbuotojai gaus motyvą aktyviai domėtis, kaip ir ką reikėtų daryti, kad įmonė dėl jų kaltės nepapultų į piktavalių pinkles.
„Telia“ kibernetinio saugumo įžvalgų ir prognozių ataskaita: https://bit.ly/3TVyDsD
