Companiile moderne aloca bugete semnificative pentru crearea unei infrastructuri IT securizate si au toate motivele sa faca acest lucru, dat fiind contextul in care ne aflam. Insa orice specialist IT stie ca veriga cea mai slaba din lantul securitatii unui sistem este utilizatorul final. Factorul uman este adesea cel mai exploatat mijloc prin care au loc bresele de securitate.
Se estimeza ca peste 90% din atacurile cibernetice au rezultat in urma unei erori umane sau in urma unei conduite necorespunzatoare a utilizatorului.
Orice investitie in produse si solutii de securitate trebuie sa fie facuta la paritate cu un program de training de tipul End User Security Awareness. Peisajul amenintarilor cibernetice se schimba de la o zi la alta, si organizatia trebuie sa depuna constant eforturi pentru a motiva utilizatorii sa mentina o stare de vigilenta pentru a identifica cele mai comune riscuri si pentru a pune in practica principiile de securitate.
Desi oamenii sunt adesea elementul cel mai usor de compromis, multi dintre ei participa fara sa stie si fara voia lor la executia unui atac sau a unei brese de securitate asupra retelei. Cele mai riscuri la care este supus factorul uman sunt:
– spearphishing – utilizatorul este target-at in mod specific de catre atacatori prin mesaje sau emailuri customizate astfel incat sa sporeasca sansele ca user-ul sa ofere informatii sau sa dea click pe un link malitios. Practicarea vigilentei si contactarea departamentului IT la primirea unui email suspicios sunt principalele arme de contracarare ale acestui tip de atac.
– securitatea fizica a biroului – intotdeauna va exista o persoana care sa isi noteze parola de acces la o anumita aplicatie pe un post-it si sa il lipeasca pe monitor sau sub tastatura 😊 sau va fi o persoana care nu isi blocheaza telefonul cu un PIN sau pattern de securitate facand orice program de training inutil. Securitatea fizica a biroului si a tehnologiei oferite de companie (telefon, laptop) trebuie sa vina natural utilizatorului si sa devina un obicei practicat zi de zi.
– managementul parolelor – compromiterea unei parole reprezinta intotdeauna un risc foarte mare pentru o organizatie. Foarte multe aplicatii si sisteme se bazeaza pe autentificarea utilizatorului prin parola. Foarte multe organizatii nu folosesc un sistem de management al parolelor si se bazeaza ca utilizatorii sa se ocupe de acest lucru. Fisiere notepad stocate local sau in cloud, aplicatii de luat notite (Google Keep, Evernote, Notes) sunt folosite de utilizatori pentru a-si stoca parolele de identificare. Ne putem doar imagina ce s-ar putea intampla daca aceste fisiere si aplicatii sunt compromise de catre atacatori. Datele de autentificare ale utilizatorilor sunt printre cele mai ravnite informatii pe care actorii malitiosi urmaresc sa le obtina in urma unor campanii de phishing sau social engineering.
Un End User Security Awareness trebuie sa reprezinta un proces continuu de instruire, si nu trebuie facut doar in partea de onboarding a angajatului, cum se intampla de cele mai multe ori. Seminarii live (acum desfasurate online), tutoriale video, infografice raspandite prin birouri si newsletter-e transmise periodic cu sfaturi simple si usor de aplicat, precum “blocheaza-ti calculatorul cand pleci de la birou” pot ajuta organizatiile sa creeze si sa formeze acea educatie si cultura a “securitatii”.
Construirea unui program de awareness eficient nu trebuie sa se bazeze doar pe materiale de training de calitate, ci mai este nevoie si de:
– sprijinul managementului: managementul de nivel C al unei organizatii trebuie sa participe activ in programul de securitate al companiei si sa incurajeze angajatii sa ia parte la acesta initiative. De asemenea, managementul trebuie sa sprijine departamentul IT in efortul acestuia de a implementa masurile de securitate necesare pentru a proteja asset-urile companiei: echipamente, date, oameni.
– incurajarea angajatului: chiar daca omul este veriga cea mai slaba din lantul unui atac, tot el este si in prima linie de aparare a companiei. De aceea, el trebuie sa fie incurajat sa urmeze bunele practici din securitatea cibernetica. Acest comportament pozitiv trebuie recompensat si laudat pentru a intari si mai mult angajamentul organizatiei fata de securitate
– instruirea managerilor de echipa: acestia nu au de obicei timp sa participe la sesiuni lungi de training. Totusi, ei sunt tinta multor atacuri, intrucat calatoresc foarte mult, se conecteaza la retea din locuri nesigure si au acces la date mai sensibile decat un angajat tipic. Cel mai eficient pentru ei este un training specializat si customizat, facut in sesiuni scurte pentru a-i tine la zi cu tehnicile curente de atac, cu cele mai noi practici de securitate si cu metodologiile de raspuns in fata atacurilor. Poate fi sugerat si training online, care poate fi urmarit la un moment de timp convenabil. Astfel, managerii de echipa pot fi un model de urmat de catre ceilalti si pot oferi ghidare si pasi de urmat in cazul unei brese de securitate.
Mihai Dumitrascu, Sr Systems Engineer