Jaké běžné chování zaměstnanců usnadňuje hackerům a kybernetickým zločincům napadnout IT sítě firem a způsobit značné škody? Tuto otázku zkoumala ve své studii společnost Cyberark Software GmbH. Za tímto účelem bylo v Německu dotazováno 2 000 zaměstnanců. Kromě toho byla analyzována historie prohlížečů a internetu zaměstnanců.
Mohlo by vás zajímat: Před mikrofonem Ondřej Kovařík: Příliš regulace brzdí technologický pokrok
Většina zaměstnanců má přístup k důvěrným informacím
Jedno z klíčových zjištění: většina dotazovaných zaměstnanců, přesněji 86 %, přistupuje k pracovním aplikacím společnosti s kritickými podnikovými daty z osobních, často nedostatečně zabezpečených zařízení. Privilegovaný přístup k IT aplikacím už nemají dávno jen správci IT systémů. Například 38 % dotázaných uvedlo, že pravidelně stahuje data zákazníků, někdy i do soukromých zařízení. Třetina respondentů ve studii má možnost změnit kritické nebo citlivé údaje. Více než 30 % může také autorizovat velké finanční transakce.
Riziko nespočívá pouze v tom, že hackeři napadnou a ochromí IT aplikace, což by mohlo způsobit dlouhé přerušení provozu. Krádež citlivých údajů o zákaznících může také vyvolat vyšetřování ze strany dozorových orgánů a rovněž znamená reputační problém: dobrá pověst je narušena. A to zpravidla stojí značné prostředky na znovuzískání důvěry zákazníků.
Používání nezabezpečených hesel je velmi rozšířené
Průzkum odhalil další zvyky, které ohrožují bezpečnost, včetně klasicky se opakujícího prohřešku: nezabezpečených, snadno prolomitelných hesel. Více než dvě pětiny respondentů (41 %) používají stejné přihlašovací údaje pro různé aplikace související s prací. Zločinci tak mohou snáze získat přístup do několika systémů najednou. 32 % účastníků průzkumu dokonce používá shodné přístupové údaje pro pracovní i soukromé účty. Kromě toho 71 % dotázaných již předalo důvěrné informace související s prací externím osobám mimo firmu. „Tyto praktiky významně zvyšují riziko úniku informací a narušení bezpečnosti,“ varují autoři studie.
Mohlo by vás zajímat: ČAP Insurance Talk: U mikrofonu David Pospíšil
Bezpečnostní pokyny jsou obcházeny z pohodlnosti
Podle studie přispívá pohodlnost zaměstnanců k tomu, že se IT systémy stávají zranitelnějšími vůči kybernetickým útokům. Například 77 % oslovených obchází důležité firemní bezpečnostní směrnice, aby si usnadnili práci. Kromě používání jednoduchých a snadno zapamatovatelných hesel je rozšířené také používání soukromých zařízení jako hotspotů Wi-Fi. To je riskantní, protože soukromá zařízení málokdy splňují stejně vysoké bezpečnostní standardy jako profesionální systémy. Podezřelé chování je proto obtížnější odhalit a sledovat.
Nezabezpečené hotspoty Wi-Fi také zvyšují riziko, že třetí strany získají přístup do pracovních sítí, zejména pokud je připojení nedostatečně zabezpečené. Soukromá zařízení často postrádají pravidelné bezpečnostní aktualizace. Zastaralý software nabízí útočníkům již známé zranitelné přístupy do profesionálních systémů. S ohledem na to je také znepokojující, že mnoho zaměstnanců přeposílá pracovní e-maily na soukromé adresy, aby je tam později mohli snadněji zpracovávat.
Práce s umělou inteligencí vede k novým bezpečnostním rizikům
Implementace nástrojů umělé inteligence (AI) je ve firmách již velmi rozšířená: podle aktuálního průzkumu je využívá již 80 % zaměstnanců. To může vytvářet nová bezpečnostní rizika, která byla dosud jen zřídka zkoumána, varuje firma Cyberark. Například neúmyslným předáním vysoce citlivých údajů o zákaznících externím poskytovatelům služeb. Téměř polovina (44 %) zaměstnanců při používání nástrojů umělé inteligence „pouze někdy“ dodržuje nebo „nikdy“ nedodržuje pokyny a směrnice pro nakládání s citlivými údaji.
Další rizika vyplývají z nedostatečné transparentnosti a kontrolovatelnosti některých aplikací AI. Algoritmy AI totiž mohou být manipulovány hackery. Útočníci mohou například pomocí „nepřátelsky“ nebo „marketingově“ nastavené AI“ přimět nástroj k falšování rozhodnutí a procesů tím, že napadnou systém záměrně nesprávnými údaji. Kromě toho by umělá inteligence mohla automaticky generovat phishingové e-maily, které by vypadaly velmi přesvědčivě a lákaly by zaměstnance k vyzrazení citlivých údajů.
Mohlo by vás zajímat: Studie PwC: Tři čtvrtiny českých firem zvýší výdaje na IT bezpečnost
Téměř každý zaměstnanec má ve společnosti privilegovaná přístupová práva
Michael Kleis, viceprezident společnosti Cyberark pro region německy mluvících zemí, upozorňuje, že privilegovaná přístupová práva může mít nyní téměř každý zaměstnanec. „Výsledky výzkumu ukazují, že rizikový přístup je možný téměř vždy a že existuje mnoho způsobů chování, které mohou vést k vážným bezpečnostním incidentům v podnicích,“ varuje Kleis. Podle tohoto bezpečnostního experta je proto „naléhavě nutné nově definovat zabezpečení identit a chránit každého uživatele správnou úrovní kontroly oprávnění“.
Nedbalé chování může ohrozit platnost krytí z kybernetického pojištění
V souladu s tím je důležité upozorňovat zaměstnance na uvědomění si nebezpečí jejich vlastního chování a kontrolovat dodržování bezpečnostních standardů IT. V případě pochybností může neopatrné zacházení s kybernetickou bezpečností ohrozit i ochranu poskytovanou kybernetickým pojištěním. Pojistitelé totiž ve smlouvách stále častěji definují přísné povinnosti klientů, aby zabránili nákladným škodám.
Pokud se prokáže, že společnost při uzavírání pojištění úmyslně uvedla nepravdivé údaje, tj. například že její zaměstnanci byli řádně proškoleni, ačkoli to není pravda, může pojistitel v případě vzniku škody od smlouvy odstoupit. Takové případy se už v německé praxi staly. Například Zemský soud v Kielu v rozsudku ze dne 23. května 2024, který zatím není pravomocný, rozhodl, že společnost nemá nárok na odškodnění po kybernetickém útoku, protože zatajila skutečnost, že pracuje se zastaralými IT systémy.
Komentáře
Přidat komentář