Článek
Série testů společnosti ze skupiny Moore Czech Republic povrdila známou skutečnost, že mezi největší slabiny kybernetické bezpečnosti firem patří sami zaměstnanci. Více než polovina z nich (60 %) do svého počítače bez přemýšlení zapojila neznámý flash disk ponechaný na stole. Falešné IT specialisty, vyslané do firmy pod smyšlenou záminkou, dokonce ke svým souborům pustil každý. Zhruba 70 procent testovaných subjektů se zase nechalo zmást phishingem, tedy podvodnými zprávami požadujícími vyplnění citlivých údajů.
Společnost Servodata prováděla v loňském a letošním roce testy kybernetické bezpečnosti mezi svými klienty. Jejich účelem bylo zjistit, jak pracovníci dodržují běžná uživatelská opatření IT bezpečnosti. Experti společnosti proto provedli sérii phishingových útoků s cílem fiktivně vylákat ze zaměstnanců citlivé údaje nebo infiltrovat software do systému klienta. A dosáhli 70% úspěšnosti.
„Vyzkoušeli jsme i baiting, v podstatě kladení návnad. Těmi byly flash disky rozmístěné po stolech v kancelářích. V šedesáti procentech případů je pracovníci zapojili do svých počítačů, přestože nevěděli, odkud jsou nebo co na nich je. Mohly přitom obsahovat potenciálně škodlivý software,“ uvádí Miroslav Kvapil, generální ředitel společnosti Servodata.
Falešní ajťáci slavili úspěch
Nejlepších výsledků ale dosahovali falešní IT specialisté, kteří se pokoušeli projít přes recepci a od zaměstnanců následně získat přístup do jejich pracovních počítačů. Stačilo, aby pracovníkům řekli, že je posílá jejich nadřízený. „V těchto případech jsme dosahovali stoprocentní úspěšnosti. Naším cílem bylo ukázat firmám, že hrozba může přijít odkudkoliv, a to i od jejich vlastních zaměstnanců. Hackeři jsou stále vynalézavější, konvenční opatření už dávno nestačí. Ukazuje se také, že lidem je nezbytné stále vštěpovat základní pravidla zacházení s firemním hardwarem i softwarem,“ vysvětluje Miroslav Kvapil.
Úniky citlivých informací, například obchodních tajemství, přitom mohou mít na chod organizace významný negativní dopad. Společnost Servodata se proto zaměřuje na nejnovější technologie kybernetické bezpečnosti, ale i komplexní IT podporu od vývoje, přes analýzy až po testování.
Případů kyberkriminality přibývá
Téma kybernetických hrozeb se v posledních letech dotýká státu, jednotlivců, ale i firem a jejich zaměstnanců. Z dat Policie ČR vyplývá, že množství trestných činů v oblasti výpočetních technologií meziročně narůstá. V roce 2019 do této kategorie spadalo téměř 8,5 tisíce skutků. Na rozdíl od útočníků se ale firmy ani jednotlivci nepřizpůsobují novým metodám a technologiím.
„Kybernetická bezpečnost významně závisí i na přístupu koncových uživatelů. Pro organizace, ať už soukromé nebo státní, by proto mělo být klíčové vhodné nastavení IT bezpečnosti proti externím i interním hrozbám, identifikace potenciálních rizik a jejich management. Samozřejmostí je také důsledné vzdělávání zaměstnanců,“ dodává Petr Kymlička, partner poradenské společnosti Moore Czech Republic.
Nebezpečný home office
Podobnému průzkumu se věnovala také společnost Safetica, která se zaměřila na bezpečnost práce z domova. Ze zjištěných dat vyplynulo, že například 75 procent oslovených firem nechává své zaměstnance pracovat na osobních počítačích a tím otevírají dveře pro případný útok. „Některé společnosti nejsou na tento krok zdaleka vybaveny a připraveny. Ohrožují tím zejména interní data,“ upozornil Petr Žikeš, ředitel firmy Safetica, která se na bezpečnost firemních dat specializuje.
„Práci z domova na vlastních soukromých počítačích vidím jako velké riziko. Lidé tam totiž nemají dobře nastavenou bezpečnost, jako je tomu na těch korporátních,“ vysvětluje expert na kybernetickou bezpečnost Karol Suchánek.