Rozmowa z Ingo Schaeferem, który pełni funkcję Channel Director DACH & Eastern Europe w firmie Proofpoint.
Dlaczego edukacja na temat bezpieczeństwa jest tak ważna?
Cyberprzestępcy nieustannie znajdują nowe sposoby, by przeprowadzić atak na organizację. Niezależnie od tego, czy dotyczą one przechwytywania infromacji za pomocą poczty elektronicznej (Business Email Compromise – BEC), wyłudzania danych uwierzytelniających czy wykorzystania oprogramowanie ransomware, napastnicy coraz częściej dążą do tego samego celu – by zdobyć je od naszych pracowników. W rzeczywistości, ponad 99% udanych cyberataków wymaga interakcji międzyludzkiej.
Osoby zatrudnione w organizacjach nie tylko stanowią istotną powierzchnię ataku, ale są również postrzegani jako bardziej zawodni, niż zautomatyzowane narzędzia i technologie. Jest to pogląd podzielany przez większość CSO i CISO na całym świecie, przy czym 58% respondentów z raportu Voice of the CISO firmy Proofpoint uważa błąd ludzki za największą podatność ich organizacji na zagrożenia cybernetyczne.
Mając to na uwadze, ataki uderzające bezpośrednio w ludzi wymagają obrony również koncentrującej się na ludziach. Ich celem mogą być pracownicy wszystkich szczebli, piastujący różne stanowiska, dlatego organizacje muszą zadbać o to, aby cały personel był wyposażony w wiedzę i narzędzia umożliwiające skuteczną obronę przed wszelkimi rodzajami zagrożeń.
Można to osiągnąć jedynie poprzez szkolenia i programy uświadamiające dla całej firmy. Powinny mieć one charakter ciągły, kompleksowy i dostosowany do najnowszych zagrożeń. Ponieważ przestępcy wciąż doskonalą swoje ataki, my również musimy ulepszać naszą obronę. Poza podstawowymi zagadnieniami, takimi jak polityka haseł czy wykrywanie phishingu, szkolenia powinny jasno pokazywać związek pomiędzy prostymi zachowaniami użytkowników, a ich poważnymi konsekwencjami.
Szkolenia z zakresu cyberbezpieczeństwa przez długi czas były postrzegane jako konieczność zapewnienia zgodności z odgórnymi wymogami – jest to postawa, która naraża nasze organizacje na niebezpieczeństwo. Firmy muszą być świadome, że nie przygotowują swoich pracowników do zdania testu, ale umożliwiają im ochronę organizacji przed poważnymi szkodami. Dlatego program szkoleniowy musi to odzwierciedlać.
Jak zmieniał się krajobraz cyberzagrożeń w ciągu ostatnich 2 lat?
Krajobraz cyberzagrożeń zmieniał się w ciągu ostatnich 18 miesięcy z powodu globalnej pandemii koronawirusa, a przejście na pracę zdalną oraz obawy i niepewność ludzi jeszcze przyspieszyły te zmiany.
Home office przez 100 procent czasu pracy wymaga innej strategii bezpieczeństwa niż praca z domu raz lub dwa razy w tygodniu. W szczególności, gdy więcej osób łączy się z sieciami domowymi, które nie są tak silnie zabezpieczone, jak sieci biurowe. Ryzyko utraty danych znacznie wzrasta, gdy do pracy wykorzystywane są urządzenia osobiste oraz gdy są one udostępniane pozostałym członkom rodziny.
Praca zdalna skutkuje również zwiększonymi barierami komunikacyjnymi pomiędzy pracownikami, co może prowadzić do zwiększenia ilości wysyłanych wiadomości e-mail. Ten kanał komunikacji pozostaje wektorem zagrożeń numer jeden, ponieważ zapewnia bezpośrednią komunikację pomiędzy cyberprzestępcą, a wytypowanym przez niego odbiorcą. Ponadto, praca w domu oznacza, że poszczególne osoby nie mogą w łatwy sposób zwrócić się do innych współpracowników z prośbą o sprawdzenie podejrzanego e-maila, więc ich naturalnym odruchem jest kliknięcie w link lub otwarcie załącznika. Dodatkowo stres, niepokój i niepewność związane z pandemią zwiększają prawdopodobieństwo, że użytkownicy będą bardziej podatni na złośliwe wiadomości e-mail stworzone na użytek społeczny.
Podmioty odpowiedzialne za ataki cybernetyczne na całym świecie konsekwentnie dostosowują swoje kampanie phishingowe i BEC do aktualnej sytuacji, obecnie wiążąc je z pandemią. W 2020 r. skumulowana ilość wiadomości e-mail, w których „przynętą” były informacje dotyczące wirusa COVID-19 była ogromna i nadal obserwujemy ten trend, w ostatnim czasie związany z wariantem Delta.
Dlatego tak ważne jest, aby zespoły ds. bezpieczeństwa IT umieszczały ludzi w centrum swojej strategii bezpieczeństwa, w szczególności, że praca zdalna i hybrydowa będzie kontynuowana w 2021 roku i kolejnych latach.
Jakie są największe zagrożenie dla małych i średnich przedsiębiorstw w tym zakresie? Jak się przed tym zabezpieczać?
Chociaż wśród mniejszych firm często pokutuje myślenie, że są „małymi rybkami” i przez to nie są na tyle wartościowe, by stały się ofiarą ataku, to tak jak inne organizacje nie są odporne na zagrożenia cybernetyczne.
W dokumencie Proofpoint 2018 Global Email Fraud Report badacze nie dostrzegli „prawie żadnego związku między wielkością firmy a tym, jak często jest ona celem oszustw e-mailowych”, co oznacza, że małe i średnie przedsiębiorstwa są równie często narażone na ataki typu business email compromise (BEC), jak większe organizacje. Wspólną cechą udanych ataków phishingowych z wykorzystaniem BEC i ransomware jest użytkownik końcowy. Pytanie brzmi nie tyle, ile będzie kosztowało firmę SMB przeprowadzenie szkolenia z zakresu świadomości bezpieczeństwa dla użytkowników końcowych, ale ile kosztuje ją ignorowanie tego aspektu bezpieczeństwa.
Małe i średnie przedsiębiorstwa często mają mniejszą swobodę działania niż większe, bardziej rozbudowane organizacje, jeśli chodzi o czas przestoju pracowników i sieci, fundusze na naprawę i odzyskanie danych oraz koszty związane z wykonaniem błędnego przelewu. Mniejsze jest również prawdopodobieństwo, że mają one dostęp do bardziej zaawansowanych narzędzi technicznych, które mogą pomóc w powstrzymaniu ataków przed dotarciem do ich pracowników. Oznacza to, że błędy użytkowników końcowych mogą być bardziej kosztowne i realnie wpłynąć na stabilność przedsiębiorstwa.
Cyberprzestępcy mogą czasami postrzegać MŚP jako „słabsze ogniwa” niż większe organizacje, jeśli chodzi o cyberbezpieczeństwo. Technologiczne zabezpieczenia, takie jak programy antywirusowe i zapory sieciowe, są kluczowym filarem każdej strategii cyberbezpieczeństwa i niezwykle ważne jest zagwarantowanie, że są one aktualizowane, ponieważ cyberprzestępcy rozwijają i przyjmują nowe formy złośliwego oprogramowania. Jednakże, te zabezpieczenia stanowią tylko jeden z elementów, gwarantujących bezpieczeństwo MŚP.
Jeśli jednak rozmawiamy o ochronie przed czynnikiem ludzkim, zbyt mało MŚP przykłada wystarczającą wagę do szkolenia pracowników w celu zwiększenia odporności na taktyki inżynierii społecznej – bez większego poziomu świadomości, w każdej organizacji ktoś zawsze kliknie w podejrzany link. Programy szkoleniowe i uświadamiające powinny być zaprojektowane tak, by oferowały coś więcej niż tylko kurs online, który każdy pracowników musi ukończyć. Muszę one sprawić, by pracownicy w naturalny sposób stali się mniej podatni na ataki.
Co więcej szkolenia gwarantują, że złośliwe e-maile zostaną zidentyfikowane na wczesnym etapie, zanim spowodują znaczące szkody. Opracowanie strategii bezpieczeństwa, która w pierwszej kolejności chroni ludzi, a nie technologię, z której korzystają, jest kluczowym krokiem dla MŚP w proaktywnym zapobieganiu incydentom związanym z bezpieczeństwem cybernetycznym.
Jakie trendy w zakresie cyberbezpieczeństwa będą dominować w najbliższym czasie?
Cyberprzestępcy będą nadal dostosowywać się do trendów i co ważniejsze, nadal będą celować w ludzi.
Najnowszy raport Proofpoint Voice of the CISO ujawnił, że CISO na całym świecie są w stanie podwyższonej gotowości w obliczu wielu zagrożeń i nieustannych ataków. 64% ankietowanych CISO czuje się zagrożonych niebezpiecznym dla ich organizacji cyberatakiem w ciągu najbliższych 12 miesięcy.
Na czele listy znajdują się oczywiście ataki ukierunkowane na ludzi. Wyciek danych za pośrednictwem firmowej poczty elektronicznej został zgłoszony przez 34% organizacji, na kolejnych pozycjach znalazło się przechwycenie danych z kont w chmurze (konta O365 lub G suite, 33%) oraz zagrożenia wewnętrzne (31%).
Te statystyki łączą się z licznymi konsekwencjami dla firm – od utraconych przychodów i utraty reputacji, po przestoje, koszty prawne, odszkodowania czy konieczność wdrożenia działań naprawczych.
Tylko poprzez zrozumienie rodzaju, częstotliwości i konsekwencji powszechnych ataków możemy wyposażyć osoby najbardziej podatne, znajdujące się na „pierwszej linii frontu” w wiedzę niezbędną do skutecznej ochrony przed nimi.
Co jest dla Ciebie największym zaskoczeniem w zmieniającym się świecie cyberbezpieczeństwa?
Pomimo wzrostu liczby ataków socjotechnicznych, wciąż zaskakuje mnie to, jak wiele organizacji na całym świecie nie traktuje szkoleń, zwiększających świadomość na temat bezpieczeństwa cybernetycznego, priorytetowo.
Są one często postrzegane jako coroczne zadanie do wykonania przez pracowników. Wszystko przez to, że często nie otrzymują oni wartościowych informacji. W efekcie pracownicy nie traktują ich poważnie i nie wpływają one na ich zachowania. Droga do zmiany tego stanu rzeczy zaczyna się od zapewnienia angażujących, istotnych i łatwo przyswajalnych treści.
Użytkownicy nie są ekspertami w dziedzinie bezpieczeństwa i zazwyczaj mają niewielki interes w tym, aby nimi zostać, dlatego organizacje powinny rozważyć przedstawienie zasad cyberbezpieczeństwa jako historii lub podróży, podając przykłady z życia wzięte, aby poszerzać ich wiedzę i zwiększać świadomość na temat potencjalnych konsekwencji.
W idealnej sytuacji szkolenia z zakresu bezpieczeństwa powinny być dostosowane do rzeczywistych zagrożeń występujących w organizacji i w ten sposób ostrzegać pracowników o realnych sytuacjach, z którymi mogą się zetknąć, uczyć ich, w jaki sposób mogą zostać zmanipulowani, oraz przedstawiać potencjalne konsekwencje ataków.
Warto też zaprosić na takie szkolenie zewnętrznego eksperta ds. bezpieczeństwa, aby poprowadził ćwiczenia lub zaprezentował nowe spojrzenie na prezentowane już podczas wcześniejszych spotkań wiadomości.
