Ασφάλεια διαδικτύου, Διαδίκτυο

Ο Ανθρώπινος Παράγοντας στην Ασφάλεια στον Κυβερνοχώρο την εποχή του COVID-19

Aπό τον Παντελή Ταμπακόπουλο,

Στην προσπάθεια να οχυρωθεί μία επιχείρηση στον κυβερνοχώρο, πρέπει οι υπεύθυνοι της επιχείρησης να στρέψουν ένα μεγάλο μέρος της προσοχής τους, στα ανθρώπινα λάθη. Σε τελική ανάλυση, η συντριπτική πλειονότητα των κυβερνοεγκληματιών  βασίζονται στην εκμετάλλευση των εργαζομένων για να ξεπεράσουν τις εταιρικές άμυνες, προβλέποντας ότι αυτοί οι εργαζόμενοι δεν θα «δουν» μια απειλή που κρύβεται μέσα σε έναν φαινομενικά ακίνδυνο σύνδεσμο ιστού, email ή μήνυμα στην οθόνη.

Οι υπεύθυνοι των επιχειρήσεων το γνωρίζουν, γι’ αυτό και ανησυχούν όλο και περισσότερο. Σύμφωνα με έρευνες, σε επιχειρήσεις που υπέστησαν παραβίαση, σχεδόν το ήμισυ των διευθυντικών στελεχών, ανέφεραν την αιτία ανθρώπινου λάθους ή τυχαίας απώλειας από την μεριά των υπαλλήλων ή ανθρώπων που εμπιστεύονταν.

Αντιμετωπίζοντας αυτό, ορισμένες επιχειρήσεις επιδιώκουν να αναβαθμίσουν τους χρήστες, με την ελπίδα ότι θα αναπτύξουν «υψηλή επιμέλεια στον κυβερνοχώρο». Αλλά τέτοιες πρωτοβουλίες, πολλές φορές αποδεικνύονται μάταιες. Μπορούμε σίγουρα να εκπαιδεύσουμε τους χρήστες μας σε βασικές πρακτικές ασφάλειας «κοινής λογικής». Η εκπαίδευση πρέπει να είναι στοχευμένη στο κοινό που την παρακολουθεί, να γίνεται, όσο αυτό είναι δυνατόν, σε απλή και κατανοητή γλώσσα, να μην αποτελείται από γενικούς όρους και θεωρίες και στις αναλύσεις των επιθέσεων από κυβερνοεγκληματίες  να μην χρησιμοποιούνται τεχνικοί όροι. Θέλουμε να εκπαιδεύσουμε και όχι να δημιουργήσουμε εντυπώσεις! Το πρόγραμμα εκπαίδευσης να περιέχει διαφορετικές θεματικές ενότητες, σε περισσότερες από μία εκπαιδεύσεις. Η κατανόηση της αξίας των πληροφοριών που διαχειρίζονται οι χρήστες, αποτελεί πρωταρχικό στόχο και δευτερευόντως οι πολιτικές και οι διαδικασίες. Οτιδήποτε πέρα από αυτό είναι πιθανό να υπολείπεται του στόχου που έχει τεθεί για την εκπαίδευση.

Η πρόβλεψη ότι έως τα μέσα του 2021, το 60% των ψηφιακών επιχειρήσεων θα δεχτούν μεγάλες επιθέσεις, οι οποίες θα θέσουν σε κίνδυνο τις υπηρεσίες τους λόγω της αδυναμίας των ομάδων ασφαλείας πληροφορικής τους να ανταποκριθούν αποτελεσματικά στον ψηφιακό κίνδυνο, φέρνει ένα μάλλον προφανές αλλά ανησυχητικό ερώτημα: Εάν, αυτές καθ’ αυτές, οι ομάδες ασφαλείας πληροφορικής, δεν καταφέρνουν εύκολα να ξεπεράσουν την αυξανόμενη πολυπλοκότητα των απειλών στον κυβερνοχώρο, τι μπορούν οι εταιρείες να περιμένουν από τους υπόλοιπους εργαζόμενους τους;

Και τότε θα σηκώσουμε τα χέρια μπροστά στην ζοφερή πραγματικότητα ότι μια μεγάλη κυβερνοεπίθεση είναι «όταν» και όχι «εάν» συμβεί, ή θα διερευνήσουμε καλυτέρους  τρόπους για να βελτιώσουμε την προστασία μας;

Το δεύτερο είναι προτιμότερο, επειδή υπάρχουν διαθέσιμες και αποδεδειγμένες τεχνικές, πρακτικές και εργαλεία που υπερασπίζονται τα λειτουργικά περιβάλλοντα ενώ ταυτόχρονα μειώνουν σημαντικά (εάν δεν εξαλείφουν εντελώς) τους κινδύνους ανθρώπινου σφάλματος, όπως, για παράδειγμα, η περιήγηση των χρηστών στο διαδίκτυο, μέσα από ένα ασφαλή και απομονωμένο περιβάλλον, στο οποίο μπορούν να περιηγηθούν σε δυνητικά επικίνδυνους ιστότοπους. Εάν το κακόβουλο λογισμικό θέσει σε κίνδυνο το περιβάλλον, η ζημιά ελαχιστοποιείται επειδή η απομόνωση διασφαλίζει ότι το κακόβουλο λογισμικό δεν θα έχει πρόσβαση σε ευαίσθητα συστήματα ή δεδομένα και ότι το πραγματικό σύστημα του χρήστη παραμένει ασφαλές.

Ας δούμε όμως πόσο επηρεάζεται η ασφάλεια ενός συστήματος και συνεπώς της ίδιας της επιχείρησης από τους εργαζόμενους ή αλλιώς τον «ανθρώπινο παράγοντα» την εποχή της απομακρυσμένης εργασίας (τηλεργασία).

Η στροφή προς την τηλεργασία, λόγω του COVID-19, έθεσε νέες προκλήσεις ασφάλειας για τις επιχειρήσεις και οι παραδοσιακές λύσεις ασφάλειας δεν καταφέρνουν να περιορίσουν το πρόβλημα της εσωτερικής απειλής και της τυχαίας απώλειας δεδομένων.

Έρευνες αποκάλυψαν ότι το 48% των εργαζομένων είναι λιγότερο πιθανό να ακολουθήσουν τους κανόνες ασφάλειας όταν εργάζονται από το σπίτι, ενώ το 91% των επικεφαλής τμημάτων πληροφορικής εμπιστεύονται το προσωπικό τους ότι ακολουθεί  τους κανόνες και τις πρακτικές ασφάλειας όταν εργάζεται από απόσταση.

 

Επιπλέον, το 51% των εργαζομένων ανέφεραν ότι οι πολιτικές ασφαλείας αποτελούν εμπόδιο για την παραγωγικότητα και το 54% ότι θα βρει λύσεις εάν οι πολιτικές ασφαλείας τους εμποδίζουν να κάνουν τη δουλειά τους, όπως αυτοί ξέρουν.

Το 84% των επικεφαλής ασφάλειας πληροφορικής λένε επίσης ότι η πρόληψη απώλειας δεδομένων είναι πιο δύσκολη όταν οι εργαζόμενοι εργάζονται από το σπίτι και το 58% των υπαλλήλων πιστεύουν ότι οι πληροφορίες είναι λιγότερο ασφαλείς όταν εργάζονται από απόσταση.

Το 30% των παραβιάσεων αφορά εσωτερικούς παράγοντες, ως αποτέλεσμα αμέλειας ή κακόβουλης πράξης. Οι εσωτερικές απειλές και η απώλεια δεδομένων μέσω email είναι ιδιαίτερα δύσκολη ως προς την πρόληψη και αντιμετώπιση, λόγω έλλειψης ορατότητας της ίδιας της απειλής.

Οι επικεφαλής ασφάλειας πληροφορικής βασίζονται στην εκπαίδευση σχετικά με την ασφάλεια, στις υπάρχουσες πολιτικές και στα συστήματα ασφαλείας για την πρόληψη της απώλειας δεδομένων, ωστόσο αυτές οι πρακτικές μπορεί να μην είναι τόσο αποτελεσματικές όσο νομίζουν. Παράδειγμα έρευνας έδειξε ότι οι εργαζόμενοι που λαμβάνουν εκπαίδευση ασφαλείας κάθε ένα έως τρεις μήνες έχουν σχεδόν διπλάσιες πιθανότητες να στείλουν τα δεδομένα της εταιρείας σε προσωπικούς λογαριασμούς, σε σχέση με αυτούς που λαμβάνουν εκπαίδευση μία φορά το χρόνο (80% έναντι 49%).

Το ανθρώπινο λάθος είναι η μεγαλύτερη απειλή για την ασφάλεια των δεδομένων των επιχειρήσεων και οι ομάδες ασφάλειας πληροφορικής στερούνται της πραγματικής προβολής της απειλής. Οι ηγέτες των επιχειρήσεων πρέπει να αντιμετωπίσουν την κουλτούρα ασφάλειας των υπαλλήλων τους και να υιοθετήσουν προηγμένες λύσεις για να αποτρέψουν τους εργαζόμενους να κάνουν λάθη που θα κοστίσουν ακριβά στην επιχείρηση και θα έχουν ως αποτέλεσμα παραβιάσεις και απώλεια δεδομένων.

Ωστόσο, είναι σημαντικό αυτές οι λύσεις να μην εμποδίζουν την παραγωγικότητα των εργαζομένων. Επομένως η πρόληψη της απώλειας δεδομένων πρέπει να είναι ευέλικτη εάν πρόκειται να είναι αποτελεσματική.

Να λοιπόν οι λόγοι για τους οποίους δεν ακολουθούνται οι ίδιες πρακτικές ασφάλειας δεδομένων στο σπίτι με την επιχείρηση.

 

Διαφορές ανά ηλικία και μέγεθος εταιρείας

 

Το 50% των εργαζομένων σε μικρές επιχειρήσεις (2-49 εργαζόμενοι) συμφωνούν ότι είναι λιγότερο πιθανό να ακολουθήσουν πρακτικές ασφάλειας δεδομένων όταν εργάζονται από το σπίτι, σε σύγκριση με μόνο το 30% από επιχειρήσεις με 1.000 υπαλλήλους ή περισσότερους.

Οι εργαζόμενοι ηλικίας 18-30 ετών έχουν 3 φορές περισσότερες πιθανότητες να στείλουν μηνύματα ηλεκτρονικού ταχυδρομείου σε λάθος άτομο έναντι των εργαζομένων ηλικίας 51 ετών και άνω.

Το 46% των εργαζομένων ηλικίας 31-50 ετών και το 41% των εργαζομένων ηλικίας 18-30 ετών  παίρνουν μαζί τους έγγραφα της επιχείρησης στο σπίτι, σε σύγκριση με μόνο το 13% των εργαζομένων ηλικίας 51 ετών και άνω.

Το ανθρώπινο λάθος (εκούσιο ή ακούσιο) αποτελεί τη μεγαλύτερη πηγή ανησυχίας για σημαντικό αριθμό επιχειρήσεων στην Ευρώπη. Οι επιχειρήσεις θα κληθούν να υποστούν μεγάλες οικονομικές κυρώσεις αλλά και απώλεια της φήμης και της αξιοπιστίας τους, σε περίπτωση που αγνοώντας τις απειλές που θέτουν οι κυβερνοεγκληματίες, απωλέσουν δεδομένα των επιχειρήσεων και των πελατών τους. Για να μην γίνει αυτό, πρέπει να επενδύσουν σε ισχυρές τεχνολογίες και εργαλεία προκειμένου να αναλάβουν δράση έναντι όλων αυτών των παραβιάσεων και των απειλών ενώ παράλληλα να εστιάσουν στην εκπαίδευση σε θέματα ασφάλειας και να επενδύσουν στην δημιουργία αντίστοιχης εταιρικής κουλτούρας για τους εργαζόμενους, με έμφαση στο ότι, η προστασία των δεδομένων της επιχείρησης είναι ευθύνη όλων των εργαζομένων.