Napadení virem v důsledku phishingu přiznává 58 % zaměstnanců. Často selhává lidský faktor

Phishingové útoky jsou v posledních letech stále sofistikovanější a podvodníci používají nejrůznější taktiky, aby nalákali oběti do svých pastí. Mezi nejběžnější cesty patří e-maily nebo zprávy na sociálních sítích. Dalšími variantami tohoto typu útoku mohou být podvodné SMS (smishing) nebo hovory (vishing).

V ohrožení jak osobní data, tak firemní

Podle velkého výzkumu vypracovaného pro společnost Seyfor se mezi dotazovanými zaměstnanci různých firem, kteří aktivně využívají v práci informační technologie,^[1] v loňském roce každý druhý setkal v práci s nějakou bezpečnostní hrozbou. 58 % dotazovaných uvedlo, že se jednalo o napadení škodlivým softwarem (malware) v důsledku phishingu. Ve čtvrtině případů šlo o cílený hackerský útok, v dalších 26 % o připojení zavirovaného zařízení.

Uvedené typy útoků představují nebezpečí jak pro data zaměstnavatele, tak pro soukromé informace zaměstnanců. V současnosti práci z domova využívá v Česku téměř každý třetí zaměstnanec. Zaměstnanci využívají připojení mimo firemní síť také na služebních cestách. A lidé využívají nezřídka pouze jedno zařízení.

„Dnes už je běžnou praxí, že pokud není používání firemních zařízení pro soukromé účely přímo povoleno, bývá v organizacích často tolerováno. Zaměstnanci tak mohou firemní zařízení použít například pro přístup k soukromému e-mailu, zpracování soukromých dokumentů či pro přístup k sociálním sítím,“ říká odborník na bezpečnost ze společnosti Seyfor Milan Ryšavý a dodává: „Je nutné řešit zabezpečení přímo na úrovni koncových zařízení, aby byla zajištěna adekvátní úroveň ochrany i mimo podnikovou síť (např. při práci z domova a na cestách).“

Každý čtvrtý zaměstnanec způsobil IT bezpečnostní incident. Stačí jednoduchá pravidla

Z průzkumu také vyplynulo, že čtvrtina respondentů už někdy v zaměstnání způsobila IT bezpečnostní incident. „Otevřít podezřelou přílohu může omylem i zkušený uživatel. I když se technické možnosti zabezpečení zlepšují, své praktiky vylepšují také útočníci,“uvádí Ryšavý a doplňuje: „Je zřejmé, že nestačí použít pouze bezpečnostní technologie, ale je nutné zaměřit se i na vzdělávání uživatelů, aby věděli, co je bezpečné chování v kyberprostoru.“ Konsekvence vůči vzniklým problémům by měly být podle něho přizpůsobené konkrétní společnosti a povaze její práce. 

Jiná pravidla a interní zvyklosti platí u technologických start-upů, jiné v silně regulovaném prostředí, jakým je vojenské zpravodajství. Je vhodné interním předpisem jasně definovat, za jakých podmínek a jakým způsobem je možné firemní zařízení používat 
k soukromým ​​účelům. „V praxi bývá častá situace, že interní předpis toto využití zakazuje, ale používání pro soukromé ​​použití je tiše tolerováno. V tomto režimu je těžké vymáhat zodpovědnost za případné škody, které vyplynuly z porušení pravidel,“ říká Ryšavý.

Jak správně uchopit bezpečnost?

Zabezpečení je potřeba řešit na úrovni každého koncového zařízení zvlášť, protože ochrana v rámci firemní sítě už nebývá dostatečná (zaměstnanci s koncovými zařízeními cestují, pracují z domova apod.). Základem je moderní a průběžně aktualizovaný antimalware nástroj s centrální správou. Přidat například správně zabezpečený a pravidelně aktualizovaný operační systém, a to i pro aplikace. A zajištění vícefaktorové autentizace (kombinace hesla a nějaké další informace často v podobě biometriky, jako je otisk prstu či rozeznání obličeje) pro přístup k aplikacím a datům. Za nástavbu, ale důležitou funkcionalitu potom můžeme považovat oddělení firemních dat a dokumentů od těch soukromých, čímž lze zajistit vyšší úroveň ochrany pro citlivá firemní data.

^[1] Zdroj dat: Agentura MNFORCE, 1 000 respondentů 18–60 let, kteří používají v práci informační technologie. Reprezentativní vzorek české populace dle pohlaví, věku a krajů. Dotazování probíhalo 8.–15. 11. 2022.