Σε ένα φαύλο κύκλο εμπλέκεται συχνά το μείζον ζήτημα της ασφάλειας των πληροφοριακών συστημάτων μιας εταιρείας, με τον ανθρώπινο παράγοντα να παίζει σημαντικό ρόλο σε αυτήν τη διαδικασία.  Η επιχειρηματική εμπειρία δείχνει ότι, πλέον, οι ψηφιακοί εγκληματίες χρησιμοποιούν τους υπαλλήλους ως σημείο εισόδου στην εταιρική υποδομή.

Σύμφωνα με νέα έρευνα της Kaspersky Lab και της B2B International, οι υπάλληλοι των επιχειρήσεων αποκρύπτουν τα περιστατικά ασφάλειας των πληροφοριακών συστημάτων σε ποσοστό 40% παγκοσμίως. “Με το 46% των περιστατικών ασφάλειας πληροφοριακών συστημάτων να οφείλεται σε υπαλλήλους κάθε χρόνο, αυτή η ευπάθεια των επιχειρήσεων πρέπει να αντιμετωπιστεί σε όλα τα επίπεδα και όχι μόνο μέσω του τμήματος ασφάλειας πληροφοριακών συστημάτων”, διαπιστώνει η εν λόγω μελέτη (“Ο ανθρώπινος παράγοντας στην ασφάλεια των πληροφοριακών συστημάτων: Πως οι υπάλληλοι καθιστούν τις επιχειρήσεις πιο ευάλωτες από το εσωτερικό τους”).

Σύμφωνα με τα ευρήματα της έρευνας, οι μη ενημερωμένοι ή αδιάφοροι υπάλληλοι αποτελούν έναν από τους βασικούς λόγους περιστατικών ασφάλειας των πληροφοριακών συστημάτων - δεύτερος λόγος στην αντίστοιχη λίστα πίσω από τα παραδοσιακά κακόβουλα λογισμικά. Ενώ τα κακόβουλα λογισμικά εξελίσσονται συνεχώς, η θλιβερή πραγματικότητα είναι ότι ο “αειθαλής” ανθρώπινος παράγοντας μπορεί να αποτελέσει ακόμα μεγαλύτερο κίνδυνο.

Συγκεκριμένα, η απροσεξία των εργαζομένων είναι ένα από τα μεγαλύτερα πλήγματα στην εταιρική θωράκιση ενάντια στις ψηφιακές απειλές, όταν πρόκειται για στοχευμένες επιθέσεις. Ενώ οι προηγμένοι χάκερς μπορούν πάντα να χρησιμοποιήσουν ειδικά σχεδιασμένα κακόβουλα προγράμματα και τεχνικές υψηλής τεχνολογίας για να σχεδιάσουν μια ληστεία, πιθανότατα θα αρχίσουν να αξιοποιούν το πιο εύκολο σημείο εισόδου - την ανθρώπινη φύση.

Απροσεξία
Σύμφωνα με την έρευνα, μία στις τρεις (28%) στοχευμένες επιθέσεις εναντίον επιχειρήσεων τον περασμένο χρόνο διέθετε στην πηγή της τεχνικές phishing/κοινωνικής μηχανικής. Για παράδειγμα, ένας απρόσεκτος λογιστής θα μπορούσε εύκολα να ανοίξει ένα κακόβουλο αρχείο που θα έμοιαζε με τιμολόγιο από έναν από τους πολυάριθμους εργολάβους μιας εταιρείας. Αυτό θα μπορούσε να θέσει εκτός λειτουργίας ολόκληρη την υποδομή του οργανισμού, καθιστώντας εν αγνοία του τον λογιστή συνεργό των επιτιθέμενων.

Σύμφωνα με την έρευνα, ακόμα και μία απλή flash card που μπορεί να έχει παραπέσει στο πάρκινγκ του γραφείου ή δίπλα στο γραφείο της γραμματείας μπορεί να θέσει σε κίνδυνο ολόκληρο το δίκτυο - το μόνο που χρειάζεται είναι κάποιος που βρίσκεται στο εσωτερικό της εταιρείας, που δεν ξέρει ή που δεν δίνει προσοχή στην ασφάλεια και αυτή η συσκευή μπορεί πανεύκολα να συνδεθεί με το δίκτυο προκαλώντας ολέθριες συνέπειες.

 Οι εξελιγμένες στοχευμένες επιθέσεις δεν συμβαίνουν καθημερινά σε οργανισμούς, αλλά το συμβατικό κακόβουλο λογισμικό πλήττει τις επιχειρήσεις μαζικά.  Δυστυχώς, όμως, η έρευνα δείχνει ότι όταν πρόκειται για κακόβουλο λογισμικό, οι μη ενημερωμένοι και απρόσεκτοι υπάλληλοι παίζουν, επίσης, σημαντικό ρόλο προκαλώντας “μολύνσεις” με κακόβουλο λογισμικό στο 53% των περιπτώσεων.

Εμπλοκή
Με το προσωπικό να αποκρύπτει τα περιστατικά στα οποία έχει εμπλακεί, οι επιπτώσεις μπορεί να είναι πολύ άσχημες και αυτό αυξάνει τη γενικότερη βλάβη που μπορεί να έχει προκληθεί. Ακόμα και ένα μόνο γεγονός, που δεν έχει αναφερθεί, μπορεί να υποδεικνύει μια ακόμα μεγαλύτερη παραβίαση και οι ομάδες ασφάλειας χρειάζεται να αναγνωρίσουν γρήγορα τις απειλές που έχουν απέναντι τους για να διαλέξουν τις κατάλληλες τακτικές μετριασμού.  Το προσωπικό θα προτιμούσε να θέσει σε κίνδυνο τους οργανισμούς από το να δηλώσει ένα πρόβλημα, γιατί φοβάται την τιμωρία ή ντρέπεται που είναι υπεύθυνο για κάτι το οποίο πήγε λάθος. Κάποιες εταιρείες έχουν εισάγει αυστηρούς κανόνες και έχουν επιβάλει περισσότερες ευθύνες στους υπαλλήλους, αντί να τους ενθαρρύνουν να είναι απλώς σε εγρήγορση και συνεργάσιμοι. Αυτό σημαίνει πως η προστασία στον κυβερνοχώρο όχι μόνο εναπόκειται στο “βασίλειο” της τεχνολογίας, αλλά και στην κουλτούρα και εκπαίδευση του οργανισμού. Εδώ είναι που χρειάζεται να εμπλακούν το Ανθρώπινο Δυναμικό και τα ανώτατα διοικητικά στελέχη.     

Το προσωπικό
Οι οργανισμοί σε όλο τον κόσμο έχουν, ήδη, συνειδητοποιήσει το πρόβλημα του προσωπικού τους, που καθιστά  τις επιχειρήσεις τους ευάλωτες: το 52% των ερωτηθέντων εταιρειών παραδέχεται ότι το προσωπικό είναι η μεγαλύτερη αδυναμία στην ασφάλεια του τομέα της Πληροφορικής. Η ανάγκη εφαρμογής μέτρων με επίκεντρο το προσωπικό γίνεται ολοένα και πιο εμφανής: το 35% των επιχειρήσεων προσπαθεί να βελτιώσει την ασφάλεια μέσω της παροχής κατάρτισης στο προσωπικό, καθιστώντας αυτή τη δεύτερη πιο δημοφιλή μέθοδο προστασίας του κυβερνοχώρου, ακολουθώντας στην κατάταξη την ανάπτυξη πιο εξελιγμένου λογισμικού (43%).