Wyzwanie, któremu nikt nie potrafi sprostać
Niezależnie od wielkości firmy, jej przychodów i branży, każda z nich ma w swoich zasobach “walutę”, która najbardziej interesuje hakerów — dane. Ich typów jest wiele, np. dane osobowe zarówno pracowników, jak i klientów, dane logowania, ale także dane dotyczące własności intelektualnej. Każdy rodzaj danych stanowi dla oszustów inną motywację.
Wśród hakerów popularną formą jest również sprzedaż pozyskanych informacji w Dark Webie, co zwykle prowadzi do kradzieży tożsamości klientów i pracowników firmy, których dane zostały upublicznione, a także do zaciągania w ich imieniu zobowiązań finansowych. Dodatkowo, firmy często stają się ofiarami szantażu, w których cyberprzestępcy grożą dalszym ujawnieniem danych lub przeprowadzeniem kolejnych ataków, jeśli nie zostaną spełnione ich żądania finansowe.
Konsekwencje udanych ataków hakerskich i wycieku danych mają charakter wielowymiarowy. Utrata reputacji i negatywny wizerunek to jedynie wierzchołek góry lodowej. Informacje o wyciekach danych pojawiające się w mediach, wskazują na problem związany z niewystarczającym zabezpieczeniem organizacji. Wzbudzają one również niepokój wśród klientów, którzy powierzając swoje dane zaufanemu przedsiębiorstwu oczekują, że będą one bezpieczne.
Wystarczy jeden haker przeciwko całej firmie, aby spowodować poważne i długotrwałe konsekwencje zarówno finansowe, jak i prawne. W rezultacie, może to doprowadzić do przerwania ciągłości działania firmy, spadku jej wartości rynkowej czy rozwiązania umów przez partnerów biznesowych. Skoro odpowiedzialność za bezpieczeństwo danych firmy jest tak ogromna a następstwa dotkliwe, dlaczego organizacje nie dbają o to wystarczająco? Przedsiębiorcy inwestują w zaawansowane rozwiązania, zapominając o wzmocnieniu pierwszej linii obrony, którą stanowią pracownicy. To właśnie ich brak świadomości, daje cyberprzestępcom zielone światło.
Niepozornie wyglądający link zniszczył niejeden biznes
Lista zagrożeń w sieci jest długa, a kreatywność hakerów nieustannie zaskakuje. Phishing to jedna z najpopularniejszych technik socjotechnicznych stosowanych przez oszustów. Pracownicy nabierają się na wiadomości wysyłane przez hakerów, ponieważ wykorzystują oni w nich metody psychologiczne.
Często wykorzystywane sposoby to wywołanie strachu przed konsekwencjami czy przekonanie o autorytecie nadawcy. Odpowiednia treść oraz dodanie słów takich jak "natychmiast" czy "pilne" wywołuje u odbiorców odruchową reakcję, eliminując logiczne myślenie.
Tworzone przez hakerów e-maile do złudzenia przypominają te z zaufanych źródeł, czyli np. od zewnętrznych dostawców. Poniżej znajduje się przykład prawdziwych e-maili phishingowych, które zostały wykryte i przeanalizowane przez PREBYTES Security Incident Response Team.
Jak można zauważyć, zarówno temat wiadomości e-mail, jak i jej treść, mogą nie budzić żadnych podejrzeń u odbiorców.
O ile sama wiadomość nie wyrządzi szkód, tak otwarcie załącznika lub aktywacja odnośnika przez pracownika, to już pełen sukces hakera. Po kliknięciu w przesłany link, odbiorca zwykle zostaje przekierowany do formularza lub strony internetowej, która ma na celu przejęcie od niego poufnych danych. Fałszywa strona może do złudzenia przypominać witrynę firmową, co sprawia, że pracownik, podając na niej swoje dane logowania, nieświadomie udostępnia je hakerom. I na tym etapie ich pole manewru jest spore, ponieważ drzwi do poufnych informacji firmowych pozostają szeroko otwarte.
Wiedza, która podniesie ochronę na wyższy poziom
Czasy, w których monopol na wiedzę z zakresu cyberbezpieczeństwa mieli tylko specjaliści IT, bezpowrotnie minęły. Świadomość zagrożeń, umiejętność ich identyfikacji i odpowiednie reagowanie, powinny należeć do kompetencji każdego pracownika. Dobra znajomość pakietu Microsoft Office, choć pożądana przez pracodawców nie uchroni firmy przed bankructwem spowodowanym wyciekiem danych. Wiedza dotycząca tego jak rozpoznać atak phishing — owszem. Skąd ją czerpać?
Najlepszym i najbardziej opłacalnym sposobem na zwiększenie bezpieczeństwa cyfrowego firmy jest zapewnienie wszystkim pracownikom odpowiedniego szkolenia.