Uprkos tome što mnoge kompanije ulažu više novca nego ikada u napredne alate i tehnologiju za kibernetičku bezbjednost, stručnjaci vjeruju da će troškovi kibernetičkog napada za američke kompanije dramatično porasti 2023. godine.
Profesionalni kibernetički kriminalci i hakeri od nacionalnih država koji izvode vrlo sofistifikovane napade i dalje su na najvećim naslovima. Međutim, na osnovu trendova, sa sigurnošću se može pretpostaviti da će mnogi incidenti i dalje biti rezultat nevjerovatno učinkovitih i teško uočljivih pretnji kao što su phishing i napadi društvenog inženjeringa.
Napadi poput ovih, unatoč tome što zahtijevaju manje tehničke sposobnost, i dalje su učinkoviti u prevazilaženju čak i najnaprednije tehnologije kibernetičke bezbjednosti danas jer se oslanjaju na ljudsku grešku, koja je, prema studiji IBM-a, odgovorna za 95% svih kršenja kibernetičke bezbjednosti.
Kako bi se borile protiv ovih pretnji i smanjile vjerovatnoću da ljudska greška dovede do incidenta, kompanije dopunjuju svoju tehnologiju kibernetičke bezbjednosti programima obuke zaposlenih. Kada se efikasno implementiraju, ovi programi mogu poboljšati kibernetičko znanje zaposlenih i smanjiti rizik da zaposleni postanu žrtva napada. U vrijeme kada prosječna povreda košta milione, ova obuka je važnija nego ikad.
Evo tri savjeta koja treba uzeti u obzir kako biste poboljšali program obuke o kibernetičkoj bezbjednosti Vaše kompanije,
Simulirajte napade za poboljšanje ponašanja
Stara poslovica “praksa čini savršenim” zvuči istinito, posebno kada je u pitanju obuka iz kibernetičke bezbjednosti.
Kompanije mogu praktikovati uočavanje i sprečavanje raznih vrsta kibernetičkih napada kroz simulacije.
Postoji nekoliko boljih načina da naučite zaposlenike kako prepoznati, izbjeći i prijaviti potencijalne pretnje od simuliranja napada koje se mogu susresti u stvarnom svijetu.
Srećom, nekoliko kompanija i programa, od kojih su mnogi isporučeni u modelu softvera kao usluge koji je jednostavan za korištenje (SaaS), danas postoji kako bi pomogli organizacijama da ojačaju svoju bezbjednost generisanjem phishing-a, malicioznog softvera i drugih uobičajenih kibernetičkih napada s kojima se zaposleni mogu suočiti. Ove testne kampanje se zatim provode protiv članova osoblja, od kojih se traži da uoče i spriječe ove pokušaje hakovanja.
Ove simulacije relevantnih scenarija iz stvarnog svijeta mogu pomoći u povećanju budnosti zaposlenih i bolje pripremiti osoblje za pretnje s kojima se mogu suočiti u okruženju bez uloga. Okruženje pozitivnog pojačanja znači da je veća vjerovatnoća da će zaposleni prijaviti sumnjive pokušaje krađe identiteta/smishing-a, čak i kada se ispostavi da su njihove sumnje bile neopravdane. To može značiti više izvještaja za provjeru, ali svjesnije i opreznije zaposlene.
Malim koracima smanjite zamor od straha i dodajte kontekst oko pretnji
Čini se da svake sedmice novi kibernetički napad bude na naslovnicama. Ova poplava vijesti dovela je do opasnog fenomena poznatog kao “zamor od straha” (fear fatigue) koji se definiše kao “desenzibilizacija zbog ponovnog izlaganja istoj poruci tokom vremena”.
Prema istraživanju koje je proveo Malwarebytes, 80% ispitanika je prijavilo određeni nivo zamora od straha u vezi sa kibernetičkom bezbjednošću. Ovaj zamor od straha je opasan i može rezultovati nepažljivim ponašanjem koje može dovesti do značajnih ranjivosti i rizika u polju kibernetičke bezbjednosti.
Borbu protiv zamora od straha i podsjećanje zaposlenih da su njihovi postupci kritični za ukupnu bezbjednost kompanije, organizacije mogu započeti malim koracima. Kompanije bi trebalo da razmotre početak implementacije protokola lozinki za cijelu kompaniju. Obvezivanje zaposlenih da mijenjaju svoje lozinke svakih nekoliko mjeseci i implementacija dvofaktorske autentifikacije su jednostavni, ali moćni podsjetnici za zaposlene da budu aktivni učesnici u cjelokupnom držanju kibernetičke bezbjednosti svoje kompanije.
Kompanije bi takođe mogle razmotriti dodavanje konteksta komunikacijama oko kibernetičke bezbjednosti kako bi pomogle zaposlenima da shvate posljedice potencijalnog incidenta u stvarnom svijetu. Jedan primjer je primjećivanje potencijalnog monetarnog utjecaja koji kibernetički incident može imati na bonuse i plate zaposlenih, između ostalog.
Implementirajte Zero-Trust i Least-Privilege okruženje (Secure by Design)
Uprkos najboljim naporima svake kompanije, oslanjanje na zaposlene u sprečavanju kibernetičkih napada nikada neće biti potpuno siguran plan. Stoga bi svaka organizacija takođe trebala implementirati kibernetičku bezbjednost bez povjerenja i okruženje s najmanje privilegija (Zero-Trust i Least-Privilege).
U svojoj srži, model kibernetičke bezbjednosti bez povjerenja pomno čuva resurse kompanije dok djeluje pod mentalitetom “pretpostavljanja kršenja”. To znači da se svaki zahtjev za pristup informacijama ili uslugama kompanije provjerava kako bi se spriječio neovlašteni pristup mreži.
Slično, okruženje sa najmanje privilegija može zaštititi od neželjenog pristupa softveru, uslugama, serverima, hardveru itd. sa naloga kojima taj pristup nije potreban. Osiguravanje pravilne kontrole pristupa sa redovnim procjenama i ažuriranjima pomaže značajno ograničiti površinu napada.
U vrijeme kada sve više kompanija prihvaća dugoročna hibridna radna mjesta, nulto povjerenje i najmanje privilegija su moćni alati koji pomažu u sprječavanju i ublažavanju ranjivosti.
U budućnosti, organizacije treba da kreiraju proizvode i softver koji su bezbjedni po dizajnu, sa ugrađenim bezbjednosnim funkcijama. Pristup Secure by Design znači fokusiranje na ljude, infrastrukturu i razvoj softvera kako bi se poboljšala bezbjednosna infrastruktura kompanije. Ako organizacije slijede ovaj novi model, to može pomoći u sprječavanju i ublažavanju budućih kibernetičkih napada.
Izvor: Infosecurity Magazine