Iba 42 % zamestnancov dodržiava bezpečnostné opatrenia firmy. Ako predísť hroziacemu problému?
21.02.2022
V septembri 2021 bola v Českej republike, Poľsku a Maďarsku zrealizovaná spoločnosťou Sophos štúdia „Kybernetická bezpečnosť na diaľku“. Štúdia na vzorke 800 respondentov pre každú krajinu hovorí o tom, ako sa zamestnanci orientujú v bezpečnostnej politike svojej firmy.
Iba polovica zamestnancov považuje bezpečnostné opatrenia za dôležité a rozumie im
Napríklad v Českej republike má podľa štúdie zhruba polovica zamestnancov pozitívny prístup k opatreniam pre zaistenie kybernetickej bezpečnosti. Podľa 52 % zamestnancov sú bezpečnostné pravidlá vo firmách dôležité pre ochranu dát a zdrojov spoločnosti. Iba 46 % zamestnancov však deklaruje ich znalosť a dodržovanie. Takmer pätina považuje bezpečnostné opatrenia dokonca za prekážku pri ich práci a 7 % priznáva úmyselné nedodržiavanie zásad.
V Maďarsku pozná a dodržuje bezpečnostné opatrenia svojej firmy iba 45 % a v Poľsku dokonca iba 42 % zamestnancov.
Takmer štvrtina zamestnancov sa neorientuje v bezpečnostnej politike svojej firmy
Dôležitosť bezpečnostných opatrení si uvedomuje viac ako polovica respondentov, menej ako polovica ich však dodržiava. Každý desiaty zamestnanec tvrdí, že si je bezpečnostných zásad vo svojej spoločnosti vedomý, ale nikto mu ich nevysvetlil.
Až 13 % zamestnancov nepozná bezpečnostnú politiku svojej firmy, 7 % tvrdí, že ich spoločnosť žiadnu bezpečnostnú politiku nemá. Že bezpečnostné opatrenia nie sú potrebné, pretože daná spoločnosť ešte nezažila žiadny útok, sa domnieva 6 % respondentov a každý desiaty si myslí, že zásady kybernetickej bezpečnosti nemajú na jeho prácu žiadny vplyv.
Vedia zamestnanci, čo s podozrivým emailom?
Každý dvanásty respondent v Čechách a Maďarsku si nie je istý, či by rozpoznal hrozbu alebo nevie, čo robiť, keď zaznamená podozrivý email, udalosť alebo program. V Poľsku túto vedomosť nemá dokonca každý desiaty zamestnanec.
Podozrivú udalosť by v Čechách nahlásilo príslušnej osobe v IT oddelení 72 % zamestnancov, naopak každý piaty (20 %) by situáciu ignoroval alebo podozrivý email zmazal. Maďari sú na tom trochu lepšie, ale Poľsku incident nahlási len 58 % zamestnancov a celá tretina by situáciu odignorovala.
58 % zamestnancov nedodržiava kyberbezpečnostné opatrenia vo svojej firme. Pätina ich dokonca považuje za prekážku pri svojej práci. Takmer tretina zamestnancov podozrivú udalosť odignoruje.
Priestor pre veľké zlepšenie
Ľudský faktor je stále kľúčovou a problematickou súčasťou opatrení k zaisteniu IT bezpečnosti. Prieskum ukazuje, že podniky majú v oblasti vzdelávania zamestnancov stále čo zlepšovať.
Aby mohli bezpečnostné zásady dodržiavať, musia hlavne vedieť, prečo sú takou dôležitou súčasťou ochrany firmy pred kybernetickým útokom. Okrem zavedenia politiky kybernetickej bezpečnosti je zásadné ukázať zamestnancom, ako ich každodenné správanie ovplyvňuje bezpečnosť firmy.
Slovensko a bezpečnosť IT
Hoci sa prieskum neopiera o údaje zo Slovenskej republiky, je naivné sa domnievať, že by boli diametrálne lepšie ako dáta z Čiech, Maďarska či Poľska.
Podľa Národného centra kybernetickej bezpečnosti SK-CERT až 60 % Slovákov vo veku 15 až 34 rokov eviduje dôležitosť kybernetickej bezpečnosti. Slováci medzi hlavné porušenia bezpečnosti radia: odcudzenie peňazí z účtu, zneužitie prihlasovacích údajov, únik či zverejnenie citlivých fotografií či osobných údajov, nabúranie profilu a kompromitácia na sociálnej sieti a únik citlivej komunikácie.
Návod ako to zmeniť - interné vzdelávacie workshopy
ANASOFT je softvérová firma, ktorej jedným z pilierov je aj kybernetická ochrana firiem. Preto sa rozhodla venovať pomerne veľkú časť vzdelávaniu vlastných zamestnancov práve na tému kybernetických útokov.
Peter Roth, CIO ANASOFTu: „Zvolili sme formu krátkych pravidelných interných školení, ktoré sa s mesačnou periodicitou vtipne a odľahčene prihovárajú našim ANASOFŤákom. Prostredníctvom online vysielania sa prihovárame vždy jednou z tém, ktoré sa dotýkajú nášho firemného ale aj súkromného IT bezpečia.
Sú to témy ako sociálny inžiniering, phishing, ransomware, bezpečné používanie internetu či bezpečnosť mobilných zariadení. Túto sériu workshopov sme nazvali „Beriem to osobne“, pretože útoky, ktoré číhajú na nás vo firme, môžu rovnako zasiahnuť naše súkromie, naše osobné citlivé dáta či dokonca bankové konto.
Každé stretnutie je obohatené reálnym, niekedy žiaľ aj smutne skončeným príbehom z reálneho života, ktoré predstaví hlavný hosť vysielania. Po tomto príklade si povieme, ako sa dá predísť podobnému prípadu, a keď už situácia nastane, ako je možné minimalizovať prípadné škody.“
zábavné interné kampane
Spolu s internými miniškoleniami sú súčasťou stratégie boja proti kyberútokom vizuálne minikampane, ktoré pripomínajú každodenné nebezpečenstvá. Jedným z nich bola napríklad výroba tričiek potlačených bezpečnostnými porekadlami.
„Vďaka týmto aktivitám sa bezpečnosť IT stala v ANASOFTe obľúbenou a nie nechcenou témou. Realizované aktivity sú zábavné, ľahko pochopiteľné a občas prinesú aj darček pre zamestnanca. Okrem toho, že vzdelávame všetkých zamestnancov, v ANASOFTe pôsobí aj Divízia security, ktorá sa stará o bezpečnosť veľkých a náročných klientov. Vyvinuli sme vlastný produkt DECEUS, ktorý ponúka cyber deception technológiu.
Ak hovoríme o kyberútokoch, otázkou nie je či k ním dôjde, ale kedy. Som preto veľmi rád, že naši klienti sa môžu cítiť bezpečne aj vďaka tomu, že povedomie ochrany proti kyberútokom je v ANASOFTe veľmi často a vhodne skloňovaná téma.“ dodáva Peter Roth.
