Zaměstnanci firem čelí stále se zvyšujícímu počtu kybernetických útoků

Přestože se zvyšuje povědomí o kybernetických hrozbách a přestože přichází evropská směrnice NIS2, společnosti se stále potýkají s nedostatečnou připraveností svých zaměstnanců na tato možná rizika. V tomto článku se zaměříme na to, proč lidský faktor představuje největší hrozbu pro kybernetickou bezpečnost českých firem a jak lze tuto zranitelnost minimalizovat.

Lidský faktor jako největší hrozba

Jsou to právě zaměstnanci, kteří jsou nejčastěji první linií obrany proti kybernetickému útoku. Proto jejich schopnost rozpoznat a reagovat na podezřelé aktivity znamená často klíčový rozdíl mezi neúspěšným útokem a úspěšným útokem. Bohužel stále zůstává lidský faktor jednou z nejzranitelnějších částí každé organizace.

Statistiky

Dle zprávy Acronis Cyberthreats Report počet napadení způsobený phishingem se zvýšil o 60 % a uniklé nebo odcizené citlivé údaje firmy, pomocí kterých útočníci snadno provádějí kybernetické a ransomwarové útoky, způsobily více než polovinu všech hlášených útoků v roce 2022. Tudíž za více než 50 % úspěšných útoků může právě lidský faktor.

Nedostatečná kybernetická gramotnost a edukace zaměstnanců

Stále velké množství firem neklade dostatečný důraz na kybernetické vzdělávání a dlouhodobou osvětu svých zaměstnanců. Právě nedostatečná osvěta může znamenat, že zaměstnanci nejsou dostatečně obeznámeni s nejnovějšími hrozbami a aktuálními metodami obran proti cíleným útokům. To může vést k nesprávnému chování, jako je například klikání na podezřelé odkazy, zadávání citlivých informací a otevírání infikovaných příloh v e‑mailových zprávách.

Phishingové útoky

Útočníci často využívají právě techniky phishingu, aby získali přístup k citlivým informacím. To zahrnuje vytváření falešných e‑mailových zpráv, které se zdají být legitimní a jsou zasílány na zaměstnance, s cílem získat citlivé údaje firmy nebo proniknout do infrastruktury. Pokud zaměstnanci nejsou dostatečně obeznámeni s těmito technikami, mohou se snadno stát oběťmi.

Nedodržování bezpečnostních politik

Dalším problémem je nedodržování bezpečnostních politik a postupů ve firmách. Zaměstnanci mohou ignorovat předpisy týkající se hesel, sdílet citlivé informace nebo používat osobní zařízení pro pracovní účely, což zvyšuje riziko úniku dat a kybernetických útoků.

Potřeba testování a pravidelného tréninku

Aby se společnosti mohly účinně bránit kybernetickým útokům, je nezbytné zaměstnance testovat a na základě toho dále vzdělávat. Je to dlouhodobý proces edukace. Testování probíhá jako reálná simulace skutečných phisingových útoků, kdy se připraví podvrhnuté falešné e‑maily obsahující odkazy na falešné webové stránky nebo žádosti o zadání citlivých informací, jakou jsou třeba hesla. Na základě útoku se sleduje, jak zaměstnanci reagují, to znamená, zdali kliknou na podvržené odkazy, stáhnou přílohy, zadají citlivé informace firmy. Po skončení útoku organizace ví, jak jsou na tom jejich zaměstnanci z pohledu kybernetické gramotnosti. Toto je klíčová fáze, která slouží pro nastavení vzdělávacího programu zaměstnanců, jak rozpoznávat tyto útoky a jak na ně správně reagovat.

Politiky, vzdělávání, kontroly

Lidský faktor je největší hrozbou v kybernetické bezpečnosti českých firem. Aby firmy mohly účinně snižovat toto riziko, je nezbytné, aby kladly větší důraz na kybernetické vzdělávání svých zaměstnanců, uplatňovaly přísné bezpečnostní politiky a prováděly pravidelné kontroly a simulace kybernetických útoků. Jedině tak mohou firmy minimalizovat riziko kybernetických hrozeb spojených s lidským faktorem a lépe se bránit v dnešním digitálním prostředí.