Pri čítaní o náraste rizík kybernetickej bezpečnosti si často predstavujeme tím strašných hackerov ukrytých v niektorých temná pivnica čaká na ideálnu príležitosť zaútočiť na nevinných používateľov internetu a okradnúť ich o peniaze. Realita však nie je taká jednoduchá.
Ak hľadáme najslabší článok v oblasti kybernetickej bezpečnosti, nemusíme hľadať ďalej ako my sami. Či už ide o súkromnú alebo profesionálnu doménu, je menej pravdepodobné, že naše bezpečnostné systémy zlyhajú nás ako ľudí.
Aké sú niektoré z najbežnejších rizík kybernetickej bezpečnosti spôsobovaných ľuďmi?
Technológia existuje, aby uľahčila život. Dokáže zefektívniť každodenné úlohy a zároveň nám ušetrí čas, námahu a energiu. Či už ich používame z osobných alebo profesionálnych dôvodov, zohrávame hlavnú úlohu pri vytváraní nových technológií a ich začlenení do našej spoločnosti.
Technológie sú väčšinou predvídateľné, zatiaľ čo ľudia sú náchylní na chaos. Nie je žiadnym prekvapením, že sme považovaní za najväčšiu hrozbu pre akýkoľvek systém kybernetickej bezpečnosti.
Tu sú najbežnejšie riziká kybernetickej bezpečnosti, ktoré spúšťa naša nedostatočná informovanosť o bezpečnosti a zlé postupy – dokonca môžete byť robiť niektoré z týchto bezpečnostných chýb v tejto chvíli...
Zlé postupy pri používaní hesiel
Namiesto vytvárania jedinečného hesla pre každú online službu, ktorú používame, sa väčšina ľudí snaží ušetriť čas nastavením rovnakého hesla pre všetky svoje účty. Takže aj keď používajú silné heslo, ak sa ho počítačovým zločincom podarí prelomiť, získajú tiež prístup ku všetkým svojim účtom.
Ak dôjde k prelomeniu profesionálneho účtu, všetky citlivé údaje spoločnosti by skončili v rukách kyberzločincov a poškodenie dobrého mena podniku by mohlo byť katastrofálne.
Ak sa chcete vyhnúť tomuto scenáru, nepoužívajte to isté heslo alebo prístupovú frázu pre viacero účtov a uistite sa, že všetky vaše heslá sú silné. Mohli by ste použiť online nástroje, ktoré kontrolujú silu vášho hesla aby ste sa uistili, že ste na bezpečnej strane.
Vyhýbanie sa autentifikácii
Dôvody vyhýbania sa viacfaktorovej autentifikácii (MFA) sú podobné dôvodom nesprávnych postupov pri zadávaní hesiel – zdá sa, že ľudia si myslia, že strácajú čas a spomaľujú ich pracovný tok. Čím skôr budú mať prístup k svojim zdrojom, tým skôr bude ich práca vykonaná; MZV sa cíti ako zbytočná bariéra.
Mali by sme tiež poznamenať, že hoci ľudia, ktorí využívajú MFA, majú oveľa menšiu pravdepodobnosť, že budú napadnutí hackermi, samotná autentifikácia ich nerobí imúnnymi voči narušené autentizačné zraniteľnosti ako je únos relácie, sprejovanie hesiel a phishingové útoky.
Nesprávna konfigurácia zabezpečenia
Pred ľudskými chybami nie sú v bezpečí ani vlastní pracovníci v oblasti kybernetickej bezpečnosti a správcovia systémov. Napríklad zlyhanie pri inovácii bezpečnostného softvéru alebo zabudnutie na zmenu predvolených hesiel na serveroch spoločnosti zvyšuje šancu, že počítačoví zločinci nájdu spôsob, ako prelomiť systém.
A potom je tu nedostatočná kontrola vzdialeného prístupu, nedostatočná správa hardvéru, zakázaná antivírusová ochrana, nechránené súbory, chyby v kódovaní; a zoznam pokračuje...
Takéto chyby vytvárajú vážne bezpečnostné medzery, vďaka ktorým sú všetky aplikácie, údaje a samotná spoločnosť ľahkým cieľom kybernetických útokov a únikov údajov.
Používanie nezabezpečených sietí
Používanie neznámych sietí je riskantný podnik, ale ak to robíte s podnikovými zariadeniami, môže to spôsobiť, že celá organizácia bude vystavená kybernetickým hrozbám. Ak je na verejných miestach, ako sú kaviarne, autobusové stanice a letiská, k dispozícii neznáma sieť, riziká stúpajú.
Verejné siete môžu byť napadnuté vírusmi a škodlivým softvérom, ktoré sa môžu dostať do vášho zariadenia, keď sa pokúšate prihlásiť do svojho e-mailového účtu alebo na stránky sociálnych médií. Ak hacker nájde spôsob, ako sa umiestniť medzi vami a bodom pripojenia, t. j. Man-in-the-Middle (MitM), získajú prístup k vašim prihlasovacím údajom a všetkým ostatným informáciám, ktoré odosielate a prijímate online. Keď to urobia, budú sa môcť dostať do vašich systémov, ako keby ste to boli vy.
Chyby fyzického zabezpečenia
Hoci mnoho bežných príčin porušenia ochrany údajov možno pripísať kybernetickým útokom, spoločnosti môžu byť ohrozené aj fyzickými bezpečnostnými hrozbami. Ak sa napríklad neoprávnená osoba dostane do priestorov spoločnosti, mohla by ukradnúť dôverné informácie, používateľské poverenia alebo iné citlivé údaje.
Aj keď tieto typy bezpečnostných chýb prichádzajú v mnohých tvaroch a veľkostiach, medzi najbežnejšie patrí zanechanie citlivých dokumentov bez dozoru, nechávať odomknuté dvere a púšťať cudzích ľudí do zabezpečených priestorov alebo im umožniť prístup do spoločnosti počítačov.
Ako proti vám využívajú kyberzločinci ľudskú chybu?
Keďže kyberzločinci považujú ľudský faktor za ľahký cieľ, snažia sa ho zneužiť, ako sa len dá. Môže to byť najmä prostredníctvom krádeže identity, pri ktorej kyberzločinec ukradne vaše osobné údaje, aby spáchal podvod. Môžu ho použiť na získanie vašich peňazí, žiadosť o úver alebo lekárske služby. V každom prípade môže krádež ID vyprázdniť váš bankový účet a zároveň zničiť vašu reputáciu.
Podobne môžu útočníci využiť ľudskú chybu na uskutočnenie ransomvérových útokov, ktoré môžu jednotlivcovi alebo spoločnosti spôsobiť škodu mnohými spôsobmi. Vždy však dôjde k uzamknutiu vášho zariadenia alebo citlivých údajov a požadovaniu výkupného za dešifrovací kľúč. Iné typy malvéru tiež ukradnú vaše dáta, prevezmú kontrolu nad vašimi zariadeniami alebo začnú „ťažiť“ kryptomenu.
To nie je všetko. Existuje mnoho spôsobov, ako môžu hackeri proti vám použiť jednoduchú ľudskú chybu.
- Krádež duševného vlastníctva (IP): Je to také jednoduché, ako kopírovanie nápadu, produktu alebo služby niekoho iného bez toho, aby ste to urobili sami. Je populárny, pretože je jednoduchý a môže byť mimoriadne ziskový. Obeťami krádeže IP sa môžu stať jednotlivci aj spoločnosti.
- Firemná špionáž: Takzvaná priemyselná alebo firemná špionáž je to isté ako politická špionáž, ale vykonáva sa na komerčné účely, a nie na národnú bezpečnosť. Pri tomto type počítačovej kriminality sa zločinci nezameriavajú na jednotlivcov, pokiaľ nie sú súčasťou konkurenčných spoločností. Primárnym účelom je predsa prísť na základe obchodného tajomstva a získať výhodu nad konkurenciou.
- Ničenie reputácie: Či už ide o verejnú osobu alebo spoločnosť, hlavnou obeťou úspešného kybernetického útoku je často dôvera. Hoci to môže byť úmyselné alebo vedľajšie poškodenie (napríklad finančného zisku), môže to zanechať trvalú stopu na povesti človeka.
Prečo sú ľudia ľahkým cieľom kyberzločincov?
Okrem nedostatočnej informovanosti o kybernetickej bezpečnosti existuje niekoľko hlavných dôvodov, prečo počítačoví zločinci považujú ľudí za ľahké ciele.
Na rozdiel od technológií sú ľudia od prírody dôverčiví. Niekedy sú tiež v strese a útoky sociálneho inžinierstva ich môžu zaskočiť a prinútiť ich, aby prepadli podvodu. Ak sú tiež neinformovaní (alebo dokonca nezodpovední) o kybernetickej bezpečnosti, robí to z nich dokonalú korisť.
Ľudia sú stvorenia rutiny a väčšine z nás to nevadí. Bohužiaľ to z nás môže urobiť ľahký cieľ hackerských útokov, ako sú phishingové útoky. Ak si napríklad skontrolujete svoj e-mail hneď, ako ráno vstanete, kyberzločinci môžu v tom čase odoslať e-mail na neoprávnené získavanie údajov. Potom bez toho, aby ste sa nad tým zamysleli, môžete správu otvoriť, kliknúť na odkaz a nechať si ukradnúť svoje osobné údaje.
V konečnom dôsledku môžeme byť emocionálni, čo môže zahmliť náš úsudok a ľahko nás ovplyvniť útokmi sociálneho inžinierstva. Len jeden chybný krok, ktorý urobíme my alebo ktorýkoľvek iný zamestnanec, môže ohroziť celú spoločnosť a jej používateľov.
Dokážeme prekonať riziká ľudských chýb?
Keďže najzávažnejšou hrozbou pre kybernetickú bezpečnosť nie je sofistikovaný hack, ale starý dobrý ľudský faktor, mali by sme ju odstrániť, nie? To sa ľahšie povie, ako urobí. Môžeme však nájsť spôsoby, ako bojovať proti počítačovej kriminalite prekonaním tohto faktora bez toho, aby sme z rovnice vylúčili ľudí. Chyby sa nevyhnutne stanú. Môžeme však šíriť povedomie o kybernetickej bezpečnosti a zabezpečiť, aby sme my a ľudia, na ktorých sme závislí, boli informovaní o rizikách kybernetickej bezpečnosti.
Mohli by sme tiež použiť silné bezpečnostné nástroje, vyhľadať pomoc od odborníkov na kybernetickú bezpečnosť a vytvoriť kultúru, v ktorej sa ľudia môžu podeliť o akékoľvek problémy alebo obavy, ktoré majú v súvislosti s kybernetickou bezpečnosťou.