7 spôsobov, ako zničiť firmu jedným kliknutím

2024 Autor: Malcolm Clapton | [email protected]. Naposledy zmenené: 2024-01-15 16:49

Jeden škodlivý e-mail a naivný zamestnanec môžu stáť vašu spoločnosť peniaze alebo reputáciu. Spolu s Microsoftom vám povieme, o akých pravidlách kyberhygieny sa musíte so svojím tímom porozprávať.

Nájdite ešte viac tipov, ako sa chrániť pred digitálnymi hrozbami.

Každý deň sa objavujú nové typy kybernetických hrozieb. Môže sa zdať, že hackeri a podvodníci idú len po gigantoch trhu. Ale nie je to tak. 63 % všetkých útokov sa zameriava na malé podniky a 60 % malých podnikov sa po kybernetickom útoku zastaví. Navyše, obeťami útokov nemusia byť nevyhnutne startupy zo Silicon Valley. Generálna prokuratúra Ruskej federácie zaznamenala za prvých šesť mesiacov roku 2019 180 153 kybernetických trestných činov. A to je o 70 % viac ako v roku 2018.

Aj keď máte celé IT oddelenie a na všetkých počítačoch sú nainštalované antivírusy, na spoľahlivú ochranu to nestačí. Okrem toho je tu vždy ľudský faktor: nesprávne konanie zamestnancov môže viesť k digitálnej katastrofe. Preto je dôležité porozprávať sa so svojím tímom o kybernetických hrozbách a vysvetliť im, ako sa chrániť. Zozbierali sme sedem situácií, v ktorých môže nediskrétnosť jedného človeka vyjsť vašu firmu draho.

1. Kliknutie na škodlivý odkaz

situácia: na poštu zamestnanca sa odošle e-mail, ktorý vyzerá ako bežná zásielka od známeho adresáta. List obsahuje tlačidlo, ktoré vedie na stránku, ktorá v človeku nevzbudzuje podozrenie. Zamestnanec nasleduje odkaz a je presmerovaný na podvodnú stránku.

Opísaným mechanizmom je takzvaný phishingový útok. Výskum spoločnosti Microsoft hovorí, že ide o jeden z najbežnejších podvodných schém. V roku 2018 sa počet takýchto útokov zvýšil o 350 %. Phishing je nebezpečný, pretože zahŕňa prvky sociálneho inžinierstva: útočníci posielajú e-maily e-mailom v mene spoločnosti alebo osoby, ktorej obeť určite dôveruje.

Podvodné schémy sú čoraz zložitejšie: útoky prebiehajú v niekoľkých fázach a e-maily sa odosielajú z rôznych IP adries. Phishingový e-mail môže byť dokonca maskovaný ako správa od konateľa spoločnosti.

Aby ste sa nenechali chytiť, musíte si premyslene prečítať všetky listy, všimnúť si nezrovnalosti v jednom písmene alebo symbole v adrese av prípade akéhokoľvek podozrenia - kontaktujte odosielateľa skôr, ako niečo urobíte.

2. Sťahovanie infikovaného súboru

situácia: zamestnanec potrebuje na prácu nový softvér. Rozhodne sa stiahnuť si program vo verejnej doméne a skončí na stránke, kde malvér predstiera, že je užitočný softvér.

Vírusy na internete sú často maskované ako fungujúci softvér. Toto sa nazýva spoofing – falšovanie účelu programu s cieľom poškodiť používateľa. Len čo zamestnanec otvorí stiahnutý súbor, jeho počítač sa dostane do rizikovej zóny. Niektoré stránky navyše automaticky sťahujú škodlivý kód do vášho počítača – aj bez toho, aby ste sa pokúšali niečo stiahnuť. Tieto útoky sa nazývajú drive-by downloads.

Ďalšie následky závisia od typu vírusu. Kedysi prevládal ransomvér: blokoval počítač a žiadal od používateľa výkupné, aby sa mohol vrátiť do normálnej prevádzky. Teraz je bežnejšia iná možnosť – útočníci využívajú počítače iných ľudí na ťažbu kryptomien. Súčasne sa spomaľujú ostatné procesy a výkon systému klesá. Okrem toho môžu podvodníci s prístupom k počítaču kedykoľvek získať dôverné údaje.

Artyom Sinitsyn Riaditeľ programov informačnej bezpečnosti v strednej a východnej Európe, Microsoft.

Zamestnanci spoločnosti by si mali uvedomiť, že funkčný softvér nemožno stiahnuť z internetu. Ľudia, ktorí uverejňujú programy na webe, nenesú žiadnu zodpovednosť za bezpečnosť vašich údajov a zariadení.

Jedným z prvých pravidiel kybernetickej bezpečnosti je používanie licencovaného softvéru. Poskytuje napríklad všetky riešenia, ktoré potrebujete pre svoje podnikanie, a zároveň zaručuje úplnú ochranu vašich informácií.

Je to nielen bezpečné, ale aj pohodlné: So službou Microsoft 365 môžete používať všetky aplikácie balíka Office, synchronizovať e-maily Outlooku s kalendárom a uchovávať všetky dôležité informácie v cloude OneDrive s kapacitou 1 TB.

3. Prenos súborov cez nechránené kanály

situácia: zamestnanec potrebuje zdieľať pracovný výkaz s dôvernými informáciami s kolegom. Aby to bolo rýchlejšie, nahrá súbor na sociálne siete.

Keď zamestnanci považujú za nepríjemné používať podnikové chaty alebo iný kancelársky softvér, hľadajú riešenia. Nie preto, aby som vedome škodil, ale jednoducho preto, že je to tak jednoduchšie. Tento problém je taký bežný, že preň dokonca existuje špeciálny výraz – tieňové IT. Takto opisujú situáciu, keď si zamestnanci vytvárajú svoje informačné systémy v rozpore s tým, čo predpisuje IT politika spoločnosti.

Je zrejmé, že prenos dôverných informácií a súborov cez sociálne siete alebo kanály bez šifrovania so sebou nesie vysoké riziko úniku údajov. Vysvetlite zamestnancom, prečo je dôležité dodržiavať protokoly, ktoré kontroluje IT oddelenie, aby v prípade problémov neboli zamestnanci osobne zodpovední za stratu informácií.

Artyom Sinitsyn Riaditeľ programov informačnej bezpečnosti v strednej a východnej Európe, Microsoft.

4. Zastaraný softvér a nedostatok aktualizácií

situácia: zamestnanec dostane oznámenie o vydaní novej verzie softvéru, ale neustále odkladá aktualizáciu systému a pracuje na starej, pretože nie je „čas“a „veľa práce“.

Nové verzie softvéru nie sú len opravy chýb a krásne rozhrania. Je to tiež prispôsobenie systému na vzniknuté hrozby, ako aj prekrývanie kanálov úniku informácií. Flexera uvádza, že je možné znížiť zraniteľnosť systému o 86 % jednoduchou inštaláciou najnovších aktualizácií softvéru.

Kyberzločinci pravidelne nachádzajú sofistikovanejšie spôsoby, ako sa nabúrať do systémov iných ľudí. Napríklad v roku 2020 sa umelá inteligencia využíva na kybernetické útoky a rastie počet hacknutí cloudových úložísk. Nie je možné poskytnúť ochranu pred rizikom, ktoré neexistovalo pri ukončení programu. Jedinou šancou na zlepšenie bezpečnosti je preto neustále pracovať s najnovšou verziou.

Podobná situácia je aj s nelicencovaným softvérom. V takomto softvéri môže chýbať dôležitá časť funkcií a nikto nezodpovedá za jeho správne fungovanie. Je oveľa jednoduchšie zaplatiť za licencovaný a podporovaný softvér, ako riskovať kritické firemné informácie a ohroziť chod celej spoločnosti.

5. Používanie verejných Wi-Fi sietí na prácu

situácia: zamestnanec pracuje s notebookom v kaviarni alebo na letisku. Pripája sa k verejnej sieti.

Ak vaši zamestnanci pracujú na diaľku, informujte ich o nebezpečenstvách verejných Wi-Fi. Samotná sieť môže byť falošná, cez ktorú podvodníci kradnú dáta z počítačov pri pokuse o pripojenie. Ale aj keď je sieť skutočná, môžu nastať ďalšie problémy.

Andrey Beshkov Vedúci obchodného rozvoja v Softline.

V dôsledku takéhoto útoku môžu byť odcudzené dôležité informácie, prihlasovacie údaje a heslá. Podvodníci môžu začať posielať správy vo vašom mene a kompromitovať vašu spoločnosť. Pripojte sa iba k dôveryhodným sieťam a nepracujte s dôvernými informáciami cez verejné Wi-Fi.

6. Kopírovanie dôležitých informácií do verejných služieb

situácia: zamestnanec dostane list od zahraničného kolegu. Aby všetko presne pochopil, skopíruje list prekladateľovi v prehliadači. List obsahuje dôverné informácie.

Veľké spoločnosti vyvíjajú svoje vlastné podnikové textové editory a prekladače a inštruujú zamestnancov, aby používali iba ich. Dôvod je jednoduchý: verejné online služby majú svoje pravidlá na ukladanie a spracovanie informácií. Nezodpovedajú za súkromie vašich údajov a môžu ich preniesť na tretie strany.

Do verejných zdrojov by ste nemali nahrávať dôležité dokumenty alebo fragmenty firemnej korešpondencie. To platí aj pre služby testovania gramotnosti. Už teraz sa vyskytujú prípady úniku informácií cez tieto zdroje. Nie je potrebné vytvárať vlastný softvér, stačí nainštalovať spoľahlivé programy na pracovné počítače a vysvetliť zamestnancom, prečo je dôležité používať len ich.

7. Ignorovanie viacfaktorovej autentifikácie

situácia: systém vyzve zamestnanca, aby priradil heslo k zariadeniu a odtlačku prsta. Zamestnanec tento krok preskočí a použije iba heslo.

Ak vaši zamestnanci neukladajú heslá na nálepku nalepenú na monitore, je to skvelé. Nie však natoľko, aby sa eliminovalo riziko straty. Balíky "heslo - prihlásenie" nestačia na spoľahlivú ochranu, najmä ak je použité slabé alebo nedostatočne dlhé heslo. Podľa Microsoftu, ak sa jeden účet dostane do rúk kyberzločincom, tak v 30 % prípadov potrebujú asi desať pokusov na uhádnutie hesla pre iné ľudské účty.

Použite viacfaktorové overenie, ktoré pridáva ďalšie kontroly k páru prihlasovacie meno / heslo. Napríklad odtlačok prsta, Face ID alebo prídavné zariadenie, ktoré potvrdí prihlásenie. Viacfaktorová autentifikácia chráni pred 99 % útokov zameraných na krádež údajov alebo použitie vášho zariadenia na ťažbu.

Artyom Sinitsyn Riaditeľ programov informačnej bezpečnosti v strednej a východnej Európe, Microsoft.

Ak chcete chrániť svoju firmu pred modernými kybernetickými útokmi vrátane phishingu, hackingu účtov a napadnutia e-mailom, musíte si vybrať spoľahlivé služby spolupráce. Technológie a mechanizmy na efektívnu ochranu musia byť do produktu integrované od začiatku, aby sa dal používať čo najpohodlnejšie, bez kompromisov v otázkach digitálnej bezpečnosti.

To je dôvod, prečo Microsoft 365 obsahuje celý rad inteligentných bezpečnostných funkcií. Ide napríklad o ochranu účtov a prihlasovacích postupov pred kompromitáciou pomocou vstavaného modelu hodnotenia rizík, viacfaktorovú autentifikáciu, na ktorú si nemusíte kupovať ďalšie licencie, alebo autentifikáciu bez hesla. Služba poskytuje dynamickú kontrolu prístupu s hodnotením rizika a so zohľadnením širokého spektra podmienok. Microsoft 365 obsahuje aj vstavanú automatizáciu a analýzu údajov a tiež vám umožňuje ovládať zariadenia a chrániť údaje pred únikom.