Służbowy laptop do prywatnych celów – jak zadbać o cyberbezpieczeństwo firmy?

Sprawdzę tylko, ile lajków zebrał mój nowy post. Szybciutko zamówię jedzenie z dowozem albo skorzystam z promocyjnej oferty na produkt, który obserwuję. Odpiszę na prywatnego maila. Obejrzę ten śmieszny filmik z kotkiem. Akurat mam pod ręką służbowego laptopa lub smartfon, ale to nie szkodzi – przecież to tylko moment, prawda? Tak właśnie myśli 66% polskich pracowników – bo tyle osób przyznaje się do wykorzystywania służbowego sprzętu w celach prywatnych, a odsetek ten może być jeszcze większy – wynika z najnowszego raportu ESET i DAGMA Bezpieczeństwo IT „Cyberportret polskiego biznesu” Istnieje także odwrotna tendencja – załatwianie spraw firmowych za pomocą własnego laptopa czy smartfona. Takie postępowanie to doskonała okazja dla cyberprzestępców, czyhających na nasze pieniądze i dane.

— W naszym badaniu co czwarty pracownik przyznał, że zasady dotyczące cyberbezpieczeństwa utrudniają mu pracę, a co piąty uznał, że są one po prostu bez sensu. Możemy więc z dużym prawdopodobieństwem założyć, że potencjalnie co piąty pracownik będzie próbował łamać lub obchodzić firmowe zasady. Oznacza to, że każdy taki pracownik jest potencjalnie wewnętrznym zagrożeniem dla organizacji! – alarmuje Paweł Jurek, Business Development Director w DAGMA Bezpieczeństwo IT.

Sprawdź, na co narażona jest twoja firma w konsekwencji zaniedbań pracowników dotyczących cyberbezpieczeństwa i dowiedz się, jak przeciwdziałać atakom.

Biznes na celowniku cyberprzestępców

W ostatnim roku aż 39% firm zauważyło wzrost liczby cyberataków. Co piąty polski pracownik deklaruje, że doświadczył próby takiego ataku w miejscu pracy. Cyberprzestępców jest z roku na rok więcej. Dysponują oni coraz większą liczbą narzędzi, których głównym celem jest wykradzenie danych i pieniędzy.

Motywy działania cyberprzestępców są różne, ale ich cechą wspólną jest to, że pragną osiągnąć jakąś korzyść kosztem zaatakowanego podmiotu i ze szkodą dla niego. Czasami będzie to fałszywy mail, w którym przestępca podmieni konto do dokonania przelewu za realną fakturę. Innym razem po kliknięciu podejrzany link zainstalujemy na naszym urządzeniu oprogramowanie sczytujące hasła z odwiedzanych stron lub monitorujące naszą aktywność i przeglądające zawartość laptopa czy smartfona w poszukiwaniu kompromitujących treści, mogących następnie posłużyć do szantażu. W przypadku firm atak może mieć także na celu wykradzenie budowanej przez całe lata bazy danych lub pilnie strzeżonego know-how albo zatrzymanie produkcji i spowodowanie kosztownych przestojów.

Takie scenariusze kojarzą nam się raczej z korporacjami, które obracają ogromnymi kwotami. W rzeczywistości jednak na atak narażeni są wszyscy – również przedsiębiorstwa z sektora MŚP, a nawet jednoosobowe działalności gospodarcze. Przestępca kieruje się chłodną logiką – poziom zabezpieczeń w mniejszych firmach jest najczęściej słabszy, co daje większą szansę na przeprowadzenie skutecznego ataku.

— Dla zachowania bezpieczeństwa kluczowe jest rozumienie różnic pomiędzy zagrożeniami w świecie rzeczywistym i wirtualnym. Niezbędna jest edukacja pracowników w zakresie tych właśnie różnic, mechanizmów ataków oraz zasad bezpieczeństwa. Jak pokazuje raport „Cyberportret polskiego biznesu” wydaje się, że szczególnie nie najlepiej jest w zakresie rozumienia przez pracowników mechanizmów ataków oraz tego, w jaki sposób działają cyberprzestępcy. Niestety, ale bez należytej wiedzy i cyberhigieny będziemy wobec nich bezradni. Warto pamiętać, że nawet najlepsze procedury i zabezpieczenia technologiczne mogą okazać się zupełnie bezużyteczne, gdy zawiedzie człowiek – przypomina Anna Piechocka, Dyrektor zarządzająca DAGMA Bezpieczeństwo IT.

VOD i zakupy online na służbowym laptopie

Z danych ESET i DAGMA Bezpieczeństwo IT wynika, że aż 66% pracowników sięga po służbowy sprzęt do prywatnych celów. Najczęściej firmowy laptop czy smartfon służy do korzystania z prywatnych mediów społecznościowych, zakupów w sieci, korzystania z bankowości online, oglądania filmów i słuchania muzyki oraz wysyłania prywatnych maili. Jeszcze bardziej alarmujący jest fakt, że aż 65% pracowników podejmuje ryzykowne zachowania, takie jak ignorowanie powiadomień o potrzebie aktualizacji, posiadanie jednego hasła do wielu służbowych kont czy ich zapisywanie na komputerze.

— Należy również zwrócić uwagę na sytuację odwrotną – co drugi pracownik loguje się do firmowych systemów z prywatnego sprzętu. Taka praktyka jest o tyle niepokojąca, że urządzenia prywatne na ogół pozbawione są odpowiednich zabezpieczeń, takich jak ograniczenia uprawnień systemowych czy monitoring wszelkich podejrzanych zdarzeń i aktywności w systemie przez zespół ds. bezpieczeństwa. Wykorzystywanie prywatnego sprzętu do łączenia się z systemami i sieciami firmowymi może okazać się swoistą puszką Pandory dla organizacji, zwłaszcza gdy taki sprzęt użytkuje grono członków rodziny o zróżnicowanych stopniach świadomości zagrożeń internetowych – wyjaśnia Kamil Sadkowski, Analityk laboratorium antywirusowego ESET.

Praca zdalna i hybrydowa zwiększa niewątpliwie prawdopodobieństwo korzystania naprzemiennie z własnych i firmowych sprzętów do celów prywatnych i służbowych. Pracownicy lubią tę formę zatrudnienia i traktują ją jako benefit. Specjaliści chętniej decydują się na przyjęcie oferty firmy, która zapewnia taką możliwość.

Czy oglądanie filmu na służbowym laptopie albo logowanie się na firmową pocztę z prywatnego smartfona zawsze jest niebezpieczne? Niekoniecznie – wszystko zależy od tego, jak bardzo przedsiębiorstwo dba o cyberbezpieczeństwo danych, ale też od tego, jak dużą wagę przykłada do przeszkolenia pracowników w tym zakresie. Warto mieć na uwadze, że najczęściej furtką do ataku nie jest luka systemowa, ale człowiek, podejmujący ryzykowne zachowania. Dane nie pozostawiają złudzeń: ponad połowa pracowników nie przeszła żadnego szkolenia z zakresu cyberbezpieczeństwa w ciągu ostatnich 5 lat. 1/3 firm nie przeprowadza testów sprawdzających odporność organizacji w tym zakresie. Ponad 30% pracowników nie widzi realnych zagrożeń płynących z użytkowania sprzętu służbowego do prywatnych celów.

Inwestycje w cyberbezpieczeństwo – konieczność, nie opcja

Najbardziej oczywistą konsekwencją cyberataku jest utrata środków pieniężnych – i tego też boimy się najbardziej. Jednak poza stratami finansowymi, przedsiębiorstwo może stanąć przed koniecznością borykania się z mnóstwem innych problemów, stanowiących efekt działalności hakerów. Po krachu wizerunkowym trudno się podnieść i odzyskać utracone zaufanie kontrahentów. W efekcie jeden bezmyślnie kliknięty link może stać się przyczyną upadku całej firmy. Zamiast trwać w strachu i niepewności, lepiej inwestować w edukację pracowników oraz w sprawdzone rozwiązania techniczne, w tym oprogramowanie zabezpieczające

— Branża cyberbezpieczeństwa oferuje obecnie wachlarz różnego rodzaju narzędzi, eliminujących szereg ryzyk oraz zwiększających bezpieczeństwo firm i pracowników. Dane pokazują jednak, że tylko co trzecia firma deklaruje wykorzystywanie dwuskładnikowego uwierzytelniania – to katastrofalny wynik. Podobnie, jedynie co trzecia firma deklaruje wykorzystywanie systemów monitorowania, takich jak EDR, MDR, XDR, umożliwiających wykrywanie i zapobieganie podejrzanym zdarzeniom na urządzeniach firmowych. Takie systemy, w kontekście dynamicznie rozwijającego się krajobrazu cyberzagrożeń, powinny stanowić fundament wielowarstwowej ochrony organizacji, dając możliwość szybkiego wykrywania i reagowania na wszelką złośliwą aktywność, odnotowywaną w sieciach firmowych – tłumaczy Kamil Sadkowski.

Raport „Cyberportret polskiego biznesu. Bezpieczeństwo cyfrowe oczami pracowników i ekspertów” jest owocem współpracy specjalistów z ESET i DAGMA. Jego celem jest zebranie informacji o cyberzagrożeniach, na jakie narażone są polskie firmy, zaprezentowanie postaw właścicieli, kadry zarządzającej i pracowników, jak również wskazanie kluczowych obszarów, których poprawa zwiększy odporność przedsiębiorstw na ataki.

Pobierz pełną treść raportu.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Bądź na bieżąco! Obserwuj nas w Wiadomościach Google.

Źródło