Menadżer na celowniku cybeprzestępców

40

Liderzy i menadżerowie nierzadko dopuszczają się niebezpiecznych zachowań i czterokrotnie częściej padają ofiarą phishingu w porównaniu do pracowników na niższych stanowiskach.

Wedle raportu dot. cyberbezpieczeństwa, przedstawionego przez firmę Ivanti, 97 proc. ankietowanych specjalistów zadeklarowało, że organizacje, na rzecz których działają, są przygotowane do obrony przed cyberatakami, a jednocześnie aż 20 proc. z nich uznaje, że i tak nie byliby w stanie im zapobiec.

Złapać menadżera

Stosunkowo niedawno, w tekście Pracownik jako wektor ataku pisaliśmy o tym, że nikt nie jest też w stanie kontrolować każdego pracownika w każdej minucie jego pracy i że przynajmniej 60 minut dziennie to czas możliwy do zagospodarowania przez hakerów.

Okazuje się, że zagrożeniem objęci są również liderzy, którzy dopuszczają się niebezpiecznych zachowań i czterokrotnie częściej padają ofiarą phishingu w porównaniu do pracowników na niższych stanowiskach.

– Fałszywe wiadomości e-mail oraz sms, czyli ataki phishingowe, to wciąż najpopularniejsza forma ataku, a nasi pracownicy, choć żaden się nie przyzna, łapią się na nie jak rybki na wędkę – mówiła Patrycja Hładoń, audytorka i researcherka współpracująca z ramienia Informatics Sp. z o.o. z Projektem MDS.

Autorzy nowego raportu wykazali, że:

  • więcej niż jednemu na trzech ankietowanych liderów zdarzyło się kliknąć w link phishingowy,
  • niemal jeden na czterech używa w swoich hasłach łatwych do zapamiętania dat urodzin,
  • znacznie bardziej prawdopodobne jest, że będą przez długi czas korzystać z niezmienionych haseł,
  • pięć razy częściej udostępniają swoje hasła osobom spoza firmy.

Większa ryba

– Cyberprzestępcy preferują jako cele swoich ataków osoby posiadające większe uprawnienia, dające dostęp do większej ilości newralgicznych zasobów firmy. Kadra kierownicza jest w większym stopniu świadoma istnienia cyberzagrożeń, lecz jednocześnie wobec natłoku codziennej komunikacji, dotyczącej nierzadko spraw poufnych, pozostaje bardziej narażona na próby oszustwa, zwłaszcza ze względu na brak czasu i niezachowanie należytej staranności – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w ESET.

Co więcej, daje się zauważyć, że atakujący podejmują próby wyłudzenia danych od osób na wyższych stanowiskach w strukturze firmy, profilując przy tym przekaz w taki sposób, aby był on bardziej wiarygodny.

Badania wykazały, że żaden pracownik, niezależnie od pozycji w hierarchii firmowej, nie może czuć się bezpieczny. Cyberprzestępcy, aby znaleźć drogę dostępu do firmowego systemu, atakują także osoby z ograniczonym dostępem, których pozyskanie może stać się pierwszym krokiem do cyberataku o szerokim zakresie. 

– Zaatakowany pracownik z ograniczonym dostępem może być przez cyberprzestępców łatwo przekształcony w prawdziwego konia trojańskiego, umożliwiającego infekowanie kolejnych punktów i osób w ramach firmowej sieci oraz stopniowe pokonywanie kolejnych barier dostępu. Tym samym warto mieć świadomość, że również pracownicy bez znaczących uprawnień do systemu informatycznego mogą stanowić atrakcyjne cele dla cyberprzestępców, gdyż mogą zostać potraktowani jako wytrych do położonych głębiej zasobów. Zagrożenie z ich udziałem może być też odłożone w czasie a wiąże się z możliwością poszerzenia w przyszłości przyznanych im uprawnień dostępowych – dodaje Aleksander Kostuch, inżynier Stormshield. – Phishing, dominujący wektor ataków, jest stosunkowo łatwy do przeprowadzenia i umożliwia jednoczesne atakowanie dużej liczby pracowników. Statystyka przemawia na korzyść przestępców, bowiem prędzej czy później taka pułapka okaże się skuteczna – dodaje.

Szkolenia to nie wszystko

Ważne jest wobec tego nie tylko odpowiednie szkolenie pracowników, ale też stosowani odpowiednich zabezpieczeń takich jak menedżer haseł, czy uwierzytelnianie wieloskładnikowe. Nie można też zapominać o podnoszeniu świadomości i wiedzy swoich kadr, niezależnie od szczebli jakie zajmują w hierarchii.

Przypomnijmy też, że ludzie niezmiennie stanowią główny czynnik ryzyka i najczęstszy cel ataków hakerskich, pozostając jednym z najsłabszych ogniw systemu bezpieczeństwa. Z testów praktycznych wynika, że pracownikom firm telekomunikacyjnych zdarza się nawet rozpoznać atak i… przekazać go dalej w formie żartu.

Badanie Ivanti przeprowadzono z udziałem 6500 kierowników, specjalistów ds. cyberbezpieczeństwa i pracowników biurowych.