Trudno zaakceptować fakt, że w kontekście cyberbezpieczeństwa każda firma może okazać się słoniem na glinianych nogach. Wystarczy, że pracownik kliknie w niewłaściwy link, skusi go nieodpowiednia strona internetowa lub przestraszy się zawiadomienia, które otrzymał mailem.
Współcześnie właściwie każdego dnia pracownicy firm telekomunikacyjnych niebezpiecznie poruszają się pomiędzy potencjalnością wystąpienia incydentu bezpieczeństwa a faktycznym naruszeniem.
Będziesz zaatakowany
– Musimy pogodzić się z tym, że prowadzimy działalność w czasach, w których pytanie nie brzmi: Czy będziemy zaatakowani? ale Kiedy to się stanie? – ocenia sytuację Marcin Zemła, pełnomocnik bezpieczeństwa z ramienia Projektu MDS w Grupie MiŚOT. – Mali i średni operatorzy telekomunikacyjni powinni pamiętać, że ich pracownicy są najsłabszym ogniwem systemu bezpieczeństwa. Większość cyberataków rozpoczyna się od człowieka. Dokładnie zaś od popełnionego przez niego błędu wynikającego z emocji, takich jak strach czy zbytnia pewność siebie.
W praktyce zaś żaden pracodawca nie może czuć się bezpieczny wobec plagi XXI wieku – pandemii pracowników z fantazją do klikania.
– Jeśli pracodawcy branży telekomunikacyjnej zakładają, że ich pracownicy wyróżniają się pod tym względem na rynku, to są w błędzie – dodaje Patrycja Hładoń, audytorka i researcherka współpracująca z ramienia Informatics Sp. z o.o. z Projektem MDS. – Ku zaskoczeniu pracodawców w trakcie audytów bezpieczeństwa widać, że pracownicy lokalnych firm telekomunikacyjnych są takimi samymi ludźmi jak inni. Świetnie przygotowani merytorycznie, pewni tego, co robią, ulegają jednak takim samym emocjom jak każdy inny człowiek. Wielu ma zaś przekonanie, że temat cyberataków ich nie dotyczy, jakby sam fakt, że pracują w branży telekomunikacyjnej, chronił przed cyberprzestępczością.
Okno ataku
Nikt nie jest też w stanie kontrolować każdego pracownika w każdej minucie jego pracy. Badania rynkowe dowodzą ponadto, że siedem godzin efektywnej pracy pracownika w trakcie ośmiogodzinnej dniówki to już bardzo dużo.
Przynajmniej 60 minut wolnego czasu pracownika do czas możliwy do zagospodarowania przez hakerów.
– Fałszywe wiadomości e-mail oraz sms, czyli ataki phishingowe, to wciąż najpopularniejsza forma ataku, a nasi pracownicy, choć żaden się nie przyzna, łapią się na nie jak rybki na wędkę – mówi Patrycja Hładoń.
Co więcej – w przeciwieństwie do innych branż – zdarza się, że pracownicy firm telekomunikacyjnych rozpoznają atak i… przekazują go dalej w formie żartu.
Dodajmy do tego często połączony z phishingiem atak ransomware, kuszący atrakcyjnymi ofertami cenowymi pharming (cyberprzestępcy najczęściej fałszują strony platform sprzedażowych, np. OLX) oraz budzący strach i potrzebę wsparcia spoofing telefoniczny i nieszczęście gotowe.
Nie ufaj – szkol
– Lokalni operatorzy telekomunikacyjni mają ogromne zaufanie do swoich pracowników – zauważa Marcin Zemła. – Jak inaczej wytłumaczyć, że są to pracownicy najrzadziej szkoleni z zakresu bezpieczeństwa i kontrolowani pod względem jakości pracy w kontekście bezpieczeństwa? Pracownicy, od których nie wymaga się sformalizowanych procedur, a tylko stosuje się dobre praktyki.
– Tłumaczenie się dobrymi praktykami zamiast efektywnymi procedurami i dokumentami zdaje egzamin do czasu, kiedy zagrożenie się ucieleśni – stwierdza Patrycja Hładoń. – Wówczas pracownik przypomina sobie, że nigdy nie był przeszkolony ani zapoznany z procedurami bezpieczeństwa, zatem nie mógł się wystrzec błędu. Wszystko zatem, co zaszło, jest winą pracodawcy i on za to odpowiada.
W konsekwencji pracodawca nie może przenieść odpowiedzialności finansowej na pracownika, który nie wiedział jak ma reagować na cyberzagrożenie.
Mając na uwadze powyższe, najrozsądniejszym rozwiązaniem wydaje się zastosowanie profilaktyki, którą – jak widać po badaniach – będzie można również dobrze sprzedać, chwaląc się wdrożonymi procedurami bezpieczeństwa i ugruntowując w ten sposób markę firmy na lokalnym rynku jako podmiotu pewnego i bezpiecznego, zatrudniającego pewnych i solidnych pracowników.
Przypomnijmy też, że Grupa MiŚOT już dawno podjęła temat bezpieczeństwa i za pośrednictwem Spółki Projekt MDS służy wsparciem w tym zakresie.
Czytaj także: