Kaj pa človeški požarni zid?
Kibernetska varnost je bila izziv še pred epidemijo covida 19, ki je milijone zaposlenih po svetu poslala domov, kjer delajo na svojih računalnikih in tablicah ter prek domačih brezžičnih omrežij. Kaj pa zdaj?
Uvajanje dela na daljavo in dela od doma, ki so ga podjetja morala uresničiti skoraj čez noč, je še poudarilo pomen razmišljanja o vseprisotni kibernetski varnosti. Pričakovati je bilo, da bodo udarili tudi kiberkriminalci. Ti se niso izneverili, velike pretrese v politiki, gospodarstvu ali estradi znajo vedno obrniti sebi v prid in nič hudega sluteče žrtve speljati na limanice. Že več kot pol leta tako izkoriščajo vse povezano z virusno pandemijo za namene, da žrtve pripravijo do obiska prevarantskih spletnih strani in trgovin, jim ukradejo podatke, denar, identiteto itd.
Vsa tehnologija in varnostne rešitve na svetu preprosto niso dovolj za popolno zaščito posameznika, niti podjetij in organizacij, če njihovi zaposleni niso v celoti usposobljeni za vzdrževanje »kibernetske higiene« in dobrih varnostnih praks. To pa se nanaša na vse zaposlene in ne zgolj tiste na oddelkih informatike.
Malomarnost lahko drago stane
Poročilo inštituta Ponemon ugotavlja, da malomarnost zaposlenih predstavlja kar 62 odstotkov varnostnih incidentov, povezanih z notranjimi informacijami. Zaposleni nevede povzročijo škodo ali omogočijo nepooblaščen dostop – najpogosteje s klikom na povezavo do zlonamerne strani ali datoteke, z neupoštevanjem pravil in postopkov ali zgolj malomarnostjo. Še huje: večina jih meni, da ni naredila nič narobe. Toda takšna nevednost lahko podjetja drago stane. Sicer omenjena ameriška študija ugotavlja, da stroški tovrstnih incidentov posamezno veliko podjetje stanejo več kot štiri milijone in pol dolarjev letno.
Domače navade (in naprave) so še slabše
Prehod na delo na daljavo, ki ga zahteva virusna pandemija, je povzročil spremembe v načinu, kako in kje delamo. V ZDA sta skoraj dve tretjini podjetij polovico ali več zaposlenih preselili na režim dela od doma oziroma dela na daljavo. Verjetno bi podobna raziskava na evropskih tleh ugotovila, da se je delež dela od doma podobno povečal v vseh razvitih državah. Sprememba bo najverjetneje več kot le začasna. Skoraj tretjina anketiranih organizacij, kjer so zaposleni delali na daljavo, pričakuje, da bo polovica ali več zaposlenih po pandemiji še naprej delala od doma.
Delo na daljavo pa prinaša dodatne logistične in varnostne izzive. V času pred virusno pandemijo je ideja o selitvi vse delovne sile iz varnih IT-okolij podjetij v domača omrežja z zelo malo ali nič kibernetske varnosti naletela na gluha ušesa. Ali pa vsaj na dolgoročno načrtovanje in priprave. Toda to letos ni bilo mogoče. Tretjina vprašanih, ki so sodelovali v raziskavi Securing Remote Work Survey podjetja Fortinet, je kot najzahtevnejši vidik prehoda na delo na daljavo označila postavitev in upravljanje varne povezave.
Informatiki so »požar« gasili, kakor so vedeli in znali. Nekje je šlo lažje, drugje težje, korelacija med tehnično in računalniško pismenostjo posameznikov je bila očitna. Podjetja so okrepila rabo omrežij VPN za zagotovitev varnih povezav »vojske« zaposlenih, ki so delali na daljavo, marsikje pa je oddelek IT kaj hitro ugotovil, da njihove omrežne naprave niso kos upravljanju močno povečanega obsega povezav VPN. Podjetja, ki so se podvizala, so lahko še pravočasno naročila in nadgradila ključne omrežne komponente, druga pa so morala zamižati na eno oko ali obe očesi. Tudi na račun kibernetske varnosti, kar nikakor ni spodbudno. Številne povezave zaradi tega niso bile varne. Tudi če so bile povezave šifrirane, obstoječi požarni zidovi niso mogli pregledati vseh povezav VPN in zagotoviti, da se ne uporabljajo za dostavo zlonamerne programske opreme – vsaj ne brez bistvenega upočasnjevanja povezav.
Poleg tega so bila številna domača omrežja po svetu (poleg VPN) preobremenjena z zahtevami po pasovni širini poslovnih aplikacij in telekomunikacij (videokonference). Rešitev je bila v krnitvi uporabniške izkušnje in drugih kompromisih. Pogosto na račun varnosti. Naprave končnih uporabnikov – mnogi zaposleni so začeli delati od doma z lastnimi osebnimi računalniki in tablicami – so bile pogosto »varnostno nezakrpane« in nezavarovane, prav tako kot druge naprave, povezane v domače omrežje v gospodinjstvih. Na poslovne podatke je kar naenkrat prežalo bistveno več nevarnosti, stopnja tveganja pa je strmo (z)rasla.
Postavitev človeškega požarnega zidu
Ne glede na to, koliko denarja podjetja porabijo za zagotavljanje kibernetske in informacijske varnosti, bodo zaposleni, torej ljudje, vedno prva obrambna linija. In verjetnost, da »padejo«, bo največja. Ponemonova študija ugotavlja, da je sicer kar 92 odstotkov podjetij okrepilo naložbe v področje (za)varovanja dela na daljavo, a je bila večina naložb namenjenih strojni in programski opremi, medtem pa varnostni strokovnjaki poudarjajo pomen izobraževanja zaposlenih.
Ustvarjanje kulture informacijske varnosti je in bo bistvenega pomena. Vsak zaposleni ima svojo vlogo in odgovornost z vidika varnosti. Če zaposleni opazijo nekaj sumljivega, bi morali to takoj javiti – prav tako kot veleva obnašanje na letališču. A za kaj takega najprej potrebujejo usposabljanje, da bi sploh razumeli, kdaj je nekaj sumljivo. Vedeti morajo, komu naj poročajo o incidentih. Cilj podjetij vseh velikosti bi zato moral biti, da njihovi zaposleni razumejo, kako lahko prispevajo k učinkovitim strategijam kibernetske varnosti, ne pa samo upati, da bo osebje IT-oddelka poskrbelo za varnost in odpravilo morebitne težave. Usposabljanje s področja kibernetske higiene mora zato pristati na letnem urniku podjetja – podobno kot pikniki, možgansko viharjenje in/ali dogodki za poglabljanje ekipnega duha in sodelovanja.