Zamestnanci môžu firmu ohroziť úmyselne ale aj neúmyselne

Veľké firmy v prieskume, ktorý organizovala spoločnosť ESET, označili zlé bezpečnostné správanie zamestnancov ako jednu z najväčších bezpečnostných výziev. Paradoxné je, že firmy si uvedomujú, že zvyšovanie bezpečnostného povedomia vlastných zamestnancov zvyšuje ich vlastné zabezpečenie, neinvestujú doň však dostatočné zdroje.

Čo sa týka zvýšenia fyzickej bezpečnosti vo firme, zamestnanec musí pri nástupe do práce absolvovať povinné školenia bezpečnosť a ochrana zdravia pri práci (BOZP) a ochrana pred požiarmi (OPP). V súčasnosti však vie firmu odstaviť nie len požiar, ale aj úspešný kybernetický útok alebo nahnevaný zamestnanec. Je teda v záujme zamestnávateľov, aby zamestnancom zvyšovali ich povedomie zodpovedného správania sa na internete či už cez školenia alebo cez e-learning.


Nad smernicami by malo byť vzdelávanie

Vo firme by mali platiť isté zásady vhodného správania sa aj pri využívaní internetu. Napríklad, čo nesťahovať, na čo neklikať, s kým konzultovať podozrivé e-maily a čo spraviť, ak má zamestnanec pocit, že sa už stalo niečo zlé. Všetky tieto informácie môže firma pretaviť do interných predpisov. Takýmto spôsobom sa dá zabezpečiť aj to, že firma môže istým spôsobom postihnúť zamestnanca, ktorý opakovane tieto bezpečnostné smernice porušuje.

Smernice by však mali ísť ruka v ruke s interným vzdelávaním. „Dať zamestnancovi pri nástupe 250 smerníc na prečítanie nie je cesta. Až 99,9 percenta zamestnancov si ich totiž nikdy neprečíta. Je preto dobré robiť proaktívne vzdelávanie a potom si aj vyskúšať, čo sa zamestnanci naučili,“ opisuje vhodný spôsob zvyšovania bezpečnostného povedomia Michal Jankech, hlavný produktový manažér spoločnosti ESET.

„Máme medzi našimi zákazníkmi aj firmy, ktoré do vzdelávania investujú veľmi veľa. Kde každý zamestnanec vie, čo má robiť, ak sa niečo stane. Ak napríklad nájde na chodbe pohodený USB kľúčik, citlivé dokumenty položené na tlačiarni a podobne. To určite výrazne dopomáha k celkovému zabezpečeniu firmy,“ vysvetľuje Jankech.
 

Vyhodnotiť podozrivý e-mail môže byť ťažké

Pri bezpečnostnom vzdelávaní a vytváraní smerníc si samozrejme treba uvedomiť, že nebezpečné správanie zamestnancov sa delí na neúmyselné a úmyselné. Neúmyselné spočíva v tom, že napríklad nevie sám vyhodnotiť podozrivý e-mail alebo nevie, ako vyzerá podozrivý link. Zároveň platí aj to, že útočníci sú často sofistikovaní a vedia spraviť škodlivý e-mail tak, aby vyzeral veľmi dôveryhodne s tým, že bude obsahovať link na falošnú stránku banky alebo firmy, v ktorej daný zamestnanec pracuje. Pri takejto správe si treba všímať linky, validáciu, certifikáty a toto samozrejme bežný zamestnanec bez zaškolenia robiť nebude.

Neúmyselné zlé bezpečnostné správanie zamestnancov sa ďalej delí na neúmyselné škodlivé a neúmyselné neškodlivé. O neškodlivé môže ísť napríklad v prípade, ak sa zamestnanec rozhodne využiť internet na osobné účely. Napríklad si legálne kúpi film a stiahne si ho na firemnej sieti.


Za kradnuté torrenty je právne zodpovedná firma

O niečo úplne iné však ide v prípade, ak takto sťahuje kradnuté filmy alebo hudbu. Firma môže dostať žalobu alebo celkom tučnú pokutu od majiteľa práv na tento obsah. Právne je totiž zodpovedný ten, s kým má poskytovateľ internetového pripojenia podpísanú zmluvu, teda firma, ktorej zamestnanec sťahoval nelegálny obsah.

Niektoré firmy majú vo svojich pracovných zmluvách napríklad zakotvené, že sa táto zodpovednosť presúva na zamestnancov. „U nás na Slovensku to takýmto spôsobom ešte vôbec nefunguje. Ak napríklad sťahujete torrenty cez internet vašej firmy tak vy firmu robíte zodpovednou. Na západe existujú firmy, ktoré to potom pre dotknuté organizácie vymáhajú a ich tržby nie sú malé. Toto môže prísť časom aj na Slovensko. Problémom je to, že ak používate na sťahovanie službu peer to peer, tak vy po prvé niečo sťahujete a po druhé to zároveň pomáhate distribuovať ďalej. Je to princíp peer to peer služieb. A distribúcia kradnutého obsahu je z právneho hľadiska ešte horšia,“ opisuje dôsledky Jankech.



 

Urazený zamestnanec môže firme uškodiť

Úmyselné škodlivé správanie zamestnanca je o tom, že človek chce firme reálne uškodiť. Napríklad keď sa so zamestnávateľom rozchádza v zlom, skopíruje si zákaznícku databázu a vynesie ju von. Alebo firmu úmyselne infikuje, prípadne jej poškodí dáta.

Lepšie bezpečnostné správanie zamestnancov sa dá okrem školení a smerníc vynútiť aj technologicky. Je to napríklad ochrana firmy pred tým, aby jej záškodný zamestnanec ublížil. Alebo aby jej dáta vyniesol tak, že by z toho firme plynula pokuta z porušenia nariadenia GDPR.

Cez bezpečnostný softvér spoločnosti ESET totiž dokáže firma napríklad blokovať vynášanie dát z firmy pomocou prenosných médií. Firma si napríklad nastaví, že z firemných zariadení budú môcť dáta kopírovať na USB kľúče konkrétni ľudia, alebo to bude možné len cez konkrétne USB kľúče, ktorých obsah musí byť napríklad šifrovaný riešením ESET Endpoint Encryption. Firma zároveň môže cez ESET Endpoint Security blokovať prístup na špecifické typy webstránok. Môže ísť o webstránky, na ktoré by mohli zamestnanci nahrávať firemné údaje, alebo o celkovo webstránky s nízkou reputáciou, ktorých obsah by mohol firmu infikovať.

Samostatnou pomôckou je ESET Enterprise Inspector, ktorý dokáže hľadať znaky úmyselného škodlivého správania zamestnancov. Údaje zo všetkých týchto riešení sú pre IT administrátorov v prehľadnej forme k dispozícii v ESET Security Management Centre (ESMC). Zamestnanci starajúci sa o kybernetické zabezpečenie firmy majú tak nielen vhodný prehľad o tom, čo sa vo firemnej sieti reálne deje, cez ESMC majú zároveň k dispozícii riešenie bezpečnostných incidentov na jeden klik.

ESET Security Management Center je k dispozícii bezplatne k firemným riešeniam spoločnosti ESET.
 

Odborné články priamo do vašej e-mailovej schránky
Odoberať

Viac článkov k téme: