Achillova päta
PETER DEKÝŠ, CISA, CISM, ČLÁNOK UVEREJNENÝ V ČASOPISE FORBES, SEPTEMBER 2013
“ahoj drahý...Mám nahrané niektoré súbory pre vaše prezeranie... nasledovat tento odkaz zobrazíte kliknutím sem. vdaka”, hovorí e-mail zasielaný do mojej schránky. Slabá gramatika autora a webová linka ukazuje na nedôveryhodné miesto. Je to lacný phishing, na ktorý netreba reagovať. Verím, že tak nereagujú aj ďalší. Žiaľ z práve ukončeného zákazníckeho auditu dostávam trpký sumár: “Dve z dvoch podvodných žiadostí testerov o prístup ku kontám zákazníkov na predajnom portáli boli vybavené kladne. Testeri získali prístup k aktívnym účtom zákazníkov. Deviati z desiatich zamestnancov spustili aplikáciu zaslanú v e-maile a umožnili testerovi vzdialený prístup na svoj počítač. So získaným prístupom útočník skopíruje dokumenty uložené na počítači, získa prístup k dostupným údajom na sieťových úložiskách, ... . 19 z 20 zamestnancov, ktorým bol zaslaný phishingový e-mail, kliklo na podhodenú linku. Neopatrné kliknutie na linku v e-maile môže otvoriť komunikačný kanál do internej siete, útočník môže pracovnú stanicu infikovať, prevziať nad ňou kontrolu, … .”
Ako sa vysporiadať so zlými výsledkami? Na začiatok najlepšie pomôžu výsledky testovania z vlastného prostredia a zlepšenie povedomia o hrozbách a dôsledkoch nesprávneho konania. Výsledky z testovania sú dlhodobou témou firemných kávičiek, ak sa rozhodnete ich interne prezentovať zamestnancom. Pri budovaní povedomia je dobré poučiť zamestnancov o nástrahách v internete, pri práci s e-mailami alebo webmi, ale aj pri používaní smartfónov a o tom ako sa správať zodpovedne. Je dobré nezabudnúť aj na sociálne siete či domáce počítače, z ktorých sa pristupuje k firemným e-mailom alebo aplikáciám.
Ak vás napadá otázka, či správanie zamestnancov môže byť Achillova päta vášho podnikania, potom zvážte, ako chránite zákaznícke osobné údaje, dáta o vašom podnikaní, či dobré meno firmy. Premyslite si, či ste si ich ochranu niekedy preverili a koľko vás môže stáť ich zverejnenie alebo poškodenie.
Peter Dekýš, CISA, CISM
autor pracuje ako konzultant bezpečnosti IS a riaditeľ ESET Services, spoločnosti ESET, spol. s r.o.
Súvisiace články:
Súvisiace služby: