Skaitydami apie didėjančią kibernetinio saugumo riziką, dažnai įsivaizduojame baisių įsilaužėlių komandą, pasislėpusią tamsus rūsys laukia puikios progos užpulti nekaltus internautus ir atplėšti iš jų pinigus. Tačiau realybė nėra tokia paprasta.
Jei ieškotume silpniausios kibernetinio saugumo grandies, mums nereikėtų ieškoti toliau nei savęs. Nesvarbu, ar tai privatus, ar profesinis domenas, mūsų apsaugos sistemos mažiau žlugs nei žmonės.
Kokios yra dažniausiai žmonių keliamos kibernetinio saugumo rizikos?
Technologijos egzistuoja tam, kad palengvintų gyvenimą. Tai gali padaryti kasdienes užduotis efektyvesnes ir sutaupyti laiko, pastangų ir energijos. Nesvarbu, ar naudojame jas asmeniniais ar profesiniais sumetimais, mes atliekame pagrindinį vaidmenį kurdami naujas technologijas ir paversdami jas mūsų visuomenės dalimi.
Daugeliu atvejų technologija yra nuspėjama, o žmonės yra linkę į chaosą. Nenuostabu, kad esame laikomi didžiausia grėsme bet kuriai kibernetinio saugumo sistemai.
Čia pateikiami dažniausiai pasitaikantys kibernetinio saugumo pavojai, kuriuos sukelia mūsų saugumo supratimo trūkumas ir prastos praktikos – jūs netgi galite būti padaryti kai kurias iš šių saugumo klaidų šiuo momentu...
Prasta slaptažodžių praktika
Užuot sukūrę unikalų slaptažodį kiekvienai mūsų naudojamai internetinei paslaugai, dauguma žmonių bando sutaupyti laiko nustatydami tą patį slaptažodį visose savo paskyrose. Taigi, net jei jie naudoja stiprų slaptažodį, kibernetiniams nusikaltėliams pavyks jį nulaužti, jie taip pat gaus prieigą prie visų savo paskyrų.
Jei profesionali paskyra būtų nulaužta, visi neskelbtini įmonės duomenys patektų į kibernetinių nusikaltėlių rankas, o įmonės reputacijai padaryta žala gali būti pražūtinga.
Kad išvengtumėte šio scenarijaus, nenaudokite to paties slaptažodį arba slaptafrazę kelioms paskyroms ir įsitikinkite, kad visi jūsų slaptažodžiai yra stiprūs. Galėtum pasinaudoti internetinius įrankius, kurie tikrina slaptažodžio stiprumą kad įsitikintumėte, jog esate saugioje pusėje.
Autentifikavimo vengimas
Priežastys, dėl kurių vengiama kelių faktorių autentifikavimo (MFA), yra panašios į prastos slaptažodžių praktikos priežastis – atrodo, kad žmonės mano, kad tai yra laiko švaistymas ir lėtina jų darbo eigą. Kuo greičiau jie galės pasiekti savo išteklius, tuo greičiau bus atliktas jų darbas; MFA jaučiasi kaip nereikalinga kliūtis.
Taip pat turėtume atkreipti dėmesį, kad nors žmonės, kurie naudojasi MFA, yra daug rečiau nulaužti, pats autentifikavimas nepadaro jų apsaugotų nuo sugadintos autentifikavimo spragos pvz., seansų užgrobimas, slaptažodžių išpurškimas ir sukčiavimo atakos.
Neteisinga saugos konfigūracija
Net pačios įmonės kibernetinio saugumo darbuotojai ir sistemų administratoriai nėra apsaugoti nuo žmogiškųjų klaidų. Pavyzdžiui, neatnaujinus saugos programinės įrangos arba pamiršus pakeisti numatytuosius įmonės serverių slaptažodžius, padidėja tikimybė, kad kibernetiniai nusikaltėliai ras būdą, kaip nulaužti sistemą.
Ir tada yra nepakankamas nuotolinės prieigos valdymas, netinkamas aparatinės įrangos valdymas, išjungta antivirusinė apsauga, neapsaugoti failai, kodavimo klaidos; ir sąrašas tęsiasi...
Dėl tokių klaidų atsiranda rimtų saugumo spragų, dėl kurių visos programos, duomenys ir pati įmonė tampa lengvu kibernetinių atakų ir duomenų pažeidimų taikiniu.
Neapsaugotų tinklų naudojimas
Naudoti nežinomus tinklus yra rizikinga, bet jei tai darote su įmonės įrenginiais, visa organizacija gali būti veikiama kibernetinių grėsmių. Jei viešose vietose, pavyzdžiui, kavinėse, autobusų stotyse ir oro uostuose, teikiamas nežinomas tinklas, rizika didėja.
Viešieji tinklai gali būti užkrėsti virusų ir kenkėjiškų programų, kurios gali patekti į jūsų įrenginį, kai bandote prisijungti prie el. pašto paskyros ar socialinės žiniasklaidos svetainių. Jei įsilaužėlis randa būdą, kaip atsidurti tarp jūsų ir ryšio taško, t. y. žmogaus viduryje (MitM) ataka, jie gaus prieigą prie jūsų prisijungimų ir visos kitos informacijos, kurią siunčiate ir gaunate prisijungęs. Kai jie tai padarys, jie galės patekti į jūsų sistemas tarsi jūs.
Fizinio saugumo klaidos
Nors daug bendrų duomenų pažeidimo priežasčių galima priskirti kibernetinėms atakoms, įmonėms taip pat gali kilti grėsmė fiziniam saugumui. Pavyzdžiui, jei pašalinis asmuo patenka į įmonės patalpas, jis gali pavogti konfidencialią informaciją, vartotojo kredencialus ar kitus neskelbtinus duomenis.
Nors tokio tipo saugos klaidos būna įvairių formų ir dydžių, dažniausiai pasitaiko slaptų dokumentų palikimas be priežiūros, paliekant neužrakintas duris ir įleidžiant į saugias patalpas nepažįstamus asmenis arba suteikiant jiems galimybę patekti į įmonę kompiuteriai.
Kaip kibernetiniai nusikaltėliai naudoja žmogiškąsias klaidas prieš jus?
Kadangi kibernetiniai nusikaltėliai pripažįsta, kad žmogiškasis faktorius yra lengvas taikinys, jie stengiasi jį kuo labiau išnaudoti. Pažymėtina, kad tai gali būti tapatybės vagystė, kai kibernetinis nusikaltėlis pavagia jūsų asmeninę informaciją, kad galėtų sukčiauti. Jie gali jį panaudoti norėdami gauti pinigų, kreiptis dėl kredito arba gauti medicinines paslaugas. Bet kokiu atveju asmens tapatybės dokumento vagystė gali ištuštinti jūsų banko sąskaitą ir tuo pačiu sugadinti jūsų reputaciją.
Panašiai užpuolikai gali panaudoti žmogiškąsias klaidas vykdydami išpirkos reikalaujančių programų atakas, kurios gali įvairiais būdais pakenkti asmeniui ar įmonei. Tačiau visada reikia užrakinti jus nuo įrenginio ar neskelbtinų duomenų ir reikalauti išpirkos už iššifravimo raktą. Kitų tipų kenkėjiškos programos taip pat vagia jūsų duomenis, perima jūsų įrenginių valdymą arba pradeda „kasti“ kriptovaliutą.
Tai dar ne viskas. Yra daug būdų, kaip įsilaužėliai gali panaudoti paprastą žmogišką klaidą prieš jus.
- Intelektinės nuosavybės (IP) vagystė: Tai taip paprasta, kaip nukopijuoti kažkieno idėją, produktą ar paslaugą neatliekant to darbo patiems. Jis populiarus, nes yra lengvas ir gali būti labai pelningas. IP vagystės aukomis gali tapti tiek asmenys, tiek įmonės.
- Įmonės šnipinėjimas: Vadinamasis pramoninis arba įmonių šnipinėjimas yra tas pats, kas politinis šnipinėjimas, tačiau jis daromas komerciniais, o ne nacionalinio saugumo tikslais. Šio tipo elektroniniuose nusikaltimuose nusikaltėliai nesitaiko į asmenis, nebent jie priklauso konkuruojančioms įmonėms. Juk pagrindinis tikslas yra atskleisti komercines paslaptis ir įgyti pranašumą prieš konkurentus.
- Sugriauna reputaciją: Nesvarbu, ar tai viešas asmuo, ar įmonė, pagrindinė sėkmingos kibernetinės atakos auka dažnai yra pasitikėjimas. Nors tai gali būti tyčinė ar netiesioginė žala (pavyzdžiui, dėl finansinės naudos), ji gali palikti ilgalaikį pėdsaką žmogaus reputacijai.
Kodėl žmonės yra lengvas kibernetinių nusikaltėlių taikinys?
Be kibernetinio saugumo suvokimo stokos, yra keletas pagrindinių priežasčių, kodėl kibernetiniai nusikaltėliai laiko žmones lengvais taikiniais.
Skirtingai nuo technologijų, žmonės iš prigimties pasitiki. Be to, kartais jie patiria stresą, o socialinės inžinerijos išpuoliai gali juos netikėtai sugauti ir priversti susižavėti. Jei jie taip pat nėra informuoti (ar net neatsakingi) apie kibernetinį saugumą, tai daro juos puikiu grobiu.
Žmonės yra rutinos padarai, ir dauguma iš mūsų tam neprieštarauja. Deja, tai gali tapti lengvu įsilaužimo, pavyzdžiui, sukčiavimo atakų, taikiniu. Pavyzdžiui, jei tik atsikėlus ryte patikrinsite savo el. paštą, kibernetiniai nusikaltėliai tuo metu gali išsiųsti sukčiavimo el. laišką. Tada, negalvodami, galite atidaryti pranešimą, spustelėti nuorodą ir pavogti jūsų asmeninę informaciją.
Galiausiai galime būti emocingi, o tai gali aptemdyti mūsų sprendimą ir lengvai paveikti socialinės inžinerijos atakas. Vos vienas neteisingas mūsų ar bet kurio kito darbuotojo žingsnis gali kelti pavojų visai įmonei ir jos vartotojams.
Ar galime įveikti žmogiškųjų klaidų riziką?
Kadangi rimčiausia grėsmė kibernetiniam saugumui yra ne sudėtingas įsilaužimas, o geras senamadiškas žmogiškasis faktorius, turėtume ją pašalinti, tiesa? Tai lengviau pasakyti nei padaryti. Tačiau galime rasti būdų, kaip kovoti su elektroniniais nusikaltimais, įveikdami šį veiksnį, nepašalindami žmonių iš lygties. Klaidų būtinai pasitaikys. Tačiau galime skleisti žinias apie kibernetinį saugumą ir užtikrinti, kad mes ir žmonės, nuo kurių priklausome, būtų informuoti apie kibernetinio saugumo riziką.
Taip pat galėtume naudoti stiprius saugos įrankius, kreiptis pagalbos į kibernetinio saugumo ekspertus ir sukurti kultūrą, kurioje žmonės galėtų laisvai dalytis bet kokiomis kibernetinio saugumo problemomis ar rūpesčiais.