Dane są podstawowym narzędziem pracy w korporacjach. Są one codziennie przetwarzane przez tysiące pracowników, t.j. gromadzone, aktualizowane, przechowywane, prezentowane, przesyłane. Głównym ryzykiem związanym z przetwarzaniem danych jest nieautoryzowany dostęp, którego skutkiem może być niepożądana modyfikacja lub wyciek poufnych informacji. To z kolei pociąga za sobą utratę reputacji i wizerunku, utratę klientów i spadek cen akcji.
Korporacje stosują różne środki zapobiegawcze, aby chronić się przed naruszeniem poufności i integralności danych. Jak wynika ze statystyk, najsłabszym ogniwem w bezpieczeństwie informacji jest pracownik – jego błędy i brak świadomości. To sprawia, że najłatwiejszym i najbardziej efektywnym sposobem ataku jest socjotechnika, w szczególności tzw. 'phishing’. Szacuje się, że co minutę firmy tracą $17,700 z powodu 'phishingu’. Metoda polega na tym, że cyberprzestępca podaje się np. za pracownika działu IT i pod pretekstem naprawy błędów w systemie prosi go o hasło do konta. Pracownik, który jest nieświadomy, że hasła nie wolno nikomu ujawniać staje się ofiarą ataku i naraża firmę na utratę poufnych informacji. Ataki phishingu mogą przybierać różne formy, często bardzo kreatywne. Wykorzystywane są również aktualności z życia codziennego, np. podczas okresu Bożonarodzeniowego popularne jest przesyłanie maili z kartkami świątecznymi – aby zobaczyć kartkę wystarczy kliknąć w link, lub otworzyć załącznik, który po otworzeniu instaluje złośliwe oprogramowanie na komputerze ofiary. Szacuje się, że 94% złośliwego oprogramowania jest przesyłane drogą mailową.
Każdy pracownik korporacji musi przejść szkolenie z podstaw bezpieczeństwa, aby umieć rozpoznać, które wiadomości mogą stanowić 'phishing’. Korporacje stosują również ćwiczenia pułapki, t.j. wysyłają mail imitujący atak 'phishingu’ i monitorują, którzy pracownicy zareagowali prawidłowo. Tych którzy się 'nabiorą’ czeka dodatkowe szkolenie.
Szkolenia są kluczowym elementem dbałości o bezpieczeństwo danych. Powinny być przekazywane w klarowny sposób, tak, aby nietechniczne osoby dobrze rozumiały zagrożenia i wiedziały co trzeba zrobić, aby im zapobiec oraz jak się zachować w przypadku incydentu. Podczas szkoleń poza 'phishingiem’ poruszane są takie tematy jak: bezpieczeństwo fizyczne np. dostęp do budynków firmy, przechowywanie, niszczenie i drukowanie dokumentów, używanie zewnętrznych nośników danych, media społecznościowe, siła haseł, instalowanie aplikacji i wiele innych.
Poza szkoleniami, w korporacjach wdrażane są automatyczne zabezpieczenia. Oto kilka przykładów:
- zablokowana jest możliwość pobierania oprogramowania z Internetu,
- zablokowany jest dostęp do konkretnych stron internetowych,
- wymuszane jest ustawienie silnego hasła,
- dostęp do wybranych aplikacji wymaga zgody przełożonego,
- pracownik musi posiadać kartę zbliżeniową (identyfikator), aby dostać się do budynku,
- drukowanie dokumentu jest możliwe po identyfikacji pracownika – należy podać login i hasło,
- aktualizacje oprogramowania są automatycznie instalowane,
- tworzone są kopie zapasowe danych oraz wiele innych.
Należy pamiętać, że niezależnie od tego jak dobre zabezpieczenia od strony technicznej posiada firma, dla efektywnego zarządzania bezpieczeństwem danych najważniejszy jest świadomy pracownik.
*Źródło liczb: https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-and-statistics.html
