Firmy často čelia úniku údajov zamestnancov, no takmer polovica z nich tieto incidenty nezverejňuje. Prečo je to chyba a ako môže správna komunikácia pomôcť predchádzať ďalším útokom?
Firmy o úniku údajov zamestnancov mlčia, odhalenie médiami potom škodí ich menu
Úspešná kybernetická obrana firmy nie je možná bez spojenia síl zamestnancov na všetkých úrovniach. Technológie sú dôležité pri predchádzaní kybernetickým útokom, ale ľudský faktor stále zohráva kľúčovú úlohu, keďže je spojený až s 85 % incidentov. Globálny prieskum spoločnosti Kaspersky, ktorý bol realizovaný medzi vedúcimi pracovníkmi v oblasti IT vo firmách, poskytuje prehľad o tom, ako veľmi organizácie a pracovníci medzi sebou spolupracujú a chránia seba a svojich klientov navzájom.
Napriek tomu, že známe prípady únikov údajov sa spájajú najmä s krádežou informácií o zákazníkoch, osobné údaje zamestnancov sú u kyberzločincov tiež veľmi obľúbené. V roku 2021 viac ako tretina (35 %) organizácií nebola schopná zabezpečiť úplnú bezpečnosť údajov svojich zamestnancov a čelila incidentom súvisiacim s týmto typom informácií. Podľa prieskumu ich prekonávajú len osobné údaje zákazníkov (43 %).
Skutočnosť, že 45 % dotknutých organizácií nezverejnilo únik osobných údajov zamestnancov, je znakom toho, že problém je väčší, ako sa zdá. Pokiaľ ide o zvyšok, 43 % organizácií zdieľalo informácie o incidente proaktívne a 12 % tak urobilo po tom, ako unikli do médií. Z toho vyplýva, že tento typ úniku je v porovnaní s únikmi korporátnych alebo zákazníckych údajov najmenej často zverejňovaný.
„Keď organizácia čelí kybernetickému incidentu, správna krízová komunikácia nie je o nič menej dôležitá ako reakcia na takýto incident a aj následné opatrenia na obnovu. Riziko úniku údajov existuje vždy a firmy by si mali uvedomiť, že proaktívna komunikácia je lepšou voľbou ako náhle odhalenie v tlači. Vhodná, presná a včasná komunikácia však neminimalizuje len potenciálne poškodenie reputácie, ale môže tiež výrazne zmierniť priame finančné straty. Aby spoločnosť predišla panike alebo zmätku, musí zvážiť vypracovanie jasného krízového plánu a vopred vyškoliť zamestnancov. Odborníci na korporátnu komunikáciu a IT bezpečnostné tímy by mali spolupracovať, aby dochádzalo k výmene informácií týkajúcich sa kybernetickej bezpečnosti firmy a vedeli vytvoriť návody, vybrať nástroje, kanály a jazyk, ktoré by mohli byť užitočné, aby čo najlepšie zvládli internú aj externú komunikáciu v prípade mimoriadnej udalosti,“ komentuje Miroslav Kořen, generálny riaditeľ Kaspersky pre východnú Európu.
Predchádzať útokom možno vďaka vzdelávaniu zamestnancov v oblasti IT bezpečnosti
Nedostatok externých poznatkov o potenciálnych kybernetických bezpečnostných incidentoch sa zvyčajne nedá zmierniť len interným úsilím. Podľa prieskumu len 44 % organizácií už implementovalo vzdelávanie a školenia v oblasti bezpečnosti, aby zaistilo, že zamestnanci majú k dispozícii kľúčové informácie. Okrem toho viac ako polovica týchto spoločností zaznamenala aspoň jeden problém týkajúci sa kvality týchto služieb, ako napríklad nespokojnosť s vysokou zložitosťou kurzov a nedostatočnú podporu alebo odbornosť zo strany poskytovateľa školení.
Od zamestnancov, ktorým neboli poskytnuté základné informácie o význame ochranných opatrení, nemožno očakávať, že budú dodržiavať pravidlá. V roku 2021 je dodržiavanie predpisov zamestnancami a riešenie nedostatočnej bezpečnostnej kultúry koncových používateľov jednou z troch najväčších obáv firiem, pokiaľ ide o IT bezpečnosť. V praxi sa firmy pravidelne stretávajú s porušovaním informačnej bezpečnosti (41 %), nevhodným využívaním IT zdrojov (42 %) a nesprávnym zdieľaním údajov prostredníctvom mobilných zariadení (38 %).
Predchádzanie únikom si vyžaduje zosúladený postup všetkých pracovníkov, ktorí prichádzajú do styku s korporátnym systémom a mohli by byť potenciálnym cieľom pre útočníkov. Na lepšie zabezpečenie zamestnancov by spoločnosti mali kombinovať spoľahlivé ochranné opatrenia s udržiavaním povedomia svojich tímov v oblasti bezpečnosti, ktoré zahŕňa:
- Zabezpečenie rýchlej implementácie záplat a aktualizácie softvéru, aby sa zabránilo preniknutiu útočníkov do systému.
- Implementáciu vysokej úrovne šifrovania citlivých údajov a presadzovanie silných prihlasovacích údajov a viacfaktorového overovania.
- Používanie účinnej ochrany koncových bodov s funkciami detekcie a reakcie na hrozby, aby boli blokované pokusy o prístup do siete, ako aj používanie spravovaných služieb ochrany na efektívne vyšetrovanie útokov a odbornú reakciu.
- Minimalizáciu počtu osôb s prístupom ku kritickým údajom. K úniku údajov dochádza s väčšou pravdepodobnosťou v organizáciách, kde pracuje príliš veľa zamestnancov s dôvernými a cennými informáciami, ktoré sa dajú predať alebo nejakým spôsobom zneužiť.
- Vybavenie zamestnancov potrebnými zručnosťami v oblasti kybernetickej bezpečnosti. Poskytnutie vzdelávania, ktoré pútavou formou predstaví všetky potrebné a aktuálne informácie. Ak chcú spoločnosti ušetriť čas a získať kvalitné služby, mali by spolupracovať s celosvetovo uznávanými poskytovateľmi, ktorí dokážu zabezpečiť efektívny proces vzdelávania.
Zdroj: Kaspersky, Grayling
