Blogos akys stebi Jūsų paskyras
Kaip teigia SQUALIO Lietuva ekspertas Kipras Daugirdas, itin atsargūs socialiniuose tinkluose turėtų būti atsakingas pareigas užimantys IT specialistai. „Viena vertus, atrodo labai natūralu ir žmogiška IT inžinieriui socialiniame tinkle LinkedIn įvardinti, jog esi puikus Cisco ugniasienės ar Oracle duomenų bazės specialistas, arba pasigirti, kokio konkretaus IT produkto sertifikatą neseniai išsilaikei”,- teigia kibernetinio saugumo žinovas: „Tačiau programišiams, kurie turi intencijų atakuoti jūsų darbovietę, tai yra labai naudinga informacija – tarsi pasufleravimas, kaip lengviau atlikti sėkmingą kibernetinį išpuolį”.
Dėl šios priežasties IT inžinieriams bei kitiems šios srities specialistams socialiniuose tinkluose informacija patariama disponuoti diskretiškai. Tiesa, toks informacijos asketizmas dažnai prieštarauja rinkodaros specialistų patarimams, kuomet organizacijoms socialiniuose tinkluose siūloma kuo labiau girtis savo darbuotojų pasiekimais. O neretai ir patys IT specialistai yra suinteresuoti medalių sau ant kaklo užsikabinti kuo daugiau – juk būtent tai gali patraukti dosnesnio darbdavio dėmesį. Todėl vidinius saugumo higienos standartus turi nustatyti ir įtvirtinti pats darbdavys – tokiu būdu bus išvengta nesusipratimų ateityje.
Nepadovanokite vagiui raktų
Dar didesnių bėdų darbuotojai savo darbdaviui gali prišaukti kitu būdu – savo asmeninėms socialinių tinklų paskyroms naudodami tuos pačius slaptažodžius, kuriuos naudoja jungdamiesi prie pagrindinių kompanijos sistemų. Šiandien jau nieko nestebina faktas, jog savo vartotojų slaptažodžių nesugeba apsaugoti net didžiausios pasaulio technologijų gigantės – dėl masinio slaptažodžių nutekinimo problemų yra turėjusios Yahoo, LinkedIn ir daugelis kitų technologijų kompanijų.
Juodojoje rinkoje šie slaptažodžiai vėliau parduodami kitiems programišiams, kurių taikinyje jau yra ne patys individai, o jų darbovietės: jei darbuotojas kvailai elgėsi su slaptažodžiais, hakeris įgauna prieigą prie jautriausių organizacijos sistemų. O tuomet jau tik nusikaltėlio fantazijos reikalas, kokius juodus darbelius daryti: siuntinėti kolegoms duomenų viliojimo (angl. phishing) laiškus, užšifruoti įmonės įrenginius ir reikalauti išpirkos ar kt.
Stručio metodas ar pilnavertis auditas?
Kaip pastebi SQUALIO Lietuva specialistas, nors ydingas darbuotojų elgesys socialiniuose tinkluose gali pridaryti organizacijai didelių bėdų, tai yra tik viena iš organizacijos kibernetinio saugumo mozaikos detalių. „Nebepalaikomos ir todėl nebesaugios programinės įrangos naudojimas, tinkamų antivirusinių įrankių stoka bei darbuotojų nepasirengimas identifikuoti phishing tipo atakų – tai bene dažniausiai pasitaikančios kibernetinio saugumo spragos”,- teigia K. Daugirdas: „Prisiminkime kad ir įvykį Norvegijoje, kuomet neapdairus pramonės milžinės „Hydro“ darbuotojas atidarė neaiškios kilmės laišką ir į įmonės tinklą įleido virusą, dėl ko galiausiai buvo užšifruoti beveik visi įmonės renginiai ir kelioms dienoms paralyžiuota visa įmonės veikla”.
Anot specialisto, būtent kibernetinio saugumo problematikos kompleksiškumas dažną vadovą atbaido nuo savalaikių veiksmų prevencijai užtikrinti: „Vadovas, sprendžiantis ir krūvą kitų problemų, kibernetinio saugumo atžvilgiu kartais jaučiasi tarytum tas vilkas iš senovinio kompiuterinio žaidimo, kuris gaudydavo iš skirtingų pusių vienas po kito krentančius kiaušinius”. Teoriškai galimų problemų yra tiek daug, kad net pradėti su jomis dirbti nesinori: Gal mums pasiseks ir nieko blogo nenutiks. Deja, kibernetinio saugumo eksperto vertinimu, būtent stručio metodas pastato organizacijas į pačios didžiausios rizikos zoną.
Kaip liudija SQUALIO Lietuva patirtis, kibernetinio saugumo iššūkius organizacijoms labiausiai apsimoka spręsti ne pavieniui, o kompleksiškai – pradedant nuo kibernetinio saugumo audito. Squalio atliekami kibernetinio saugumo auditai leidžia įvertinti organizacijos saugumo lygį ir pagrindines grėsmes, identifikuoti taip vadinamas „greitąsias pergales” (greitai ir nesunkiai atliekamus pakeitimus, iš esmės padidinančius organizacijos saugumą) ir sudaryti ilgalaikį kibernetinio saugumo planą bei efektyvią krizių prevencijos programą.
Užsakymo nr.: PT_88687883