Cele mai frecvente erori umane ce pot afecta securitatea datelor personale

Un studiu Osterman Research arată că mai puțin de jumătate (42%) dintre organizațiile participante și-au instruit angajații cu privire la Regulamentul general privind protecția datelor (GDPR), de la intrarea acestora în vigoare. Este bine cunoscut faptul că lipsa de pregătire crește riscul de erori umane care pot duce la încălcări ale datelor. Vom analiza în continuare cele mai frecvente erori ale utilizatorilor și măsurile de prevenire pe care organizațiile ar trebui să le ia pentru a atenua daune potențiale.

1. Credibilitatea ca expunere la Phishing

Ce se întâmplă: Phishingul și falsa identitate reprezintă 93% din încălcările legate de ingineria socială, iar e-mailul este cea mai vulnerabilă cale de atac (96%). De la scrisorile ce anunță câștiguri la loterie, la schimbarea conturilor bancare pentru plățile pentru furnizori, tentativele de înșelăciune ce urmăresc obținerea unor date confidențiale, parole de acces pentru aplicații de tip bancar, aplicații de comerț electronic, date despre cardurile de credit, tehnicile de manipulare a identității unei persoane sau a unei instituții se remarcă printr-o mare diversitate și, de ce nu, printr-o oarecare doză de ingeniozitate.

Vorbind despre companii, principala cauză pentru vulnerabilitatea angajaților în fața acestui gen de capcane este cât se poate de simplă: lipsa de instruire. În practica de consultanță am întâlnit destule organizații care nu numai că nu au o politică de IT, dar nici angajații nu au beneficiat de o instruire elementară. Alte organizații se ocupă de instruirea IT numai la angajare, neglijând importanța continuității și actualizării informațiilor, pe măsură ce tehnologiile de manipulare evoluează. Pe de altă parte, niște cursuri de pregătire extrem de tehnice pot devin plictisitoare. Cea mai eficientă metodă este cea a scenariilor scurte, în timpul ședințelor de team-building, în care angajații sunt puși în fața unor situații concrete, din lumea reală care arată pericolele reale ale atacurilor de inginerie socială.

Ce se poate face: Pe lângă elaborarea și diseminarea politicilor de Securitate IT, angajații trebuie să fie instruiți tot timpul, la intervale de timp periodice, într-o manieră cât mai interactivă, care să faciliteze asimilarea informațiilor.   Desigur, nici asta nu poate fi o garanție. Potrivit cercetărilor, 4% dintre oameni fac întotdeauna clic pe un atașament suspect. Prin urmare, este necesar să executați periodic teste de simulare a unor atacuri de phishing, pentru a verifica dacă antrenamentul a fost eficient și dacă angajații respectă cele mai bune practici și politici de securitate. Asta în paralel cu implementarea de instrumente de filtrare anti-spam pentru a reduce riscul și mai mult.

2. Accesul neautorizat la resursele organizației

Ce se întâmplă: 55% dintre adulții care sunt angajați ai unei organizații permit ca membrii familiei sau prietenii să aibă acces la resursele de comunicare sau de calcul la domiciliu. Orice membru ale familiei sau orice prieten poate avea acces involuntar sau intenționat la date sensibile, precum listele de clienți și furnizori, conturile bancare ale organizației sau datele despre conducere și coleg. Ce este mai rău, există pericolul real ca un intrus să descarce programe malware care ar putea permite accesul la datele corporative, aplicațiile cloud și spațiile de stocare.

Ce se poate face: Introducerea ca element obligatoriu în Politica de Securitate a unor instrucțiuni cuprinzătoare privitoare la utilizarea resurselor de calcul și de comunicare ale companiei. Principala responsabilitate revine liderilor de departamente sau echipe, care trebuie să asigure punerea efectivă în aplicare a disciplinei de Securitate, vitală atât pentru siguranța datelor personale, dar mai ales a celor de business. O altă măsură recomandată este implementarea unor controale de securitate corespunzătoare pe dispozitive și sisteme, asigurarea faptului că toate dispozitivele sunt protejate prin parolă și autentificare multi-pas pentru toate dispozitivele și aplicațiile organizației. Există corporații care gestionează utilizarea propriilor dispozitive de către angajați prin Politica BYOD (Buy your own device), stabilind regulile de folosire a telefoanelor, tabletelor sau laptopurilor personale la locul de muncă, în deplasare sau acasă.

3. Spune-mi cum îl cheamă pe cățelul tău ca să știu ce parolă ai

Ce se întâmplă: 66% dintre cei care nu utilizează un instrument de gestionare a parolei recunosc faptul că preferă să se întoarcă la parolele vechi. Aceasta poate fi o practică foarte riscantă, pentru că odată ce un cont este compromis, un atacator are acces la o varietate mai largă de active. Dincolo de reutilizarea parolei, alte riscuri includ utilizarea parolelor evidente (de ex. 12345678, abc, 1111 sau admin), lipsa unor politici de actualizare regulată și partajarea parolelor cu colegii de birou sau cu rudele.

Ce se poate face: În primul rând o instruire elementară a angajaților în legătură cu alegerea parolelor. Sunt firme care au astfel de prevederi în normele sau codurile interne de conduită. O politică de stabilire și actualizare a parolelor este obligatorie pentru orice organizație prelucrează date personale, fiind inclusă în politica generală IT. Orice instruire trebuie să înceapă cu un sfat elementar: ”Nu lipiți parolele de acces pe monitoarele PC-ului”…

4: Conturi privilegiate ca sursă de riscuri

Ce se întâmplă: Prin conturi cu privilegii ridicate se înțeleg acele conturi care beneficiază de o serie de facilități de acces la resursele companiei, precum conturile de top management sau cele de administrator de sistem. Sunt studii care relevă că cele mai folosite parole ale administratorilor de sistem sunt ”admin” sau ”12345678”. În alte cazuri, chiar dacă parola e destul de puternică, controalele de securitate pentru prevenirea utilizării necorespunzătoare sunt adesea inadecvate. Doar 38% dintre organizații actualizează parolele de administrare o dată pe trimestru; restul o fac mai rar. Dacă profesioniștii IT nu reușesc să actualizeze și să securizeze parolele conturilor privilegiate, atacatorii le pot sparge mai ușor și pot avea acces la rețeaua organizației.

Ce se poate face: O măsură preventivă absolut necesară este alocarea statutului de cont privilegiat doar atunci când este nevoie pentru executarea unor operațiuni administrative, În restul timpului, trebuie să funcționeze aceleași restricții de acces pe care le au toate celelalte conturi din organizație. Pare complicat, dar nu e: în loc să acordați drepturi administrative mai multor conturi, alocați privilegiile în mod selectiv, pe baza nevoilor necesare pentru anumite aplicații și sarcini și numai pentru o scurtă perioadă de timp în care acestea sunt necesare. De exemplu, este bine să se stabilească conturi administrative și salariale separate pentru personalul IT; conturile de administrator ar trebui să fie utilizate numai pentru a gestiona anumite părți ale infrastructurii.

5. Livrarea greșită a unor mesaje critice

Ce se întâmplă: potrivit unui raport Verizon, livrarea necorespunzătoare este una dintre cele mai frecvente erori umane care poate conduce la vulnerabilități și breșe de date. O cifră alarmantă: 62% dintre erorile umane din domeniul asistenței medicale sunt reprezentate de erorile de expediere. Iată și un caz real: 250 de dosare medicale ale unor pacienți cu afecțiuni pulmonare au fost expediate de un spital din Scoția pe adresa unei bănci, în loc de cea a unei clinici de specialitate.

Ce e de făcut: Măsura cea mai elementară este criptarea tuturor documentelor ce conțin date sensibile și care sunt trimise prin e-mail. În plus, se pot folosi casete pop-up prin care îi atenționați pe expeditori să verifice de două ori adresa de expediere atunci când trimit date personale cu caracter special. O măsură mai sigură, dar puțin mai costisitoare este implementarea unei soluții de prevenire a pierderilor de date (DLP) care monitorizează un eveniment care poate duce la scurgerea de informații și care acționează automat, de exemplu, împiedicând utilizatorii să trimită date sensibile în afara rețelei de compania.

Concluzii

Vestea proastă este că erorile umane pot reprezenta cam 40-50% dintre sursele de vulnerabilitate care pot conduce la apariția unor breșe de Securitate. Restul de 50-60% e reprezentat de folosirea inadecvată a resurselor tehnice și de cauzele externe. Pericolul reprezentat de cauzele cu sursă umană este real. E perfect posibil ca o companie care e super protejată tehnologic în domeniul securității cibernetice, să fie vulnerabilă prin greșelile angajaților.

Vestea bună este că, fiind de natură internă, organizația poate adopta și implementa măsurile de control cele mai adecvate pentru reducerea sau chiar eliminarea surselor de vulnerabilitate datorate erorilor umane. Cu alte cuvinte, putem avea controlul asupra a 40-50% dinte cauze. Cum putem face asta? Prin adopția, implementarea și asimilarea politicilor interne la nivel de companie, care ne pot ajuta să reducem riscurile de breșă în mod adecvat. Căci un proiect de asigurare a conformității GDPR se bazează pe triada: OAMENI – PROCESE – TEHNOLOGIE.

Conform unuia dintre cele 7 principii PIA, o companie trebuie să fie Proactivă, nu Reactivă. Adică să țină cont de riscurile potențiale înainte ca acestea să se transforme în breșe. Pentru asta, orice organizație trebuie să-și îmbunătățească capacitățile de detectare a vulnerabilităților, astfel încât să poată răspunde cu promptitudine evenimentelor suspecte sau necorespunzătoare. Cum putem face asta? Prin soluții și metode de monitorizare a comportamentului utilizatorilor care să ne permită să urmărim activitatea tuturor utilizatorilor, inclusiv a celor care beneficiază de privilegii.

Dar cel mai important factor de prevenire a erorilor umane ale angajaților este sensibilizare acestora în legătură cu propria răspundere pentru siguranța datelor personale prelucrate. Cum putem face asta? Proiectând și implementând o adevărată cultură GDPR.