Akým hrozbám na internete čelia firmy a ich zamestnanci?

hrozby na internete a veľké firmy

Pracujete za počítačom? Na to, aby ste ako zamestnanci minimalizovali riziko kybernetického útoku, je potrebné okrem hlavných bezpečnostných pravidiel poznať aj riziká, ktoré môžu ohroziť firmu, v ktorej pracujete.

Prečo sú firmy obľúbeným terčom útokov?

  • Na účtoch majú viac financií ako bežní ľudia.
  • Disponujú veľmi zaujímavými a citlivými údajmi, ktoré môžu byť zneužité na ďalšie vydieranie či predaj na čiernom trhu.
  • Útoky môžu slúžiť ako forma konkurenčného boja.

Na čo si dávať pozor pri práci s počítačom?

Najmasovejším typom útoku na firmy je e-mailový phishing. Ten, ak sa pripraví dobre, je pomerne ťažko odhaliteľný. Za phishingovým útokom nemusí byť vždy hacker z druhej strany sveta. Môže ísť napríklad aj o negatívnu motiváciu zamestnanca, ktorému bol ukončený pracovný pomer.

Veľmi nebezpečným typom útoku je spearphishing. Ide o cielený phishingový útok, pri ktorom útočník dopredu získa viaceré dostupné informácie o cieľovej skupine či osobe (napríklad o riaditeľovi firmy) a „ušije“ phishingovú správu presne na mieru.


Čo má spoločné phishing s rybárčením? Čítať viac.


Cielené útoky môžu byť zamerané na jednotlivca, spoločnosť alebo softvér. Tvorcovia malvéru pri tejto forme útoku bývajú zväčša skúsení a na vývoj škodlivého kódu majú dostatok času a peňazí. Priamy zisk nemusí byť ich hlavnou motiváciou a zameriavajú sa skôr na výsledný ničivý efekt svojej práce. Z prieskumu spoločnosti ESET vyplynulo, že veľké spoločnosti považujú cielené útoky a hacking za jednu z najväčších bezpečnostných výziev. Firmy sú pri cielených útokoch zaujímavým terčom z viacerých dôvodov, napríklad môže ísť o data hunting, teda o získanie zaujímavých informácií alebo intelektuálneho vlastníctva. Aj keď sú cielené útoky súčasťou konkurenčného boja, vykytujú sa len ojedinele.

Oveľa častejšie a nepríjemnejšie sú nie až tak úplne „cielené“ ransomvér útoky. Pod týmto pojmom sa najčastejšie hovorí o APT útokoch. Skupina útočníkov si vyberie konkrétne inštitúcie alebo ľudí a potom dlhodobo (niekedy až roky) pracuje na špionáži, prípadne sabotáži. Pri klasickom ransomvérovom útoku síce útočníci vedia na akú firmu sa útočí, ale nepotrebujú ju poznať do hĺbky a hladať nejaké extra zraniteľnosti. Stačí vedieť, čo hodnotné firma má a vedieť ako na ňu zatlačiť.

Získajte praktické rady o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.


Loading

Malvér je skratkou pre anglický výraz „malicious software“, teda škodlivý softvér alebo škodlivý kód. Môže ním byť akýkoľvek kód, ktorého úlohou je napadnúť akékoľvek zariadenie alebo jeho softvér a vykonať v ňom neželané zmeny. Napríklad vypnúť určité funkcie, prebrať kontrolu nad operačným systémom alebo z neho ukradnúť informácie.

Tento pojem zastrešuje všetky formy škodlivého kódu bez ohľadu na spôsob, akým postihuje obete, ako sa správa alebo aké škody spôsobuje. Medzi známe typy patria ransomvér, trójske kone, spyvér alebo advér.

Zamestnanec môže svoje zariadenie infikovať malvérom rôznymi spôsobmi. Malvér môže byť skrytý v prílohe e-mailu alebo za odkazom na webovú stránku. Rovnako sa môže šíriť aj cez externé disky alebo USB kľúč. Okrem dodržiavania bezpečnostných zásad môžete minimalizovať útok používaním spoľahlivých bezpečnostných riešení.

Neprestávajte sa vzdelávať. Vzdelávajte zamestnancov

Viac ako polovica narušení firemnej bezpečnosti je spôsobená zamestnancami. Aj keď je 52 % narušení zapríčinených zamestnancami, len 1 z 3 zamestnancov absolvuje školenie o kyberbezpečnosti. Je teda správne obviňovať zamestnancov?

Predstavte si situáciu. Neabsolvovali ste školenie o kyberbezpečnosti. Neviete, čo je to malvér alebo phishingový útok. Ráno v práci dostanete e-mail, ktorý vyzerá ako e-mail od banky, s ktorou komunikujete každý deň. Až na to, že vás tentoraz urgentne žiada o zaplatenie faktúry, ktorá je v prílohe e-mailu. Vy, prirodzene, na túto prílohu kliknete, pretože chcete zistiť, o akú faktúru ide. V priebehu pár minút vašu firemnú sieť zablokuje ransomvér, ktorý bol skrytý v danej prílohe. Je jasné, že na prvý pohľad chybu urobil zamestnanec, a preto ho môžeme považovať za slabý článok. No zamestnanec nebol vyškolený na to, aby túto hrozbu rozpoznal. Možno budete namietať, ale v tomto prípade môžeme za slabý článok považovať manažment firmy.

Vzdelávanie zamestnancov a zvyšovanie povedomia o kyberbezpečnosti by dnes malo byť neoddeliteľnou súčasťou každej firmy bez ohľadu na jej veľkosť alebo štruktúru ľudských zdrojov.

Autor: tím ESET


Zdroj:
ESET: Employees and Cybersecurity: The Knowledge Gap
DvojKlik.cz: Jakým specifickým hrozbám na internetu čelí velké firmy?
ESET: Cílené útoky a hacking jako součást konkurenčního boje firem