Czy ataki informatyczne mogą być skutecznie powstrzymane wyłącznie przy użyciu samych zabezpieczeń IT, bez wsparcia, jakim są szkolenia dla pracowników? Otóż mogą. Jeśli wektorem ataku będzie infrastruktura IT, to owszem – dobry system zabezpieczeń powinien dać sobie radę. Specjalnie nie mówimy o pojedynczym rozwiązaniu, gdyż tylko całościowe podejście jest skuteczne. Cały łańcuch środków – zaczynając od zabezpieczenia na bramie sieciowej (UTM / Firewall), przez kontrolę uprawnień, szyfrowanie, skanery podatności, po antywirusy z EDR na końcówki. Tylko w ten sposób można mieć nadzieję (niestety nie gwarancję), że nie staniemy się kolejnymi ofiarami gangów wyspecjalizowanych w wykradaniu danych i wymuszaniu okupów. Ważnym uzupełnieniem strategii bezpieczeństwa jest skuteczny backup. Jeśli padniemy ofiarą np. ataku ransomware, będziemy mogli odzyskać nasze dane z kopii zapasowej.
Straty wizerunkowe i konsekwencje prawne to także skutki ataku
Niestety – jak pokazują przykłady z ostatnich dni, do skutków ataku dochodzą jeszcze straty wizerunkowe oraz konsekwencje prawne. Mając na myśli niedawną udaną kradzież danych z firmy ALAB widzimy, że odcięcie przestępców od systemów firmy nie zakończyło jej problemów. Gang opublikował część danych w internecie i opublikuje resztę, jeśli nie dostanie okupu. Jest to bardzo częsta praktyka przy atakach ransomware. Firma ALAB nie zamierza płacić, co jest godne pochwały, jednak upublicznienie jej danych będzie stanowiło dla niej ogromny problem. Szczególnie, że mamy do czynienia z danymi medycznymi, czyli danymi wrażliwymi. W tej sprawie powiedziane zostało już wiele przez różnych badaczy bezpieczeństwa, dlatego nie będziemy się na tym skupiać. Będziemy natomiast bacznie obserwować nowe ataki w cyberprzestrzeni i wykorzystanie w nich danych pozyskanych z serwerów laboratorium ALAB.
Szkolenia, czyli lekceważony składnik strategii bezpieczeństwa
Ataki na infrastrukturę, to jedno, ale co, jeśli cyberprzestępca za cel swojego ataku obierze pracownika? Czy system bezpieczeństwa też zadziała? Tutaj niestety będzie to trochę loteria. Wszystko w głównej mierze zależy od samego pracownika i jego świadomości zagrożeń oraz od formy ataku. Jeśli akurat pracownik będzie miał gorszy moment, albo więcej obowiązków, może mniej skutecznie się bronić. Jeśli atak zostanie skrupulatnie przygotowany, oparty na dogłębnym zbadaniu ofiary, to także trudno będzie go powstrzymać. W wielu organizacjach ochronie podlegają jedynie serwery i komputery pracowników. Bardzo często zapomina się o ochronie i monitorowaniu telefonów komórkowych, sprzętu sieciowego, kamer czy innych urządzeń. To najczęściej te niechronione składniki stanowią dziurę w zabezpieczeniach. Cyberprzestępcy doskonale o tym wiedzą i wykorzystują takie wejścia.
Jak zatem można powstrzymać próby ominięcia zabezpieczeń wykorzystujące czynnik ludzki? Poprzez nieustanne budowanie świadomości wśród pracowników. Wiemy, że przeprowadzenie szkolenia zwykle jest trudne – nie tylko technicznie, ale i organizacyjnie. Często ciężko jest zebrać dużą grupę pracowników w jednym miejscu i czasie i wyłączyć ich z codziennej pracy. Remedium jest indywidualne przeszkolenie każdego w dogodnych dla niego dniach i godzinach. Właśnie taki standard realizujemy w ramach naszego kursu. Ponieważ Company (Un)Hacked jest zautomatyzowaną platformą szkoleniową, to firma nie ponosi dodatkowego kosztu, jeśli szkoli każdego z osobna. Zdajemy sobie sprawę, że w trakcie wykładu skupienie kursantów może być niewystarczające do przyswojenia dużej ilości wiedzy. Często ludzie zwyczajnie zajmują się czymś pobocznym – zerkają w telefon, myślą o czymś innym, prowadzą konwersację. To właśnie te czynniki powodują, że tradycyjne metody szkoleniowe bywają nieskuteczne. My wiemy jak temu przeciwdziałać.
Immersja – zanurzenie w szkolenie
Nasza koncepcja szkoleń w wirtualnej rzeczywistości rozwiązuje problem zaangażowania kursanta. Zakładając takiej osobie headset VR na głowę, mamy gwarancję, że wszystkie bodźce, które do niej docierają, są tymi pożądanymi. Nie ma mowy o zerkaniu na ekran telefonu, rozmowie z innym uczestnikiem czy wykonywaniu normalnych obowiązków zawodowych.
W danej chwili kursant w 100% jest zaangażowany w szkolenie. To właśnie największa przewaga aktywności realizowanych w wirtualnej rzeczywistości.
Jeśli nie wierzysz, skorzystaj z możliwości przetestowania Company (Un)Hacked w swojej firmie. Całkowicie za darmo. Przyjedziemy z własnymi goglami VR i w maksymalnie 2 godziny zaprezentujemy Ci innowacyjne podejście do kształtowania świadomości cyberbezpieczeństwa. Inwestujesz wyłącznie swój czas. Nie czekaj i zarezerwuj termin spotkania już dzisiaj!