Minden negyedik alkalmazott egy kattintással képes lenne súlyos helyzetbe hozni munkaadóját
A munkavállalók csaknem negyede (24%) úgy véli, hogy a gyanús linkekre, illetve mellékletekre való kattintás nem vagy csak minimális kockázattal jár cége, illetve annak informatikai rendszere számára — derül ki a kibervédelmi képzéseket tartó KnowBe4, 1000 amerikai kis- és középvállalati alkalmazott bevonásával készített friss felméréséből.
A kutatás arra is rámutat többek közt, hogy a dolgozók ugyan értik a gyenge és újrafelhasznált jelszavak jelentette biztonsági kockázatokat, mégis mintegy felük (46%) használ csupán egyedi jelszavakat minden eszközén és alkalmazásában. A hanyagság mögött alighanem a felhasználók megszokott jelszavaiba vetett megingathatatlan hite áll, a válaszadók háromnegyede ugyanis magabiztosan állította a kutatásban, hogy jelenleg használt belépési kódjai elég erősek és korábban nem kerülhettek illetéktelen kezekbe. Ehhez az is hozzátartozik, hogy 34 százalék szerint az erős jelszó létrehozásának legjobb módszere az olyan speciális karakterek használata, mint az "&" vagy a "$".
Hasonlóan meghökkentő eredménye a felmérésnek, hogy a válaszadók közel egyharmada (31%) tartja csak veszélyesnek, ha vállalati informatikai eszköze használatát a munkaidőn túl családtagjai vagy barátai számára is engedélyezi. Ez a gyakorlat azonban határozottan kiszolgáltatottá teszi a céges rendszereket.
„Az eredmények egyértelműen rámutatnak arra, hogy szükség lenne az alkalmazottak folyamatos kiberbiztonsági képzésére. Azok a dolgozók, akik havi rendszerességgel részt vesznek ilyen kurzuson, 34 százalékkal kisebb valószínűséggel kattintottak gyanús hivatkozásokra vagy mellékletekre, mint azok, akik csupán évi egyszer látogattak el ilyen továbbképzésre. Nagyon fontos a teljeskörű végpontvédelemi rendszerek használata, de az emberi tényező miatt a kollégák felkészítését a munka- és tűzvédelmi képzésekhez hasonlóan kötelezővé kellene tenni, sőt, időről időre szükség lenne azok megismétlésére — hangsúlyozza Gölcz Dénes, a Heimdal™ Security termékeit Magyarországon forgalmazó MaxValor ügyvezető igazgatója.
A kutatás egyben arra is rávilágított, hogy a munkavállalók képtelenek azonosítani a megtévesztésen alapuló rosszindulatú támadásokat. Ennek okaira és az ebben húzódó súlyos problémára az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) legfrissebb jelentése is rámutat. A bűnözés e formája ugyanis egyre kifinomultabb, összetettebb és hatásosabb. Az ilyen típusú támadások közül is az elmúlt időszakban kiugróan megnőtt a zsarolóvírus támadások aránya. Ezek pedig akár súlyos anyagi kockázatot jelenthetnek a szervezetek számára, miután döntő többségük mögött egyértelmű szándék a váltságdíjak kizsarolása a célba vett társaságtól. A tapasztalatok szerint pedig a közvetlen kár, a váltságdíj kifizetése nélkül, akár az éves forgalom 2-5 százalékát is elérheti, amely a kiesett forgalommal együtt, különösen KKV-k esetén, a cég csődbemenetelét is jelentheti.
A KnowBe4 felmérésének akadt egy olyan pontja, ami további aggodalomra adhat okot. Az alkalmazottak mindössze fele (52%) válaszolta ugyanis, hogy egy általa felismert biztonsági incidenst valószínűleg jelezne munkáltatója felé. 27 százalék ezt csupán elképzelhetőnek tartja, ám a fennmaradó 21 százalék nem is tudja biztosan, mihez kezdene ilyen esetben, sőt, vélhetően nem tenne semmit.