Hlavní navigace

Anect: Třetina zaměstnanců v práci sdílí hesla nebo jinak ohrožuje bezpečnost

24. 4. 2024
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
Lidé například navzájem sdílejí přihlašovací údaje do firemních systémů, zasílají pracovní dokumenty soukromým e-mailem či přes sociální sítě nebo k práci využívají neschválené soukromé počítače či telefony.

Společnost Anect na základě průzkumu mezi tisícovkou zaměstnanců českých firem odhalila, že třetina tuzemských zaměstnanců porušuje zásady bezpečného chování na internetu a své zaměstnavatele tak vystavuje zvýšenému riziku online podvodu nebo hackerského útoku.

Co se dozvíte v článku
  1. Jen minimum zaměstnanců používá bezheslové metody
  2. V malých firmách jsou rizika větší
  3. K rizikovým činnostem se přiznává třetina zaměstnanců
  4. Někteří dokonce sdílejí hesla s kolegy
  5. Mladší lidé mají tendenci rizika podceňovat
  6. Dva z pěti obdrželi vymyšlenou fakturu

Téměř 13 % společností nemá interní pravidla zvyšující firemní odolnost proti kybernetickým útokům. Situace je přitom výrazně horší u malých firem do 50 zaměstnanců, kde tato opatření chybí ve čtvrtině případů. Naopak u firem nad 500 zaměstnanců mají tato opatření téměř všechny společnosti.

Jen minimum zaměstnanců používá bezheslové metody

Největší část zaměstnanců, konkrétně 65 %, uvedla, že mají ve firmě zakázáno sami instalovat programy a aplikace v pracovním počítači. Pouze polovina lidí (48 %) však uvedla, že má omezený přístup k souborům a části firemní sítě, které nepotřebují ke své práci, a pouze 39 % používá při přihlašování do firemních systémů vícefaktorovou autentizaci.

Zákaz využívání externích USB disků, stejně jako zákaz využívání osobních zařízení (mobilní telefony, počítače, tablety apod.) k pracovním účelům má zavedený třetina firem. Pouze šestina zaměstnanců (16 %) využívá pro přihlašování do interních systémů bezheslové metody, ať už jde o biometrii či hardwarové klíče.

Anect: Kyberútoků v roce 2024 přibude a budou sofistikovanější Přečtěte si také:

Anect: Kyberútoků v roce 2024 přibude a budou sofistikovanější

„Tato čísla jsou alarmující, protože většinou jde o opatření, která je poměrně snadné a levné zavést a která můžou výrazně snížit riziko úspěšného hackerského útoku vedeného přes zaměstnance,“ říká Petr Mojžíš, konzultant kybernetické bezpečnosti v Anectu.

„Například omezení možnosti zaměstnanců cokoli sami instalovat nebo důsledná správa identit a omezení pohybu zaměstnanců po firemní síti jsou opatření, která by neměla chybět v žádné společnosti,“ podotýká.

V malých firmách jsou rizika větší

Průzkum odhalil, že u společností do 50 zaměstnanců je podíl firem s jednotlivými opatřeními o deset až dvacet procentních bodů nižší než je průměr, naopak u firem nad 500 zaměstnanců je o deset až dvacet procentních bodů vyšší.

„Rozdíl mezi velkými a malými firmami je přirozený,“ vysvětluje Petr Mojžíš. „Čím větší společnost, tím více si na jedné straně uvědomuje možná rizika a tím větší má většinou zdroje vyčleněné na oblast IT včetně firemní bezpečnosti.“

Pozitivní podle něj je, že alespoň nějaká opatření mají v zásadě všechny velké firmy. „Na druhou stranu podíl těch, které využívají všechny základní ochranné metody by měl být určitě vyšší,“ dodává.

K rizikovým činnostem se přiznává třetina zaměstnanců

Výše popsaná opatření jsou přitom podle Petra Mojžíše o to důležitější, že třetina zaměstnanců se přiznává k činnostem, které jsou z pohledu firemní bezpečnosti rizikové. Nejvíce lidí, konkrétně 15 %, přiznalo využití neschválených soukromých zařízení.

Graf 1: Rizikové činnosti zaměstnanců s ohledem na kybernetickou bezpečnost

Z pohledu firemní bezpečnosti jde přitom podle Anectu o značné riziko, především, pokud se zaměstnanec může přihlašovat k firemní síti bez nutnosti vícefaktorového ověření a pokud nemá striktně omezená uživatelská práva.„Pokud se zaměstnanci můžou připojit k firemním systémům ze svého soukromého počítače či tabletu, znamená to často, že dotyčná společnost má jen minimální povědomí o tom, jaká zařízení se připojují do firemní sítě a co v ní provádí. Soukromé zařízení se tak (bez vědomí jeho vlastníka) může velmi snadno stát vstupní branou hackerů dovnitř firmy,“ upozorňuje Petr Mojžíš.

Někteří dokonce sdílejí hesla s kolegy

Desetina lidí v průzkumu přiznala otevírání neznámých e-mailových příloh a stejný počet také instalaci programů nebo aplikací do firemního počítače či telefonu bez vědomí IT oddělení. V obou případech jde přitom o činnosti, u kterých existuje velké riziko napadení počítače a následně celé firemní sítě.

Graf 2: Firemní opatření na zvýšení kybernetické bezpečnosti, která si zaměstnanci vybavují

Podobně závažné je podle Anectu také sdílení přihlašovacích údajů s někým z kolegů, ke kterému se přiznalo 7 % zaměstnanců. Další desetina potom uvedla, že sdílí pracovní dokumenty nebo informace skrze soukromý e-mail či sociální sítě, což může mimo jiné vést k úniku citlivých firemních dat.

„Ve všech výše popsaných případech najdeme celou řadu rizik, která se v nich skrývají. Obecně ale jde vždy o to, že útočníci se snaží, aby jejich maskovaný škodlivý kód někdo stáhl, otevřel a spustil,“ vysvětluje Petr Mojžíš.

Mladší lidé mají tendenci rizika podceňovat

Rizikověji se přitom podle průzkumu chovají mladí zaměstnanci. Zatímco mezi lidmi od 45 do 54 let uvedlo 70 % respondentů, že se podobným aktivitám vyhýbají a u zaměstnanců nad 54 let dosahoval tento podíl 75 %, u lidí do 35 let šlo pouze o 57 % lidí.

Anect: Kyberútoky na zdravotnická zařízení začínají phishingem Přečtěte si také:

Anect: Kyberútoky na zdravotnická zařízení začínají phishingem

„Důvodem je podle našich zkušeností kombinace několika faktorů. Mladí lidé jsou obecně více spjatí s technologiemi, které využívají téměř ke všem činnostem v každodenním životě, a mají tak mnohem více příležitostí k rizikovému chování. I díky tomu mají tendenci některá rizika podceňovat nebo si je uvědomovat méně než starší kolegové,“ říká Petr Mojžíš.

Dva z pěti obdrželi vymyšlenou fakturu

Průzkum se zaměřil také na to, s jakými situacemi se v oblasti kybernetické bezpečnosti zaměstnanci setkali. Dvě třetiny respondentů (62 %) uvedly, že se v jejich firmě už řešil pokus o podvod vedený online nebo přímo určitý kybernetický incident.

Graf 3: Firemní opatření na zvýšení kybernetické bezpečnosti, která si zaměstnanci vybavují

Nejčastěji šlo o snahu o podvod spojenou se zaplacením vymyšlené faktury (38 %), ale 8 % zaměstnanců se ve firmě setkalo s krádeží či únikem dat a necelých 7 % i s úspěšným ransomwarovým útokem, který vyřadil z provozu firemní síť.

„Právě tyto typy útoků patří mezi ty nejnebezpečnější. V obou případech vedou k velkým reputačním i finančním ztrátám a v některých extrémních případech můžou vést až k zániku celé společnosti,“ upozorňuje Petr Mojžíš.

KL24

Zároveň dodává, že množství firem, které se setkaly s pokusem o ransomwarový útok je reálně vyšší, než vidí jejich zaměstnanci. „Řada ransomwarových útoků může být úspěšná jenom částečně nebo vůbec a nemusí tak dojít k vyřazení celé sítě nebo se o nich zaměstnanci nemusí dozvědět,“ uzavírá.

Zdroj: Anect

Čtěte dále

Allegro rozšiřuje svou stopu ve střední Evropě, vstupuje do Maďarska
Allegro rozšiřuje svou stopu ve střední Evropě, vstupuje do Maďarska
Sophos: Každý třetí útok ransomwaru na české firmy začíná zneužitím zranitelnosti
Sophos: Každý třetí útok ransomwaru na české firmy začíná zneužitím zranitelnosti
Aikit: Průmyslovou automatizaci brzdí náklady a absence znalostí
Aikit: Průmyslovou automatizaci brzdí náklady a absence znalostí
Obrazem: Hustopečské veselení s Joyce
Obrazem: Hustopečské veselení s Joyce
IDC: Trend na vzestupu, dodávky použitých chytrých telefonů rostou
IDC: Trend na vzestupu, dodávky použitých chytrých telefonů rostou
Obrazem: Lorgar odhalil herní revoluci v regionu EMEA
Obrazem: Lorgar odhalil herní revoluci v regionu EMEA