Οι hackers γελάνε με την “ασφάλεια” σας

Μπορεί να πιστεύετε ότι η εταιρεία σας μπορεί να εμποδίσει έναν εισβολέα να εισέλθει μέσα από την πόρτα σας – αλλά οι πιθανότητες είναι ότι τουλάχιστον ένας από τους υπαλλήλους σας είναι πιο πιθανό να προσκαλέσει τους hackers για καφέ.

Πράγματι, παρά τα χρόνια των τρομακτικών τακτικών, οι περισσότερες εταιρείες  εξακολουθούν να μην έχουν ιδέα πώς να διαχειριστούν ένα “τρομακτικό περιστατικό” στον κυβερνοχώρο, σύμφωνα με έναν penetration tester ο οποίος ισχυρίζεται ότι η ομάδα του δεν απέτυχε ποτέ να πάρει τους κωδικούς πρόσβασης από διάφορες εταιρείες.

Μάλιστα, ο Michael Connory, Διευθύνων Σύμβουλος της Security In Depth (SID), αναφέρει ότι ο ευκολότερος τρόπος για να κάνετε έναν υπάλληλο να μοιραστεί το όνομα χρήστη και τον κωδικό πρόσβασης είναι απλά “να στείλετε ένα email και να του ζητήσετε το όνομα χρήστη και τον κωδικό πρόσβασής του”.

Οι περισσότερες εταιρείες δεν εφαρμόζουν καμία προστασία πέραν των ονομάτων χρηστών και κωδικών πρόσβασης – οπότε μόλις τα credentials αυτά γίνουν share, η πόρτα είναι ευρέως ανοιχτή για τους κυβερνοεγκληματίες στο να έχουν πρόσβαση σε εσωτερικά συστήματα email, αποθήκες εγγράφων, εμπιστευτικά έγγραφα και το υπόλοιπο δίκτυο.

Η έμφυτη εμπιστοσύνη των χρηστών στα email, σε συνδυασμό με την πολυάσχολη επαγγελματική ζωή, που σημαίνει ότι δεν αμφισβητούν πάντοτε τα ασυνήθιστα αιτήματα, έχουν καταστήσει τις τακτικές social-engineering καταστροφικά αποτελεσματικές.

“Οι άνθρωποι απλά δεν έχουν την κατανόηση, τη γνώση ή την κατάρτιση για να είναι σε θέση να αναγνωρίσουν όταν κάποιος προσπαθεί να τους παραπλανήσει”, λέει ο Connory.

Μια πρόσφατη έρευνα 300 μικρών και μεσαίων επιχειρήσεων της Αυστραλίας, η οποία διεξήχθη από την θυγατρική εταιρεία Capterra της Gartner, υπογράμμισε την έκταση του προβλήματος.

Περισσότερο από το 13% των ερωτηθέντων δήλωσαν ότι έχουν πέσει θύματα ηλεκτρονικού “ψαρέματος” (phishing), ενώ πάνω από 9% δεν ήταν σίγουροι.

Ωστόσο, μόνο το 39% των ερωτηθέντων γνώριζε με ποιον να επικοινωνήσουν στην εταιρεία τους για θέματα ασφάλειας δεδομένων, ιδιωτικού απορρήτου ή συμμόρφωσης – και ότι το 37% του προσωπικού δήλωσε ότι δεν είχε λάβει καμία εκπαίδευση σχετικά με τον τρόπο με τον οποίο θα διατηρούνται τα δεδομένα ασφαλή.