Prema studiji o uticaju finansijskih kriminala koju je 2020. objavio KPMG, 21% anketiranih kompanija priznaje da poreklo računarskih incidenata uzrokuju zaposleni ili bivši zaposleni u kompaniji, što je generalno praksa i u svetu, posebno u zemljama koje nemaju adekvatno regulisan domen upravljanja podacima u praksi.
S druge strane, izveštaj za 2018. godinu koji je PvC pripremio o globalnom stanju bezbednosti konsultovao je približno 9.500 rukovodilaca u 122 zemlje koji su glavni „autori“ sajber napada. Glavni uzrok bezbednosnih incidenata uglavnom su sledeći: cyber kriminalci (34,9%), bivši dobavljači (27,5%), konkurenti (27,2%) i trenutni zaposleni (26,7%).
Kao što vidimo, prema studiji PvC, glavna briga su bivši zaposleni.
Praksa je je pokazala da smo više puta bili svedoci bezbednosnih incidenata u kojima učestvuju zaposleni ili bivši zaposleni. Uzmimo za primer sledeći slučaj: U julu ove godine, mladi kriminalci su prevarili zaposlenog u čuvenoj kompaniji Twitter i uspeli da kompromituju verifikovane račune poznatih ličnosti širom sveta i izvrše prevaru u ime vlasnika profila. Još jedan nedavni slučaj dogodio se 2018. godine u Čileu kada je službenik Banco de Chile ukrao sumu od 475 miliona čileanskih pezosa.
Značaj zaštite ličnih podataka zaposlenih!
Sistem ljudskih resursa sadrži značajnu količinu osetljivih podataka zaposlenih u kompaniji, kao što su informacije o platnom spisku, sistem kontrole kartice, finansijskih usluga, odmora, ocena učinka, čak i medicinskih podataka. S obzirom na količinu i vrstu informacija koje ovi sistemi koriste, logično je reći da je pravilno upravljanje bezbednošću svih ovih informacija od suštinske važnosti za organizaciju i bezbednost zaposlenih, ali ne samo od spoljnih aktera, ključnu ulogu igra i rizi od nepravilnog i neovlašćenog pristupa sopstvenih zaposlenih u kompaniji.
Sistem upravljanja ljudskim resursima može predstavljati epicentar ranjivosti ili biti nepravilno konfigurisan – kao što je slučaj sa mnogim kompanijama koje izlažu privatne podatke zbog pogrešne konfiguracije baze podataka – i omogućiti spoljnom ili unutrašnjem zlonamernom akteru pristup ličnim podacima i finansijskih sredstava zaposlenih. A u slučaju da je ranjivost u sistemu ugovorene usluge, to može uticati na lične podatke ne samo vaše kompanije, već i svih zaposlenih u svim kompanijama koje su ugovorile uslugu.
Ukoliko su podaci u pogrešnim rukama,mogu biti nezakonito izloženi trećim stranama, u najgorem slučaju može doći do povrede i zloupotrebe. Isto tako, ovi privatni podaci mogu se koristiti za izvršavanje napada socijalnog inženjeringa u različite svrhe, bilo za distribuciju malvera ili za krađu drugih osetljivih podataka od zaposlenih ili kompanije uopšte, koji se zatim mogu prodavati na dark webu ili koristiti da za izvršenje novih napada socijalnog inženjeringa.
Bivši zaposleni i kontrola pristupa informacijama
Pre tri godine studija je tvrdila da je 58% bivših zaposlenih moglo da pristupi svim korporativnim aplikacijama iako je prestalo da radi i da 28% može da nastavi da se prijavljuje u korporativne aplikacije mesec dana nakon napuštanja kompanije.
Važno je imati na umu da kada se incident dogodi, čak i ako se sprovede istraga kako bi se utvrdilo ko je odgovoran za napad, činjenica je da su osetljive informacije već izložene. Kao što se vidi u slučaju Tvittera, prvo je došlo do eksfiltracije podataka koji su izvedeni iz pristupnih naloga, nakon čega su usledile istrage i sankcije.I koliko god da postoji zabrinutost zbog postupaka zaposlenih i bivših zaposlenih u organizaciji, različiti izveštaji ukazuju da većina bivših zaposlenih ima pristup poverljivim informacijama nakon napuštanja posla. Prema drugoj studiji kompanije Osterman Research iz 2014. godine, 89% bivših zaposlenih i dalje je imalo pristup imovini kompanije, čineći ih ranjivim i povećavajući izloženost podataka zaposlenih i bivših zaposlenih velikom riziku.
Koje mere se sprovode u kompanijama po tom pitanju?
Među najčešćim merama koje kompanije sprovode su bezbednosne procene za otkrivanje kako spoljnih, tako i unutrašnjih bezbednosnih propusta i na taj način smanjuju rizik da zaposleni ili spoljni akteri mogu iskoristiti potencijalne ranjivosti kompanije. No takve procene veoma često mogu biti „skupa investicija u prazno“ iz želje da se „uštedi“, ukoliko ih ne rade eksperti iz domena korporativne bezbednosti.
Glavni problem kompanija navodi se:
- nepravilan pristup informacijama, rukovanje, obrada, neusaglašenost sa GDPR-om
- što dalje povlači i praksu zloupotrebe, najčešće krađu informacija
- veoma mali procenat organizacija ima bezbednosnu politiku koja je je dobar osnov za dalje aktivnosti
- mali broj kompanija primenjuje faktor dvostruke potvrde identiteta, a manje od 40 % ima tri osnovne mere zaštite: antivirus, sigurnosnu kopiju i zaštitni zid…
Sve ovo pokazuje da još uvek nije izgrađena svest o značaju korporativne bezbednosti i njene implikacije na uspešnost poslovanja i reputaciju….Tako da dolazimo do zaključka da ima velikog prostora za dalje akcije u ovom domenu kako bi bezbednost u organizacijama postala neraskidiva funkcija.
Zbog toga je važno da kompanije razvijaju programe informacione bezbednosti koji detaljno opisuju kako treba rešavati eksterne i interne pretnje, koji pružaju okvir na kojem mogu izgraditi čvrste temelje za poboljšanje bezbednosti organizacije i koji uključuje sprovođenje redovnih akcija obuke i podizanja svesti zaposlenih.