Postępująca cyfryzacja i digitalizacja biznesu sprawia, że instytucje mierzą się z coraz to nowymi wyzwaniami w zakresie bezpieczeństwa. Rozwój technologii, praca zdalna i masowe upowszechnianie się przetwarzania danych w chmurze powodują, że ryzyko utraty danych, czy przestojów w firmach jest coraz większe. Z raportu Stormshield wynika, że w samej branży przemysłowej, aż 69 proc. polskich firm w 2021 roku doświadczyło ataku ze strony internetowych przestępców. Organizacje są narażone tym samym na utratę zaufania klientów, inwestorów oraz na poważne straty finansowe. Narażeni są również pracownicy biurowi, którzy dzięki wyrafinowanym metodom socjotechnicznym stają się często ofiarami cyberprzestępców.

Czytaj też: Krysiński Łukasz - Identyfikacja cyberprzestępców >>>

Czytaj również: Prawie co trzeci Polak zetknął się z cyberprzestępstwem

Inżynieria społeczna bronią XXI wieku

- Atakujący wykorzystują niewiedzę lub łatwowierność pracowników, aby łatwiej i szybciej ominąć oprogramowanie lub sprzęt odporny na różnego rodzaju formy ataku. Dzieje się tak, ponieważ najsłabszym punktem systemu bezpieczeństwa najczęściej jest człowiek. Internetowi przestępcy, stosując techniki manipulacyjne wzbudzają zaufanie ofiary, w efekcie czego pracownik jest skłonny ujawnić informacje, które będą wykorzystane do kontynuacji ataku – mówi Justyna Puchała z Autoryzowanego Centrum Szkoleniowego DAGMA.

Cyberprzestępcy osiągają pożądane reakcje wykorzystując ludzkie emocje, a wśród najpopularniejszych metod ataków socjotechnicznych są schlebianie, współczucie, podszywanie się, wywieranie presji czy szantażowanie. Inżynieria społeczna stała się nowoczesną i wyrafinowaną formą zdobywania informacji przez internetowych przestępców. W takiej konfrontacji sprzęt, oprogramowanie i działy IT nie wystarczą, aby odeprzeć ataki.

Sprawdź też: Worona Joanna "Cyberprzestrzeń a prawo międzynarodowe. Status quo i perspektywy" >

- W interesie pracodawców jest wyposażenie pracowników w wiedzę, która pozwoli ochronić ich samych, ale i organizację przed atakami cyberprzestępców. W wiedzę, która uświadomi jak sprawdzić, czy link do wyników finansowych spółki rzeczywiście został wysłany przez dyrektora czy zbiórka na urodziny jednego z pracowników jest prawdziwa albo czy telefon z działu IT, proszący o dostęp do komputera jest rzeczywiście prawdziwy – dodaje Justyna Puchała.

Jak bronić się przed inżynierią społeczną?

Phishing, smishing, vishing już na stałe zagościły w słowniku pojęć obrazujących działania cyberprzestępców, ale katalog metod ataków z ich strony jest zdecydowanie większy. Pracownik, aby potrafił odpowiednio zareagować na ataki socjotechniczne, powinien być świadomy ich występowania. Powinien wiedzieć jaką mogą mieć formę oraz gdzie może się z nimi spotkać.

- Rozwijanie u pracowników umiejętności radzenia sobie z nimi, będzie jednym z największych wyzwań dla biznesu w nadchodzących latach. Tym bardziej przy rosnącym trendzie pracy zdalnej i hybrydowej, który internetowi przestępcy wykorzystują ze zdwojoną siłą. Pracownicy mający dostęp do firmowych zasobów powinni wiedzieć jakimi metodami próbują oni dostać się do systemów organizacji oraz w jaki sposób podczas rozmowy osobistej, telefonicznej czy mailowej oszuści potrafią wyłudzić informacje od nieświadomego pracownika – tłumaczy Justyna Puchała.

7 punktów, na które warto zwracać uwagę, aby nie dać się atakom socjotechnicznym:

• korzystaj z zaufanych źródeł (linki, strony, informacje);
• w przypadku kontaktu telefonicznego, jeżeli nie jesteś pewny rozmówcy, nie przekazuj żadnych informacji. Najlepiej w pierwszej kolejności zweryfikuj tożsamość rozmówcy;
• sprawdzaj strony/linki na które wchodzisz, czy aby na pewno nie są spreparowane i czy np. jeden znak w domenie nie jest zmieniony;
• szczególną uwagę zwracaj na wszystkie treści, gdzie wymagane jest logowanie lub konieczne jest wykonanie jakiegokolwiek przelewu;
• weryfikuj nadawcę wiadomości, zwracając uwagę nie tylko na osobę, ale również na domenę;
• zwracaj uwagę na niecodzienne/ atrakcyjne wiadomości, w pierwszej kolejności weryfikując ich autentyczność;
• nie dawaj dostępu do swojego komputera nieznajomym osobom, np. podającym się za firmowych administratorów, czy firmę IT wykonującą zlecenie.

Coroczne straty firm i instytucji w wyniku działań cyberprzestępców liczone są w milionach złotych. Świadomi pracownicy mogą stanąć na drodze internetowych przestępców i stać się jednym z najskuteczniejszych elementów bezpieczeństwa cyfrowego, sprawiając, że straty będą zdecydowanie mniejsze.