Kadra kierownicza wyższego szczebla ma dostęp do informacji krytycznych dla bezpieczeństwa firmy, dlatego jest jednym z ulubionych celów ataków dla cyberprzestępców. Bez skutecznych praktyk w zakresie szkoleń i zabezpieczeń dla najważniejszych osób w firmie będą one podatne na naruszenia.
Na początku tego roku brytyjska firma Arup straciła 25 mln USD w wyniku wyrafinowanego podstępu deepfake. Członek zespołu finansowego z Hongkongu padł ofiarą oszustwa, w którym cyberprzestępcy skopiowali wygląd i głos dyrektora finansowego firmy. Następnie zaprosili tego pracownika na wideokonferencję z udziałem innych fałszywych kolegów z działu. Początkowe obawy pracownika zostały rozwiane, gdy zobaczył i usłyszał dyrektora finansowego oraz innych współpracowników, rozmawiających o transakcji. W efekcie, zgodnie z poleceniami fałszywego dyrektora, przelał środki na różne konta bankowe – 25 mln USD.
Ten przykład ilustruje, że kadra zarządzająca w firmie staje się dziś celem oszustw, zarówno tych z użyciem deepfake’ów generowanych przez sztuczną inteligencję, jak i ataków na bezpieczeństwo biometryczne czy kradzieży tożsamości – mówi Paweł Ładna, Cybersecurity Consultant z Safesqr, firmy specjalizującej się w cyberbezpieczeństwie.
2/3 dyrektorów ma już przynajmniej jeden atak za sobą
W ciągu ostatnich 18 miesięcy blisko 2 na 3 (62 proc.) przedstawicieli kadry kierowniczej przynajmniej raz padło ofiarą cyberataku, wynika z badania GetApp 2024 Executive Cybersecurity.
Wiele firm, szczególnie tych, które już miały do czynienia z jakimś incydentem naruszenia cyberbezpieczentswa, stara się łatać luki w swoich zabezpieczeniach. Dbają o to, żeby hasła nie były słabe, oprogramowanie było regularnie aktualizowane, a pracownicy odpowiednio szkoleni. Wystarczy jednak, że pracownik nie zachowa się zgodnie z procedurami, by firma była narażona na niebezpieczeństwo. Największe wtedy, kiedy ten pracownik jest przedstawicielem kadry kierowniczej – tłumaczy Natalia Zajic, Cybersecurity Consultant z Safesqr i dodaje: – Osoby odpowiedzialne za zarządzanie mają dostęp do niezwykle ważnych informacji, które mogą być prawdziwą gratką dla cyberprzestępców. Dlatego szkolenie kadry zarządzającej w kwestiach cyberbezpieczeństwa powinno być czymś oczywistym.
Potrzeba wiedzy
Wiele firm rzeczywiście o to dba, bo jak wynika z raportu, w przypadku 42 proc. firm, które w ciągu ostatnich 18 miesięcy mierzyły się z cyberatakami, szkolenie kadry kierowniczej w zakresie cyberbezpieczeństwa traktowane jest priorytetowo. Jednak aż 37 proc. ankietowanych przyznaje, że w ich organizacjach nie są prowadzone żadne dodatkowe szkolenia z zakresu cyberbezpieczeństwa dla kadry zarządzającej.
To poważny problem, bo takich ataków z roku na rok przybywa. W badaniu GetApp 58 proc. ankietowanych osób zauważyło, że ataki w ciągu ostatnich 3 lat nasiliły się. Najpopularniejsze metody to malware, ataki phishingowe, ataki z wykorzystaniem hasła oraz ransomware.
Czynnik ludzki
Ataki udają się, ponieważ zawodzi człowiek, wynika z badania. Głównymi powodami naruszeń bezpieczeństwa były takie zachowania pracowników jak pobranie plików z niezaufanych źródeł (42 proc.), używanie słabych haseł (41 proc.) oraz nieaktualizowanie oprogramowania (34 proc.). Nowym, ale niezwykle niebezpiecznym sposobem oszustwa jest kradzież tożsamości członka kadry kierowniczej. Aż 41 proc. ankietowanych zgłosiło, że w ich firmie miał miejsce tego typu incydent w ciągu ostatniego 1,5 roku.
Osoby zatrudnione na najwyższych stanowiskach, które nie mają odpowiedniej świadomości dotyczącej obszaru cyberbezpieczeństwa lub lekceważący stosunek do procedur wiążących się ze stanowiskiem, jakie piastują, mogą stanowić poważne zagrożenie dla organizacji. W wielu przypadkach szkolenie, jakie przechodzą wszyscy pracownicy, może nie wystarczyć. Kadra zarządzająca powinna być przygotowana na nowe, zaawansowane metody, jakie stosują przestępcy, jak np. deepfake w rozmowie video. Szczególnie, że rozwój sztucznej inteligencji daje przestępcom nowe możliwości działania – zauważa Paweł Ładna.
Kadra kierownicza, jak kapitanowie statku na burzliwym morzu, musi być przygotowana na dynamicznie zmieniające się zagrożenia cybernetyczne. Wymaga to jednak nieustannej czujności, aktualizowania wiedzy w zakresie aktualnych metod ataków, ochrony własnego wizerunku i danych, zarządzania ryzykiem przy kluczowych decyzjach oraz bezpiecznego korzystania z urządzeń i sieci. Bez odpowiednich szkoleń i procedur nawet najmniejszy błąd może zaważyć o przyszłości organizacji.
