Darbinieku kiberpratības pārbaude. Ir varianti!

Vairums jeb 95% problēmsituāciju digitālajā vidē rodas pašu lietotāju neuzmanības, nezināšanas, vieglprātības vai slinkuma dēļ, liecina Latvijas Drošāka interneta centra dati. Tāpēc elementārai kiberhigiēnai ikvienas organizācijas ikdienā ir ļoti liela nozīme. Lai darbinieki to ievērotu, darba devēji regulāri cenšas izdomāt oriģinālus veidus, kā pārbaudīt viņu modrību.

Datora tastatūras kreisā puse. Daļa taustiņu ir klasiski baltā krāsā, daļa - krāsaini - dzelteni, oranži, zaļi, zili, pelēki u.tml.

Incidenti, kas saistīti ar uzbrukumiem IT infrastruktūrai, ieņem pirmo vietu visu globālo biznesa risku vidū (Allianz Risk Barometer, 2019). Pēdējā gada laikā kiberdrošības draudus izjutuši vai kiberuzbrukumus piedzīvojuši 70% uzņēmumu (The State of Cloud Security, 2020). Turklāt aprēķināts, ka visbiežāk jeb 43% gadījumu kiberuzbrukumi tiek vērsti pret mazajiem uzņēmumiem (Verizon, 2020). Vēl vairāk – 60% šo komersantu, kuri reāli cieš no šiem uzbrukumiem, tos nepārdzīvo – tie tiek likvidēti vidēji sešu mēnešu laikā pēc uzbrukuma (Cisco & Nacional Center of the Middle Market, 2018).

Incidenti ir, bet par tiem nerunā

Eksperti lēš, ka viena kiberuzbrukuma laikā uzņēmumam tiek radīti zaudējumi vidēji 188 000 ASV dolāru apmērā. Tiesa, par savu pieredzi “cietušie” runā nelabprāt.

Publiskajā telpā pieejamā informācija liecina, ka Latvijā no kibernoziedzniekiem pēdējo gadu laikā ir cietusi kāda banka un viens no būvniecības preču veikaliem. Bet pērnā gada decembrī masveida uzbrukumus tika vērsts pret valsts sektora darbiniekiem.

Tāpat ir atrodama skopa informācija par vairākiem uzņēmumiem, kuri pirms diviem gadiem zaudēja ievērojamas naudas summas, pārskaitot tās uz kibernoziedznieku, nevis savu biznesa partneru kontiem. Viens no tiem ir vietējais kosmētikas ražotājs. Ļaundari piekļuva šī uzņēmuma darbinieka e-pastam un pārtvēra rēķinu, kas tika sūtīts ārvalstu sadarbības partnerim. Rēķinu šis partneris saņēma un apmaksāja. Taču nauda ražotāja kontā neienāca, jo ļaundari rēķinā bija izmainījuši saņēmēja konta numuru. Rezultāts? Uzņēmums palika gan bez preces, gan naudas.

Noziedznieku efektīvākais “ierocis” – emocijas

Neatkarīgi no tā, kas ir kiberuzbrukuma mērķis – privātpersona, uzņēmums vai iestāde, vairumā gadījumu tas izdodas, pateicoties cilvēciskajam faktoram: “upuru” ziņkārībai, neuzmanībai, nezināšanai, līdzjūtībai, vēlmei palīdzēt citiem, slinkumam, bailēm u.c. Piemēram, dažādu pētījumu dati liecina, ka: katrs otrais lietotājs noklikšķinātu uz jebkuras saites, ko saņem e-pastā; teju 40% ievadītu konfidenciālu informāciju (t.sk. paroles) viltus lapās; gandrīz tikpat daudzi savas darba paroles izmanto arī privātajiem kontiem; 20% glabā paroles uz lapiņas vai zibatmiņā, bet 11% atvērtu nezināmu e-pasta pielikumus un tajos iekļautās saites.

Arī kiberuzbrukumus, no kuriem pēdējo trīs gadu laikā cietuši Latvijas iedzīvotāji, ir veicinājis cilvēciskais faktors. Piemēram, salīdzinoši biežāk ir izplatītas situācijas, kad cilvēkam telefoniski vai e-pastā tiek prasīts atklāt noteiktus personas datus (lietotājvārdi, paroles, bankas maksājumu kartes dati u.tml.). Šāda veida uzbrukumus vismaz vienu reizi piedzīvojuši 8%, bet trīs un vairāk reizes – 10% iedzīvotāju.

Tāpat katrs desmitais atzīst, ka minētajā periodā vismaz reizi atklājis savās ierīcēs kādu nelabvēlīgu programmatūru. Tikpat lielam respondentu skaitam vismaz reizi uzlauzti sociālo tīklu konti, 6% vismaz reizi digitālajā vidē nozagta identitāte, bet 4% ir saņēmuši izpirkuma maksas pieprasījumus par savu ierīču darbības atjaunošanu. (Kantar, 2019)

Ļaundaru nežēlastībā var “iekrist” ikviens

Praksē kiberuzbrukumi uzņēmumiem bieži notiek laikā, kad kāds no to augstāk stāvošajiem darbiniekiem dodas atvaļinājumā. Viņa vārdā grāmatvedim tiek nosūtīts viltus e-pasts ar lūgumu steidzami pārskaitīt noteiktu naudas summu uz norādīto kontu un piebildi, ka formalitātes tiks nokārtotas vēlāk – pēc atvaļinājuma. Ir grāmatveži, kuri to izdara, neiedziļinoties detaļās. Un šajā gadījumā runa nav par vienu vai diviem cilvēkiem no 100.

Tomēr uz klasiskajiem ļaundaru scenārijiem var “uzķerties” ne tikai ierindas darbinieki. Tie var būt arī augsta līmeņa vadītāji un pat rūdīti IT jomas speciālisti.

Runā, ka pirms vairākiem gadiem Latvijā norisinājās tā dēvēto “balto” hakeru (“lauž” sistēmas nevis peļņas nolūkos vai sava prieka pēc, bet gan ar mērķi atrast un novērst to vājos punktus) konference. Tās rīkotāji izveidoja pasākuma vietā publisko WiFi tīklu ar nosaukumu “MedusPods”, lai pārbaudītu, cik vērīgi ir nozares profesionāļi. Izrādās, šim tīklam bija pieslēgusies vairāk nekā puse pasākuma apmeklētāju. Kad fakts tika publiskots, sarka, bālēja un dusmās lādējās daudzi…

Kiberpratības elementārākā pārbaudes forma – zināšanu testi

Lai izvairītos no kiberuzbrukumiem, ar pamatīgiem ugunsmūriem un dārgākajām, inovatīvākajām IT sistēmu drošības programmatūrām vien nepietiek. Eksperti iesaka ievērot kiberhigiēnu, tostarp veikt regulāras darbinieku apmācības kiberdrošības jomā un laiku pa laikam pārbaudīt viņu modrību ar dažādiem zināšanu testiem un sociālajiem eksperimentiem, kuros tiek izmantotas sociālās inženierijas metodes. Jāpiebilst, ka šie testi un eksperimenti parasti ir īstenojami pašu spēkiem un neprasa ievērojamas investīcijas.

Piemēram, var sākt ar elementāru testu darbinieku zināšanu pārbaudei kiberdrošības jomā. Tā izveidi var uzticēt saviem IT speciālistiem. Taču tos var meklēt arī digitālajā vidē. Tiesa, šajā gadījumā ieteicams izvēlēties uzticamus un pārbaudītus resursus. Piemēram, “SEB bankas” izstrādāto testu.

Vienkārša taktika – grandiozs efekts

Viens no populārākajiem risinājumiem darbinieku “pāraudzināšanai” digitālās drošības jomā korporatīvajā vidē ir tā dēvēto nenoslēgto ekrānu “medības”. Līdzko darbinieks pamet ierīci (datoru, viedtālruni) ar nenoslēgtu ekrānu, acīgākie kolēģi izmanto šo iespēju, lai viņa vārdā publicētu kādu informāciju dažādos kanālos, nosūtītu priekšniekam ziņu u.tml. Tie var būt kā nevainīgi joki, amizanti ieraksti konkrētā cilvēka sociālo tīklu kontos, solījums uzsaukt visai komandai picu, kūku vai kādu izklaidi, tā arī algas pielikuma pieprasījums, neparasti pasūtījumi sadarbības partneriem u.tml.

Īpaši iecienīts šis risinājums esot IT speciālistu vidū. Kāda vietējā uzņēmuma sistēmu administrators neuzmanīgajiem kolēģiem mēdz atstāt datora ekrānā atvērtu e-pasta dokumentu, kurā šo kolēģu vārdā ir sagatavoti atlūgumi. Tiem tiek pievienota piebilde, ka nākamreiz tiks nospiesta arī poga “Sūtīt”. Efekts esot grandiozs, jo ko tādu darbinieki piedzīvot nevēlas.

Taču ir arī organizācijas, kurās par ierīču ekrāna nenoslēgšanu no darbiniekiem profilakses nolūkos tiek iekasēta soda nauda. Līdzīgi kā ar rupju vārdu lietošanu, darba kavējumiem un citiem “grēkiem”. Pēcāk šie līdzekļi tiek ziedoti labdarībai vai izmantoti iekšējo pasākumu organizēšanai.

Datu nesēju potenciāls nav novērtēts pienācīgi

Izpētīts, ka katrs ceturtais lietotājs mēdz pievienot savam darba datoram svešus ārējo datu nesējus. Tāpēc ir uzņēmumi, kuri eksperimenta nolūkos biroja telpās (virtuvēs, pie kopētāja, labierīcībās, uz darbinieku galdiem u.tml.) laiku pa laikam neuzkrītoši novieto dažādus datu nesējus, piemēram, zibatmiņas. Tajās tiek izveidoti dokumenti, kuru nosaukumos figurē kāda konkrēta darbinieka vārds.

Interesanti, ka vismaz viens šāds datu nesējs katru reizi tiekot aiznests šim darbiniekam. Tas nozīmē, ka “atradējs” ir pievienojis zibatmiņu, CD disku utt. savam datoram. IT speciālistiem vai iekšējās drošības dienestam šie datu nesēji tiek nogādāti daudz retāk. Un arī tad (īpaši – lielākos uzņēmumos) “atradējs” tos nereti atnes ar piebildi, ka zibatmiņa “laikam” pieder personai X, taču viņš tādu nepazīst. Pārrunas ar organizācijas drošības speciālistiem abos gadījumos nav patīkamas.

Iespēja “nošaut” divus zaķus ar vienu šāvienu

Vēl viena efektīva metode, ko organizācijas mēdz izmantot, ir tā dēvētie “pārsteiguma” e-pasti. Darbinieks saņem e-pastā lūgumu konkrēta (reāla) klienta vārdā nosūtīt uz norādīto e-pasta adresi līguma kopiju, noteiktus klienta datus (piemēram, pamatojot šo rīcību ar vēlmi kaut ko precizēt sakarā ar izmaiņām uzņēmumā) u.tml. Tālāk atliek tikai gaidīt – vai un kāda informācija tiks atsūtīta. Tādējādi šis ir labs veids, kā pārbaudīt divas lietas:

  • cik vērīgi ir darbinieki (vai spēs atpazīt klientu pēc rakstības stila, vai pārbaudīs sūtītāja e-pasta adresi un sapratīs, ka tā ir nekorekta u.tml.);
  • kāda ir darbinieku izpratne par datu drošības jautājumiem.

Līdzīgā veidā eksperimenta nolūkos visiem darbiniekiem tiek sūtīti paziņojumi no viltotas vadītāja vai personāla speciālista e-pasta adreses ar lūgumu verificēt bankas konta numuru, uz kuru tiek skaitīta darba alga. Parasti tajos tiek iekļauta atsauce uz jauniem iekšējās kārtības noteikumiem, izmaiņām likumdošanā u.tml. Alternatīvs risinājums – darbinieki tiek aicināti pārliecināties, vai viņu e-pasta adreses atbilst visām drošības prasībām atbilstoši jaunākā Eiropas Savienības standarta nr. XXX prasībām.

Abos gadījumos e-pasts satur saiti uz īpaši eksperimenta vajadzībām veidotu formu, kurā lietotājam jāievada viņa personas dati. Spriežot pēc nostāstiem, arī šeit “iekrīt” daudzi. Pat pārāk daudzi!

Placebo efektam ir liels spēks un tālejošas sekas

To, kāda ir digitālās drošības kultūra organizācijā, uzskatāmi parāda arī eksperimenti, kas vērsti uz darbinieku grupām, kas strādā ar dažādām iekšējām sistēmām – grāmatvežiem, biroja administratoriem, personāla un kvalitātes vadības speciālistiem, inženieriem u.tml. Piemēram, kāds uzņēmums eksperimenta nolūkos noorganizēja savai grāmatvedei viltus zvanu no kompānijas, kas izstrādājusi šajā organizācijā izmantoto grāmatvedības risinājumu.

Saruna sākās šķietami nevainīgi – ievācot atsauksmes par konkrēto programmu. Par IT sistēmām sūdzības parasti ir visiem un vienmēr. Arī šī dāma nebija izņēmums. Pēc kāda laika viņa saņēma vēl vienu zvanu. Atsaucoties uz pirmo telefonsarunu, viņai tika piedāvāta iespēja iegūt uzlabotu (labāku, ātrāku utt.) grāmatvedības risinājuma versija. Viss, kas bija jāizdara – jāaktivizē datorā e-pastā atsūtītā programma.

Protams, šī programma esošās grāmatvedības sistēmas darbību nekādi neietekmēja. Tas bija pavisam nekaitīgs dokuments, ko izveidoja šī eksperimenta vajadzībām. Taču grāmatvede to aktivizēja. Un pauda absolūtu sajūsmu par rezultātu. Vēl vairāk – izrādījās, viņa padalījās savā “ieguvumā” ar citām kolēģēm. Tāpēc, ja šis būtu reāls kiberuzbrukums, par tā sekām varam tikai minēt…

Secinājumi?!

Katru dienu internetam tiek pieslēgts miljoniem jaunu iekārtu. Un arvien vairāk ikdienas darbību tiek veiktas digitālajā vidē – sākot ar biznesa procesu vadību, finanšu pārvaldību, izglītību un beidzot ar valsts pārvaldes darba organizēšanu. Cerēt, ka kibernoziedznieki to neizmantos savā labā, ir naivi. Tāpēc ir jāveido kvalitatīva digitālās drošības kultūra, gan skaidrojot darbiniekiem, kā pareizi uzvesties digitālajā vidē, nepieļaut sensitīvu datu noplūdes un atpazīt kiberuzbrukumu mēģinājumus, gan arī pārbaudot viņu zināšanas un modrību praksē.

Publicēšanas datums

01.12.2020

Tēma

Stratēģiskā plānošana Darba vide

Tapis sadarbībā ar