Zamiast badać Ziemię, oglądał porno. Zainfekował przez to całą firmę!

Jak wykazał audyt bezpieczeństwa przeprowadzony niedawno w amerykańskiej agencji naukowo-badawczej, jeden z pracowników, zamiast badać naszą planetę, odwiedził blisko dziewięć tysięcy stron o tematyce pornograficznej. Tym samym wpuścił do sieci firmowej oraz służbowego telefonu złośliwe oprogramowanie, które infiltrowało całą firmę. Jak wskazuje Jarosław Mackiewicz, kierownik ds. audytów bezpieczeństwa w firmie DAGMA, wyniki audytów mogą być naprawdę zaskakujące i potrafią uświadomić, jak ważna dla utrzymania bezpieczeństwa organizacji jest polityka ograniczonego zaufania.

Niecodzienne odkrycie zostało potwierdzone w raporcie z audytu bezpieczeństwa amerykańskiej agencji naukowo-badawczej U.S. Geological Survey, zajmującej się problemami z zakresu nauk o Ziemi. Dokument wykazał, że jeden z pracowników firmy regularnie korzystał ze służbowego komputera do odwiedzania stron dla dorosłych zarejestrowanych w głównej mierze na rosyjskich domenach. W ten sposób wpuścił złośliwe oprogramowanie do swojego komputera, które następnie przedostało się przez kabel USB do służbowego telefonu komórkowego. Jak wskazuje Jarosław Mackiewicz, kierownik ds. audytów bezpieczeństwa w firmie DAGMA, przypadek niesfornego pracownika amerykańskiej agencji pokazuje, jak istotna dla utrzymania bezpieczeństwa organizacji jest polityka ograniczonego zaufania.

- Taka polityka nie oznacza wyłącznie podejrzliwości wobec zachowań pracowników, a raczej ostrożność i świadomość rozmaitych zagrożeń, na które nieprzemyślane (i zazwyczaj nieświadome!) działania pracowników mogą wystawić organizację.

Jarosław Mackiewicz

Polityka ograniczonego zaufania to nie wszystko

W opinii eksperta, audytowana firma powinna przede wszystkim wzmocnić swoją politykę bezpieczeństwa poprzez m.in. ograniczenie dostępu do stron o nieprofesjonalnym charakterze (ich kategoryzację i przypisanie do tzw. czarnych i białych list), monitorowanie ruchu sieciowego, czy blokadę portów USB w służbowych urządzeniach. Równolegle zadbać o kwestie edukacji pracowników z zakresu cyberbezpieczeństwa, podnoszenia ich świadomości i weryfikacji zachowań.

- W przypadku audytu amerykańskiej agencji, najsłabszym ogniwem firmy okazał się człowiek. Dlatego, oprócz wdrażania odpowiednich zabezpieczeń firmowej sieci, warto przeprowadzać regularnie testy socjotechniczne na pracownikach, które mogą sprawdzić ich reakcje na sytuacje potencjalnego zagrożenia – czy to w formie przygotowanej w tym celu kampanii phishingowej, czy na przykład próby namówienia pracownika recepcji do wpięcia do sieci nieznanego urządzenia USB pod fałszywym pretekstem. Połączenie audytów bezpieczeństwa z testami socjotechnicznymi pozwala wyciągnąć organizacji bardzo przydatne wnioski, które pomogą wyeliminować dotychczasowe oraz przyszłe problemy z zakresu jej cyberbezpieczeństwa

Jarosław Mackiewicz