Kim są ofiary cyberprzestępców? To menedżerowie wysokiego szczebla

Przeczytaj także: Cyberbezpieczeństwo kuleje. Brakuje szkoleń, nie ma antywirusa

Cyberataki to codzienność biznesu

Rozwój technologiczny i cyfryzacja zasobów firm to czynniki, które odmieniły polski biznes. Skala czynności wykonywanych za pośrednictwem różnych urządzeń mobilnych i stacjonarnych oraz czas, jaki spędzamy pracując przed ekranami powodują, że cyberzagrożenia to dziś realny problem pracowników zarówno mniejszych, jak i większych firm – tu i teraz. Pokazują to dane.

Już 20% badanych pracowników polskich firm przyznaje, że padło ofiarą cyberataku w miejscu pracy – wynika z raportu „Cyberportret polskiego biznesu. Bezpieczeństwo cyfrowe oczami ekspertów i pracowników” przygotowanego przez ESET i DAGMA Bezpieczeństwo IT. Kolejnych 17% ma trudności z ustosunkowaniem się do tego zdania. Warto jednak zauważyć, że aż 34% respondentów zna osobę, która była ofiarą cyberataku podczas wykonywania obowiązków służbowych.

W życiu prywatnym pracowników te statystyki są jeszcze bardziej niepokojące. 29% z nich stwierdziło, że zdarzyło im się paść ofiarą cyberataku na swoim prywatnym sprzęcie, a prawie co drugi (45%) ma taką osobę w kręgu swojej rodziny i znajomych. To o tyle niebezpieczne, że 2/3 pracowników wykorzystuje sprzęt firmowy do prywatnych celów.

Widzimy, że pracownicy firm mierzą się z cyberatakami podobnego rodzaju, co indywidualni użytkownicy. Przywołać tu można popularne mechanizmy wyłudzeń, przy których cyberprzestępcy zarabiają dzięki wykorzystaniu efektu skali. Przykładami są masowe kampanie phishingowe, wykorzystanie kont w mediach społecznościowych do wyłudzeń czy oprogramowanie wymuszające okup (ransomware). Podjęcie tysięcy prób zawsze przynosi cyberprzestępcom pewien odsetek osób zaatakowanych „z sukcesem”, dzięki którym takie masowe kampanie nadal się opłacają – mówi Paweł Jurek, Business Development Director, DAGMA Bezpieczeństwo IT.

Zauważmy, że podane wcześniej liczby dotyczą tylko ataków uświadomionych. Rzeczywista liczba osób, które padły ofiarą cyberataków może być większa z uwagi na niewystarczającą wiedzę i świadomość na temat zagrożeń oraz obawy przed stygmatyzacją ze względu np. na nieostrożność w kwestii cyberbezpieczeństwa.

Co drugi pracownik odebrał niebezpieczną wiadomość

Na czele incydentów związanych z cyberbezpieczeństwem wskazywanych przez pracowników polskich firm znajdują się wiadomości otrzymane z niebezpiecznego źródła (nieprzechwycone przez filtry antyspamowe). Na takie zdarzenie wskazał co drugi ankietowany. Drugie w kolejności są połączenia telefoniczne z nieznanych numerów i nietypowych lokalizacji zagranicznych (41%). Trzecią najczęściej wskazywaną sytuacją są alerty z programu antywirusowego o potencjalnym zagrożeniu – takie powiadomienie otrzymał co trzeci pracownik (32%).

Dyrektorzy i prezesi najbardziej zagrożeni

Wachlarz działań i kreatywność cyberprzestępców rośnie wprost proporcjonalnie do liczby ataków, które są obliczone również na sprecyzowany cel. Wśród priorytetów znajdują się dyrektorzy generalni i prezesi zarządu. Ankietowani eksperci ds. cyberbezpieczeństwa wskazali te stanowiska jako najbardziej zagrożone cyberatakami. Wynika to z poziomów dostępu do danych – prezes zarządu czy menadżerowie wysokiego szczebla, mają dostęp do większej liczby cennych informacji, zasobów czy nawet rachunków bankowych. Co więcej, pracownicy znajdujący się wyżej w hierarchii mogą być zwolnieni z niektórych blokad czy procedur związanych z poufnymi, wrażliwymi danymi lub dostępem do rachunków bankowych. To stwarza dodatkowe zagrożenia z uwagę na skalę wpływu potencjalnego incydentu na całą organizację. Nieco mniej narażeni na niebezpieczeństwo są menedżerowie niższego szczebla i specjaliści.

Eksperci ds. cyberbezpieczeństwa ankietowani przez ESET i DAGMA Bezpieczeństwo IT wskazują, że grupą najrzadziej wybieraną jako cel precyzyjnego ataku są stażyści i praktykanci. Dlaczego? Są to osoby posiadające ograniczone dostępy do danych i zasobów, stąd nie są dla przestępców równie atrakcyjnymi celami, mimo potencjalnie mniejszego doświadczenia i wiedzy w temacie cyfrowego bezpieczeństwa. Z drugiej strony prawdopodobieństwo popełnienia błędu przez mniej doświadczonych i przeszkolonych pracowników jest znacznie wyższe, co wpływa negatywnie na cyberbezpieczeństwo całej firmy. Tym samym ataki ilościowe mają większą szansę sukcesu, ze względu na większą liczbę pracowników niższego szczebla.

Oszuści działają kompleksowo

Eksperci wskazują, że bardziej celowane i złożone metody ataków będą wymierzone w wyżej usytuowanych w hierarchii pracowników podczas gdy np. najpowszechniejsze, szeroko rozsyłane odmiany cyberataków mogą trafiać w kadrę mniej doświadczoną i mniej wyedukowaną w kwestii cyberbezpieczeństwa.

Cyberprzestępcy biorą na cel konkretną organizację i konsekwentnie przygotowują wieloetapowy scenariusz przestępstwa. Jest to pewien szczególny rodzaj phishingu, nazywany „spear phishingiem”. W jego ramach cyberprzestępcy zbierają wszelkie dostępne informacje na temat struktury wewnętrznej organizacji, imion, nazwisk, powiązań służbowych, aby uprawdopodobnić treści fałszywych wiadomości. Tego typu działania są znacznie trudniejsze do wykrycia i spędzają sen z powiek szefom nawet dobrze zabezpieczonych organizacji. Takie ataki, choć znacznie rzadsze i kosztowne w przygotowaniu – są szczególnie groźne, jeśli zostaną zastosowane wobec wyższej kadry zarządzającej – podsumowuje Paweł Jurek.

Raport „Cyberportret polskiego biznesu. Bezpieczeństwo cyfrowe oczami ekspertów i pracowników” oparto na badaniu opinii, przeprowadzonym w terminie 23.05 - 10.06 2024 r. Pomiar zrealizowano metodą CAWI za pomocą profesjonalnej ankiety online przy wsparciu instytutu ARC Rynek i Opinia. Pomiar przeprowadzono na próbie 1032 Polaków wykonujących obowiązki służbowe przy komputerze minimum przez 3 dni w tygodniu. Zdecydowana większość badanych (88%) wykonywała swoje zadania służbowe codziennie przy wykorzystaniu sprzętu elektronicznego od pracodawcy. Próba objęła także tzw. boost n=256 osób zaangażowanych w działania z zakresu cyberbezpieczeństwa w swoim miejscu zatrudnienia. Analizy w raporcie dotyczą badanych ekspertów ds. cyberbezpieczeństwa z firm liczących przynajmniej 10 pracowników (n=227). Na grono ekspertów ds. cyberbezpieczeństwa składała się różnorodna grupa respondentów, od praktyków monitorujących, zabezpieczających i audytujących firmowe systemy bezpieczeństwa, przez osoby wpływające na budżety na ten cel i menedżerów zespołów cybersecurity, aż po szkoleniowców w tym zakresie.