Наказание сотрудников не повысит безопасность паролей
Ежегодный отчет Proofpoint о фишинге недавно показал, что Великобритания, безусловно, является лидером по дисциплинарным взысканиям сотрудников, которые не прошли тесты на кибербезопасность. Фактически, 42% работодателей налагают денежные штрафы на сотрудников, пострадавших от реальных или смоделированных фишинговых атак, а 29% даже увольняют таких сотрудников. Обе эти цифры намного выше, чем в среднем по миру: 26% и 18% соответственно. Неудивительно, что в отчете также отмечается растущее из года в год рост количество атак.
В последние годы компании все чаще требуют от своих сотрудников соблюдать строгую гигиену паролей, использовать надежные уникальные пароли для каждой учетной записи, чтобы не стать жертвами фишинга. Реальность такова, что наказание сотрудников, будь то словесное или финансовое, является ошибочным, и оно, безусловно, не обезопасит бизнес, считает Джулия О’Тул, основатель и генеральный директор компании ИБ-отрасли MyCena Security Solutions. По ее мнению в условиях роста киберугроз руководителям бизнеса пора перестать обвинять своих сотрудников в сбоях ИБ, а вместо этого вернуть себе контроль над цифровыми ключами в собственной сети.
Данные из отчета Proofpoint отражают непонимание со стороны руководителей организаций. Первая ошибка, которую совершают компании, заключается в том, что они позволяют сотрудникам устанавливать свои собственные личные пароли, неосознанно уступая свои права контроля доступа сотрудникам. В широко распространенной передаче рисков и обязательств в сочетании с расширением цифрового следа кроется основная причина постоянно растущей киберпандемии. Обвиняя других людей в собственных ошибках, руководители высшего звена отказываются признавать свои собственные.
На самом деле, подход к паролям нуждается в полной переработке. Представьте себе работодателя, позволяющего каждому сотруднику создавать свои собственные личные ключи для доступа к зданиям компании, лифтам, этажам, дверям и серверным. Именно так происходит, когда сотрудник использует свой личный пароль для доступа к сети и критическим сервисам бизнеса, которые являются целью киберпреступников.
В физическом мире, когда сотрудник начинает новую работу, компания вручает ему или ей ключи, брелоки и карты, необходимые для доступа к различным частям здания. Когда сотрудник уходит, компания забирает ключи, брелоки и карты, гарантируя, что сотрудник больше не имеет доступа к активам компании. На протяжении всего времени работы в компании руководство несет полную ответственность и контролирует, кто и к чему имеет доступ.
Попросив сотрудников создать свои собственные цифровые ключи для входа в различные части цифровой сети, компании лишились контроля над своей цифровой инфраструктурой с того момента, как их сотрудники сделали свои ключи доступа.
Фишинговые атаки становятся все более изощренными, и их труднее обнаружить, чем когда-либо прежде. Способность воспринимать киберугрозы является проблемой даже для самых опытных и осведомленных в киберпространстве пользователей. Не все ваши сотрудники станут экспертами в области кибербезопасности, да и не следует этого ожидать. Нынешняя ситуация оказывает непосильное давление и вызывает стресс у сотрудников.
В то время как более 80% утечек данных начинаются с пароля, возложение ответственности на сотрудника, а не на организацию, контрпродуктивно, а финансовые санкции не гарантируют, что это не повторится.
Вместо того, чтобы заставлять сотрудников запоминать десятки сложных паролей для различных точек доступа, Джулия О’Тул советует компаниям помочь своим специалистам использовать только надежные уникальные и зашифрованные пароли, которые не могут быть переданы или подделаны. Это будет означать не только восстановление контроля над точками доступа и кибербезопасностью, но также избавит персонал от огромного психологического давления. Люди не должны держать пароли в головах.
Надежные, уникальные и зашифрованные пароли могут контролироваться организацией и использоваться сотрудниками, которым не приходится вводить или запоминать их. Наказание сотрудников за человеческую ошибку нецелесообразно. Если безопасность цифрового доступа будет отражать безопасность вашего физического доступа, это означает, что сотрудники не будут нести ответственность за безопасность всей организации.
Опубликовано 28.03.2022