Zejména v případě cílených útoků představuje neopatrnost zaměstnanců nejvážnější trhlinu v celkovém zabezpečení korporátní kyberbezpečnosti. Data z průzkumu poukazují na to, že phishing nebo sociální inženýrství byly v minulém roce zdrojem každého třetího (28 %) cíleného útoku na firmy. Také v případech plošných útoků malware (např. ransomware) jsou součástí procesu jejich šíření neopatrní zaměstnanci, kteří stojí za 53 % incidentů malwarovými infekcemi.

„Kyberzločinci často využívají zaměstnance jako vstupní vrátka do firemní infrastruktury. Phishingové e-maily, slabá hesla, falešné telefonáty z oddělení technické podpory – to vše jsme už zažili. Dokonce i běžná paměťová karta ‚ztracená‘ na parkovišti nebo zanechaná v blízkosti recepce dokáže ohrozit celou firemní síť. Vše, co totiž kyberzločinci potřebují, je někdo uvnitř organizace, kdo se o bezpečnost nezajímá, nebo o ní nic neví. Připojením této flashky k počítači získávají zločinci přístup do celé sítě, kde mohou napáchat rozsáhlé škody,“ varuje David Jacoby, bezpečnostní expert ve společnosti Kaspersky Lab.

Přenesení odpovědnosti není řešením, ale spíše podněcuje nežádoucí chování zaměstnanců. V případě, že se pracovníci snaží zamlčet skutečnost, že byli zapojeni do kyberútoku, může takové chování vést k vážným následkům a ještě větším škodám. Bezpečnostní týmy potřebují rychle identifikovat hrozby, kterým čelí, tak aby mohly zvolit správný postup pro jejich potlačení. Nicméně zaměstnanci, ve strachu z případného potrestání, raději vystaví organizaci riziku, než aby problém nahlásili. Často se také cítí trapně, že právě oni zapříčinili nějaký problém. Některé společnosti totiž zavedly přísná pravidla a převedly na zaměstnance více zodpovědnosti namísto toho, aby je nabádaly k vyšší ostražitosti a spolupráci. Základy kybernetické bezpečnosti by proto měly spočívat nejen na technologiích, ale i na firemní kultuře a vzdělávání. Na tomto místě by se proto měla zapojit jak HR oddělení, tak top management.

„Problémy spojené se zamlčováním incidentů by měly být komunikovány nejen směrem k zaměstnancům, ale i k nejvyššímu vedení společnosti a HR oddělením. Zaměstnanci musí mít pro zamlčování incidentů důvod. V některých případech zavádějí společnosti přísná, ale nejednoznačná pravidla, která vystavují zaměstnance přílišnému tlaku, protože jsou nuceni převzít případnou zodpovědnost za následky aktivit, kterým příliš nerozumí. Taková pravidla v nich mohou vyvolávat strach a nabízí jim pouze jednu možnost – zabránit potrestání jakýmkoliv způsobem. Proto by se kyberbezpečnostní strategie firem měla zaměřit na vzdělávání všech zaměstnanců spíše než na jejich trestání,“ vysvětluje Petr Kuboš, regionální obchodní manažer pro východní Evropu ve společnosti Kaspersky Lab.