这些数据表明,中小型企业可能没有意识到他们的员工可能无意地——甚至是故意地——对他们公司的 "福祉 "造成危害。员工一些不当行为可能会导致财务损失、声誉受损或整个企业的生产力下降。
让我们来探索一下企业员工的疏忽或报复性情绪可能会对网络安全或中小企业产生什么影响。在这篇文章中,卡巴斯基专家对这些问题都进行了说明和解释。
疏忽大意不是好事
根据卡巴斯基2022年IT安全经济调查(包括对26个国家的3,000多名IT安全经理的采访),中小企业领域约22%的数据泄漏是由员工造成的。还有几乎相同比例的数据泄露是由网络攻击造成的,在某种程度上,这使得员工几乎和黑客一样危险。当然,在大多数情况下,发生这种情况是因为员工疏忽或缺乏安全意识。
员工的行为可以通过多种方式在无意中导致严重的安全漏洞并损害中小型企业的网络安全。主要包括:
弱密码:员工可能使用简单或容易猜到的密码,网络罪犯可以毫不费力地破解这些密码,最终导致未经授权访问敏感数据。这里有一个最常被破解的密码列表,请检查一下确保自己使用的密码未在其中。
网络钓鱼骗局:员工可能会无意间或在不知情的情况下点击电子邮件中的网络钓鱼链接,从而导致恶意软件感染和未经授权访问网络。大多数欺诈者会假冒一个看上去属于合法公司的邮件地址。并利用假冒的地址发送包含附件文档或压缩文档的邮件,这些附件其实是恶意软件。最近的一个例子是影响全球用户的Agent Tesla攻击。
大规模发送的恶意邮件示例
自携设备办公(BYOD)政策:由于COVID-19疫情高峰期间的持续封锁,导致BYOD政策得以大规模推进。当时,非必要部门的工作人员被迫在家工作,公司管理人员最关心的是业务连续性,而不是安全性。
员工经常使用个人设备连接到企业网络,如果这些设备没有足够的保护来抵御网络威胁,可能会造成严重的安全威胁。考虑到每天有超过400,000个新的恶意程序出现,并且针对公司的有针对性的攻击数量不断增加,企业发现自己处于非常危险的境地。于此同时,大多数公司都没有计划(或发现不可能)完全阻止个人设备访问企业数据。
对毫无准备的IT部门来说,如果一台存储企业数据的个人笔记本电脑丢失在机场或出租车上,这将是一场噩梦。有些公司为解决这个问题,允许员工只在办公室里使用经批准的个人电脑工作,其发送数据的能力非常有限,并禁止使用USB闪存驱动器。事实上,这种方法在推行BYOD政策的公司是行不通的。首先,员工使用自己的计算机以获得更大的灵活性;但这并不意味着安全受到威胁。设备丢失问题的理想解决方案是通过策略强制对公司数据进行完全或部分加密。这样,即使笔记本电脑或USB驱动器被盗,上面的数据在没有密码的情况下也无法访问。
缺乏补丁安装:如果员工使用个人设备,IT人员可能无法监控这些设备的安全性或解决任何安全问题。此外,员工可能不会定期对其系统和软件应用补丁或更新,从而留下可被网络罪犯利用的漏洞。
勒索软件:在勒索软件攻击的情况下,备份您的数据非常重要——即使网络罪犯设法接管了公司的系统,您也可以访问被加密信息。
社交工程:在遭遇社交工程手段或网络钓鱼骗局时,员工可能会无意中提供敏感信息,例如登录详情、密码或其他机密数据。那些不了解公司“规矩”的新员工更容易上当受骗。例如,骗子可能会假装是新来的“老板”,然后试图窃取公司的一些重要信息或勒索钱财。
欺诈者操作方式的一个例子是冒充老板或高层人员(使用非官方地址)发送电子邮件,要求员工“立即”完成一项任务。新员工会很乐意帮忙的。比如说,任务可能是将资金转移给承包商或购买一定价值的礼券。假冒邮件会清楚地表明“完成任务的速度非常重要”以及“一天结束后你将会得到回报”。欺诈者会强调任务的紧迫性,以免给员工时间思考或与其他人核实。
这些都是员工可能因疏忽而犯的错误。但是,如果员工在在职期间或离职后故意破坏公司的安全,会发生什么情况呢?那样可能会出现更多的麻烦。
复仇的欲望
让我们从卡巴斯基获得的一些统计数据开始。尽管大多数泄密事件的背后都是无心之过或忽视网络安全政策,但安全管理人员报告称,员工引发的数据泄露中约有三分之一(36%)是蓄意破坏或间谍行为。
卡巴斯基报告了几个与蓄意破坏有关的问题。一个例子是,一家前医疗设备供应商破坏了向客户的交付:在被解雇后,一位医疗保健高管使用秘密账户来拖延发货过程。由于这家医疗保健公司无法按时交付物资,它被迫暂时关闭所有业务流程,甚至几个月后仍会出现中断。最后,该公司求助于执法机构。
这类报复事件的另一个案例是,一个IT前雇员对一个组织提出了种族歧视投诉。有一次,他得到了一个重新安置方案,但他拒绝了;远程工作是他的关键条件之一。结果,他被解雇了——他决定对雇主采取报复。他改变了公司的谷歌账户密码,拒绝前同事的电子邮件访问,并阻止了2,000多名学生收到学习材料。
这些例子表明,前雇员为了寻求报复,可能会对他们曾经的雇主造成真正的伤害。
中小企业需要采取行动——应当做些什么?
由员工行为引发的大量网络事件表明,所有组织都需要进行全面的网络安全意识培训,以教导员工如何避免常见的安全错误。
企业应使用具有威胁检测和响应功能的端点保护,以降低攻击和数据泄露的风险。管理保护服务还将协助组织进行攻击调查和专业响应。为了减少员工引发事故的可能性,还需要进行全面的网络安全意识培训,教授员工如何预防常见的安全威胁。
为了真正确保您的公司网络安全一切正常,卡巴斯基亚太区董事总经理 Adrian Hia建议:
使用具有反网络钓鱼功能的端点和邮件服务器的保护解决方案,以减少通过网络钓鱼电子邮件感染的几率。
采取关键数据保护措施。始终保护公司数据和设备,包括打开密码保护、加密工作设备以及确保数据进行备份。
确保工作设备的物理安全很重要 - 不要将它们放在公共场所无人看管,始终锁定它们,并使用强密码和加密软件。
即使是规模很小的公司也应该保护自己免受网络威胁,无论员工是在公司还是个人设备上工作。卡巴斯基中小企业安全可以远程安装并从云端进行管理;它不需要太多时间、资源或特定知识来进行部署和管理。
为中小型企业寻找具有简单管理和成熟保护功能的专用解决方案;例如卡巴斯基端点安全云。或者,将网络安全维护委托给能够提供定制保护的服务提供商。