Tlaky na podniková IT rostou – koncoví uživatelé žádají vzdělávání, prostá ochrana proti spamu a phishingu nestačí
Společnost Trend Micro, Inc. (TSE: 4704, NASDAQ: TMIC), leader na trhu antivirového a bezpečnostního softwaru a souvisejících služeb, zveřejnila hlavní závěry svého průzkumu ukazující, jaký dopad mají phishingové útoky s využitím spamu na práci koncových uživatelů a co tito uživatelé očekávají od svých IT oddělení ohledně podnikové a osobní bezpečnosti informací.
Průzkum zahrnul 1600 zaměstnanců, kteří nepracují v IT odděleních, z organizací různých velikostí ve Spojených státech, Spojeném království, Německu a Japonsku. Nejdůležitějším zjištěným faktem je očekávání většiny respondentů, že jim IT oddělení poskytne lepší informace o nebezpečí plynoucím z phishingu. Phishing je nekalé jednání motivované ziskem, které začíná převažovat nad ostatními formami škodlivých aktivit na internetu a které může ohrozit bezpečnost podnikových a osobních informací. Protože spam často funguje jako nástroj pro zasílání phishingových útoků, studie vyzdvihuje potřebu ochrany proti oběma typům hrozeb. Jen tak mohou organizace zajistit bezpečnost zaměstnanců a zamezit nákladným dopadům útoků na své podnikání.
„Výsledky tohoto průzkumu ukazují očekávání koncových uživatelů, že IT oddělení budou hrát větší a proaktivnější úlohu v jejich vzdělávání, nikoli pouze podpůrnou roli,“ řekl Dave Rand, hlavní technolog Trend Micro pro internetovou bezpečnost. „Důvodem je, že phishing se dotýká nejen společností, ale ohrožuje osobně i samotné zaměstnance. Osobní nebezpečí hrozící zaměstnancům z phishingu znamená pro IT oddělení nutnost hrát při ochraně lidí a udržování klíčových podnikatelských aktivit v chodu mnohem důležitější roli.“
Rozmach phishingu
Podle výsledků průzkumu kolísá četnost setkání s phishingem podle velikosti organizace a země. Nejvyšší výskyt byl zaznamenán ve Spojených státech, kde se s phishingem setkalo 43 procent všech respondentů. V amerických komerčních organizacích s méně než 500 zaměstnanci se lidé na pracovišti setkali s touto hrozbou v každé druhé.
V Německu došlo zejména mezi malými podniky ke zvýšení četnosti setkání s phishingem. Jeden ze čtyř respondentů z malých německých podniků uvedl, že se setkal s phishingem, ale více než polovina z nich (57 procent) sdělila, že počet výskytů za poslední tři měsíce před provedením průzkumu vzrostl.
Ve Spojeném království byl rostoucí počet phishingu zase hlášen spíše z větších podniků, kde každý druhý z pěti zaměstnanců (celkem 41 procent) zaznamenal zvyšující se počty útoků.
Oběti a důsledky
Bez ohledu na velikost organizace se phishing stal přímým ohrožením soukromí a osobních informací koncových uživatelů. Podle studie uvádí největší počet obětí Spojené království – sedm procent z malých podniků a 4,5 procenta z větších organizací.
„Tato čísla se mohou zdát malá, ale představte si podnik s jedním tisícem zaměstnanců, z nichž se 45 stane obětí phishingu,“ podotkl Rand. „V průměrném menším britském podniku se stovkou lidí se obětí phishingu stalo sedm z nich. Ve Spojených státech to jsou dva až tři lidé ze sta. Pracoviště je považováno za bezpečné místo, ale phishingové útoky tuto představu narušují.“
Z těch, kdo se stali oběťmi, jich více než polovina (58 procent) uváděla, že došlo k narušení jejich soukromí. Nejméně každý třetí sdělil, že došlo ke ztrátě jeho osobních informací, že zaznamenal výpadky v produktivitě práce nebo se stal obětí zcizení identity. Navíc více než každý pátý (21 procent) uvedl, že vedle osobních dopadů došlo i ke ztrátě podnikových informací.
„Phishingem trpí společnost i jednotlivci,“ řekl Rand.
Dopad na IT
Není překvapením, že respondenti se po phishingovém útoku nerozpakovali kontaktovat IT oddělení. Například v Německu téměř polovina (44 procent) všech respondentů z malých podniků uvedlo, že kontaktovali svá IT oddělení a útok ohlásili. Ve větších německých podnicích to bylo 38 procent. Z těchto údajů vyplývá, že ve společnosti s 1000 zaměstnanci se jich 380 obrátilo na helpdesk – což muselo nutně vést ke značnému vytížení technické podpory a prodloužení doby odezvy IT oddělení.
„Pokud dojde k narušení bezpečnosti, pak se IT oddělení snadno zahltí,“ podotkl Rand. „Pokud k němu dojde, koncoví uživatelé ztratí osobní informace, zatímco společnost ztratí produktivitu a příležitosti. Phishing je více než bezpečnostní problém, je to problém pro celé podnikání.“
Více vzdělání, lepší ochrana
I když mnoho respondentů uvedlo, že jejich IT oddělení implementovala antiphishingová řešení, jejich efektivitu zpochybnila nejméně třetina z dotazovaných v každé zemi. Nedostatek důvěry byl nejvyšší v Japonsku. Téměř dva ze tří japonských respondentů (63 procent) uvedlo, že jejich antiphishingová ochrana nebyla dostatečná. Čím menší organizace, tím více toto mínění převažovalo. Tři ze čtyř japonských respondentů z malých firem nedůvěřovalo své antiphishingové ochraně.
Na dotaz, zda jejich IT oddělení by mohlo pracovat lépe při ochraně před phishingem, odpovědělo 41 procent japonských dotazovaných, že ano. Ve Spojených státech a Spojeném království souhlasil s tímto tvrzením nejméně každý čtvrtý dotazovaný.
Mnoho respondentů uvedlo, že kromě ochrany by IT oddělení mělo odvádět lepší práci i při vzdělávání uživatelů ohledně phishingu a pravidel chování nutných pro to, aby se útokům vyhnuli. Největší nedůvěru k IT oddělení v roli školitele měli opět Japonci – 63 procent věřilo, že aby byli schopni reagovat na útoky, mělo by je IT vzdělávat lépe. I polovina z koncových uživatelů dotazovaných ve zbývajících třech zemích uvedla, že IT oddělení by mělo zlepšit své úsilí ve vzdělávání.
Účinná ochrana proti spamu a phishingu vyžaduje více než jen softwarové produkty. Předpokládá i sjednocení bezpečnostních opatření a celého podnikání do jedné iniciativy,“ uvedl Rand. „IT oddělení potřebuje převzít proaktivní, preventivní roli.