Кібербезпека в руках людини: чому найвразливішим елементом є не програмний код, а працівник?
Фішинг розвивається швидше, ніж технології штучного інтелекту. І ми все ще продовжуємо натискати "відкрити".
Помилка оновлення CrowdStrike у 2024 році паралізувала роботу сотень компаній по всьому світу. Один-єдиний збій у коді -- людська помилка в процесі розробки або тестування програмного забезпечення -- спричинив глобальний крах IT-інфраструктури, 5,4 мільярдів збитків, скасовані рейси, зупинені лікарні та мільйони постраждалих користувачів. Упевнений, всі пам'ятають цей кейс, який вкотре показав: людський фактор -- головна загроза інформаційній безпеці.
Я постійно аналізую різноманітні огляди в сфері кібербезпеки, і результати вражають. Згідно з даними компанії Mimecast, у 2024 році 95% кіберінцидентів сталися внаслідок дій або бездіяльності людей. Незважаючи на те, що компанії витрачають мільярди на впровадження сучасних систем захисту, новітніх технологій і створення багаторівневої інфраструктури безпеки, вони часто недооцінюють найслабшу ланку — людський фактор.
У 2010-х роках кібернапади здебільшого мали технічний характер: вони включали трояни, вразливості в програмному коді та віруси. Сьогодні ж ситуація змінилася: атаки все частіше розпочинаються не з технічних аспектів, а з людського фактора — коли хтось відкриває неналежний електронний лист, переходить за небезпечним посиланням або завантажує шкідливий файл. Внаслідок цього системи опиняються під загрозою. Дослідження підтверджують цю тенденцію: за різними оцінками, від 68 до 95% усіх кіберінцидентів відбувається через помилки, відсутність знань або недбалість працівників.
Фішинг і соціальна інженерія є найпопулярнішими інструментами для злочинців. Сучасні методи, такі як квішинг (шкідливі QR-коди), смішинг (текстові повідомлення) та вішинг (телефонні дзвінки), розвиваються з вражаючою швидкістю. Це не просто теоретична загроза, а реальна небезпека, яка потребує уваги.
Стикнувся з подібною ситуацією в Telegram: "Проголосуй за мою племінницю". Здавалося б, звичайне повідомлення від знайомого. Але за посиланням ховалася фішингова форма, здатна викрасти конфіденційну інформацію. Інша стратегія злочинців полягає в нецензурних коментарях під публікаціями в соціальних мережах. Це робиться для того, щоб привернути увагу до певного акаунту. Коли ти переходиш за лінком, щоб перевірити автора, твій акаунт стає не твоїм.
Ще однією поширеною проблемою є використання ненадійних паролів. У 2024 році "123456" залишається найвідомішим паролем у світі. Багато людей не оновлюють свої паролі, навіть коли стають відомими випадки витоку даних, і продовжують використовувати однакові комбінації на різних платформах, ігноруючи основи інформаційної безпеки. Це ще один прояв людського фактора. Інтерес до кібергігієни зазвичай з’являється лише тоді, коли людина вже стає жертвою шахраїв. Але в такому випадку може бути вже занадто пізно.
Тайна полягає в психології. Хакери маніпулюють поведінковими шаблонами, використовуючи наші емоції та реакції на свою користь.
У надчутливих галузях ці помилки можуть обернутися величезними втратами. Найбільший ризик спостерігається в охороні здоров'я, фінансовій сфері, державних установах та, безсумнівно, у гемблінгу. У цих областях кібератака є не лише технічним збоями; це серйозний удар по довірі, фінансовій стабільності та ліцензійній діяльності.
Здоров'я та медичне обслуговування
2024 рік. Співробітник Ascension Hospitals випадково завантажив шкідливий файл -- і спричинив масштабну атаку програм-вимагачів. Паралізовані понад 140 лікарень в 19 штатах США. Персонал повернувся до паперу й факсу.
Державні органи
Та ж сама історія -- у Північній Ірландії. Поліція випадково надсилає журналістам повний список своїх офіцерів. Людська помилка в пошті. Імена, адреси, звання -- у публічному доступі. Після цього службовці та їх сім'ї отримують погрози.
Ігрова індустрія
Атака на MGM Resorts у 2023 році: хакери використали дані співробітників, отримані з LinkedIn, зателефонували до служби IT-підтримки, представившись працівником компанії, та здобули доступ до внутрішніх систем. Наслідки: збитки в розмірі 100 мільйонів доларів, тривалі перерви в роботі, а також втрата довіри з боку клієнтів і стейкхолдерів.
Більш давніший випадок кібератаки Casino Rama (Канада, 2016): витік чутливих даних клієнтів і співробітників. Хоча технічні деталі атаки не розголошувалися, ймовірною причиною стала внутрішня недбалість персоналу. Ще тоді, майже 10 років тому.
Сьогодні компанії все більше усвідомлюють, що кіберосвіта - це не просто модна тенденція, а необхідність. За даними прогнозів Cybersecurity Ventures, витрати на навчання співробітників у цій сфері досягнуть понад 10 мільярдів доларів до 2027 року. Близько 90% кіберінцидентів можна було б запобігти, якби працівники знали, як реагувати в умовах атаки.
Симуляції фішингових атак є одним з найефективніших методів підвищення рівня обізнаності співробітників. Дослідження свідчать, що після проведення п'яти таких симуляцій, кількість співробітників, які клікають на фішингові посилання, зменшується з 70% до однозначних значень. Згідно зі звітом Microsoft, працівники, які проходять тренінги з фішингового моделювання, мають на 50% менше шансів стати жертвами фішингу. Компанії, які регулярно впроваджують такі навчання, спостерігають не лише зниження кількості інцидентів, але й збільшення випадків повідомлень про підозрілу активність.
Проте цього недостатньо. Щоб дійсно знизити ризики, пов'язані з людським фактором, необхідний системний підхід. По-перше, важливо забезпечити безперервне навчання команди: навчити їх розпізнавати загрози та діяти в разі атаки. Це включає в себе чіткі політики щодо обробки даних, формування культури безпеки, де не бояться помилок, регулярний аудит доступу та впровадження штучного інтелекту для виявлення аномалій ще до того, як вони стануть серйозними проблемами. Окрім цього, важливо дбати про людей. Адже втома, вигорання та відволікання є такими ж вразливими моментами, як і незахищений сервер. Хоча менш очевидні, вони можуть бути ще більш небезпечними.
Незалежно від того, наскільки ми вдосконалюємо наші системи захисту, помилки завжди можуть виникнути. Зловмисники це усвідомлюють, тому продовжують шукати нові шляхи, щоб обійти ці засоби захисту. Суть справи виходить за межі технологій. Потрібно заглибитися у проблему. Важливо почати з основ: кібербезпека повинна стати невід’ємною частиною шкільної програми, так само як фізика або література. Цифрова безпека - це фундамент. І засвоювати її основи потрібно не після першого злому, а вже в дитинстві.
