2022. gadā cilvēka kļūdas bija atbildīgas par 82% no visiem pārkāpumiem. Tas pastiprina jau ieilgušo problēmu kiberdrošības jomā. CISO (chief information security officer) var ieguldīt līdzekļus jaunākajās tehnoloģijās un risinājumos, lai aizsargātu perimetru, galaiekārtas un programmas, taču cilvēciskā nolaidība atver durvis ļaundariem. Uzņēmumi bieži uzskata, ka darbinieki ir to lielākā ievainojamība, un, ka tie ir ārējo draudu upuri, taču dažkārt tas neatbilst patiesībai.
Saskaņā ar Gartner datiem vairāk nekā 90% no darbiniekiem, kuri iesaistījās nedrošās darbībās, to darīja, apzinoties, ka tas palielinās organizācijas risku. Šis atklājums pats par sevi ir šokējošs un bīstams, bet tas tikai pasliktināsies, jo darbiniekiem arvien vairāk tiek dota (bieži vien neapzināti) lielāka brīvība attiecībā uz darba tehnoloģijām. Programmatūras kā pakalpojuma (SaaS – software as a service) izplatība organizācijās efektīvi padara informācijas tehnoloģiju (IT) departamentus demokrātiskākus. Tajā pašā pētījumā Gartner norāda, ka līdz 2027. gadam 75% darbinieku iegādāsies, modificēs vai radīs tehnoloģijas bez IT departamenta uzraudzības, salīdzinot ar 41% 2022. gadā.
CISO ir maz cerību sekot līdzi pieaugošajām uzbrukumu virsmām (attack surfaces). It sevišķi, ja viņi neieguldīs ievērojamas investīcijas cilvēku orientētās drošības tehnoloģijās, kuras būtu vērstas uz darbinieku lēmumu pieņemšanas uzlabošanu reālajā laikā.
SaaS izplešanās iedrošina darbiniekus pārņemt tehnoloģijas savās rokās
SaaS straujais pieaugums organizācijās jeb “SaaS izplešanās” (“SaaS Sprawl”) nav jauna tendence, taču tās pieaugošo ietekmi uz uzņēmumu drošības nākotni nevar pārvērtēt. Vidēji viens uzņēmums izmanto 254 SaaS lietojumprogrammas. Sakarā ar pieaugošo savienojamību un SaaS /mākoņa lietojumprogrammu izmantošanu, resursu ierobežotās drošības komandas tagad ir atbildīgas par plašākas uzbrukumu virsmas aptveršanu. Tām ir nepieciešams veids, kā saglabāt redzamību un kontrolēt lietojumprogrammas no centrālas pārvaldības vietas. Tomēr tas ir sarežģīti, ņemot vērā, ka IT nepārvaldītais SaaS veido vairāk nekā pusi (51%) no vidusmēra organizācijas izmantoto programmatūru portfeļa. Drošības operācijas (SecOps) nevar aizsargāt to, ko tās neredz.
Bloķēšanas kļūda
Pat, ja tiek ņemtas vērā nesankcionētas SaaS, kas ir redzamas drošības operācijām (SecOps), lietotāju piekļuves bloķēšana joprojām ir neefektīva metode kiberdrošības higiēnas uzlabošanai. Piemēram, lieli uzņēmumi kā Apple, Amazon un Samsung, ir aizlieguši lietot ChatGPT. Šādai reakcijai ir daudz pamatotu iemeslu, ņemot vērā neskaidrās intelektuālā īpašuma tiesības saistībā ar mākslīgo intelektu (MI), bažas par privātumu un citas problēmas. Bet, vai bloķēšana patiešām sasniedz vēlamo rezultātu? Ja drošības komanda bloķē iespēju darbiniekiem izmantot SaaS ar darba kontiem, viņi var atrast veidus, kā izmantot SaaS risinājumus bez darba konta, taču izmantojot tos pašus sensitīvos darba datus. Piekļuves ierobežošana kļūst arvien nereālāka, ņemot vērā pieaugošos veidu, kā apiet aizsardzību.
Lieliem uzņēmumiem, kuriem ir pietiekami daudz resursu, ilgtermiņa risinājums ir izveidot savus iekšējos mākslīgā intelekta modeļus. Nodrošinot tāda paša līmeņa atbalstu bez ārējām drošības problēmām, taču tas prasīs laiku.
No brīža, kad radās uz pārlūkprogrammām balstīta drošība, kas ir visciešāk saistīta ar SaaS drošību, vietņu bloķēšana un darbību ierobežošana ir bijušas galvenās metodes, lai novērstu pikšķerēšanas un izspiešanas uzbrukumus. Tomēr tas izraisa lietotāju neapmierinātību, jo dažos gadījumos uzņēmums novērš vēlamo darbību, nepaskaidrojot, kāpēc un bez alternatīvas. Uzņēmumiem ir jāsāk bloķēšana ar paskaidrojumu vai darbību atļaušanu noteiktos, kontrolējamos apstākļos. Abos gadījumos uzņēmumi nodrošina kontekstu vai risinājumu.
Izmantojot iepriekš minēto ChatGPT piemēru, organizācijas var ieviest savlaicīgas norādes lietotāju darba vietās, brīdinot viņus par nedrošu darbību un liekot izvēlēties alternatīvu iespēju, kas apmierina gan drošības komandas, gan darbiniekus. Darbiniekiem var norādīt, lai viņi izvēlas salīdzināmu pakalpojumu, kas ir pieņemams. Piedāvāt dažādas ChatGPT drošības iespējas vai norādīt, lai, ievadot ChatGPT norādījumus, izvairītos no konkrētu vārdu vai frāžu lietošanas.
Lielākā daļa jauno SaaS drošības tehnoloģiju koncentrējas uz lietotāju brīdināšanu par nepareizu rīcību pēc tam, kad tā ir notikusi. Taču tas neatrisina problēmu, jo maz ticams, ka tā kļūs par iemācītu rīcību. Tāpēc kiberdrošības apmācības joprojām ir neefektīva – tikai 10% visu darbinieku atceras visu apmācību, kad pienāk laiks to izmantot.
Preventīvi brīdinājumi kopā ar paskaidrojumiem ir lieliski noderīgi arī pikšķerēšanas gadījumiem, paroļu etiķetes uzlabošanai un citās kiberdrošības jomās, kas nav saistītas tikai ar SaaS atļaujām. Ja darbinieks gatavojas noklikšķināt uz problemātiskas saites, intuitīvā programmatūra var apturēt darbību, paskaidrot iemeslu un ieteikt alternatīvu, kas neapdraud drošību.
Turklāt tas var ievērojami palīdzēt novērst izplatītāko paroļu ļaunprātīgu un atkārtotu lietošanu. Pat tik vienkārša lieta kā atgādinājums darbiniekiem izmantot vienotu pierakstīšanos (SSO – single sign-on) visām atļautajām SaaS lietojumprogrammām, palīdz nodrošināt atbilstību un ļauj drošības komandām uzlabot pārredzamību. Vidusmēra darbinieki neapzinās, cik svarīga ir paroļu izmantošana attiecībā uz vispārējo drošības stāvokli.
Tā kā SaaS turpina izplatīties, organizācijām nodrošināt pamata kiberhigēnu kļūst arvien svarīgāk, nekā jebkad agrāk. Jau gadu desmitiem ir pierādīts, ka darbinieki joprojām ir vājākais posms organizācijas drošības sistēmā neatkarīgi no tā, cik progresīvas ir kļuvušas kiberdrošības tehnoloģijas. Turpinot virzīties uz priekšu, CISO ir jākoncentrējas uz efektīvām metodēm, lai palīdzētu darbiniekiem justies kā daļai no risinājuma, nevis jācenšas viņus izslēgt kā problēmu.
