Pracownicy coraz częściej uzyskują dostęp do wrażliwych danych firm w sposób zdalny, zwykle korzystając z własnych urządzeń , na których korzystają także z aplikacji sieci społecznościowych. Czy są łatwym łupem dla cyberprzestępców? Takiego zdania są członkowie konsorcjum DOGANA, dlatego opracowali ramy oceny ryzyka, aby pomóc przedsiębiorstwom zmniejszać związane z tym zagrożenie.

Gospodarka cyfrowa

Bezpieczeństwo

Pracujemy wszędzie, o każdej porze dnia i nocy. Mógłby to być niezły slogan reklamowy dla coraz popularniejszej korporacyjnej kultury pracy zdalnej. Trudno się z tym nie zgodzić. Praca z domu pozwala przedsiębiorstwom ograniczać wydatki, podnosi produktywność pracowników i sprawia, że są bardziej zadowoleni. Wspomaga nawet walkę z takimi zjawiskami, jak zbyt duże natężenie ruchu drogowego i emisja CO2. Jednak ta nowa filozofia zmusza do refleksji nad pewnymi kwestiami, wśród których naprawdę zasadnicza jest sprawa bezpieczeństwa. Choć przedsiębiorstwa od zawsze były podatne na cyberataki, ryzyko to znacznie wzrosło wraz z zacierającymi się granicami między korzystaniem z urządzeń prywatnych i służbowych, a także niespotykanym sukcesem sieci społecznościowych. Jak wyjaśnia Francesca Giampaolo, koordynatorka projektu DOGANA, mają na to wpływ różne czynniki. „Ludzie nie tylko coraz częściej wykorzystują urządzenia prywatne do celów służbowych, ale także łączą to z korzystaniem z mediów społecznościowych, których model biznesowy zachęca ich do dzielenia się informacjami na swój temat. Platformy te nie mają jednak solidnych mechanizmów uwierzytelniania, a na domiar złego, wiele osób nie potrafi unikać niepotrzebnego ryzyka i nie posiada wiedzy umożliwiającej im skuteczne zabezpieczanie swoich urządzeń”. W odpowiedzi na ten problem projekt DOGANA opracował ramy wykorzystujące „zaawansowaną inżynierię społeczną i ocenę podatności” na potrzeby pomiaru ryzyka związanego z podatnością społeczną i zapobiegania mu. Choć wszystkie gałęzie przemysłu są podatne, system umożliwia liczbowe wyrażenie rzeczywistego ryzyka w oparciu o zależność przedsiębiorstwa od rozwiązań informatycznych, skalę konsekwencji płynących z ataku, poziom związanego z tym ryzyka, a także innych wskaźników. Ramy składają się z otwartoźródłowego łańcucha narzędzi, który jest wykorzystywany w celu oceny podatności (zbieranie informacji, przygotowanie ataku i punktu zaczepienia, przeprowadzenie ataku i sporządzenie raportu), z programu szkoleń obejmującego metody uświadamiania i zestaw narzędzi do zautomatyzowanego ograniczania ryzyka, a także części składowej dla organów ścigania. Według Giampaolo, zasadnicze innowacje projektu DOGANA obejmują „ramy gromadzenia informacji”, które ułatwiają testerom zbieranie informacji we własnym zakresie, ograniczając wskaźnik błędu i poprawiając wydajność ich pracy. Stworzono też „ramy świadomości” zawierające szereg metod podnoszących świadomość, które mogą zostać dostosowane do konkretnych potrzeb przedsiębiorstwa, a także „ramy polityki organizacyjnej”, które dostarczają zestawu wytycznych i wymagań stworzonych szczególnie z myślą o przedsiębiorstwach europejskich. System DOGANA jest również w pełni zgodny z RODO. „Ramy zaprojektowano tak, by świadczyć usługi umożliwiające ocenę podatności podyktowaną czynnikami społecznymi (ang. Social Driven Vulnerability Assessments, SDVA), lecz jednocześnie określone jego części dostosowano do czterech domen zastosowań, które zostały sprawdzone w fazie testowej (obrona, rząd, transport i sytuacje awaryjne)”, wyjaśnia Giampaolo. „Co więcej, system DOGANA zaprojektowano z myślą o dwóch różnych klasach użytkowników końcowych, każda z właściwymi sobie ograniczeniami i odpowiedzialnością. Jedną z nich są testerzy SDVA, odpowiedzialni za zadania związane z przygotowaniem i wykonaniem SDVA, a drugą przedstawiciele firm, którzy mogą ocenić dane statystyczne i raporty z przeprowadzonych SDVA”. System DOGANA skierowany jest do przedsiębiorstw, których pracownicy na co dzień korzystają z komputerów, dając im rozwiązanie pomagające im monitorować pracowników, którzy padają ofiarą ataków phishingowych oraz opartych na technikach inżynierii społecznej. „Pomożemy tym przedsiębiorstwom przeprowadzić programy szkoleniowe, aby wykształcić w ich pracownikach pełną świadomość tego, w jaki sposób unikać pułapek w mailach, które dla niedoświadczonego użytkownika wyglądają bardzo wiarygodnie”, mówi Giampaolo. Związane z systemem DOGANA oferty rynkowe obejmą usługi konsultingowe i szkolenia, a każdy członek konsorcjum będzie stosował te ramy we własnej sieci i sieciach partnerskich.

Słowa kluczowe

DOGANA, media społecznościowe, bezpieczeństwo, urządzenie osobiste, dane przedsiębiorstwa, ocena podatności, ramy