Průzkum Check Point: Téměř polovina podniků se stala obětí sociálního inženýrství

Check Point Software Technologies Ltd. (Nasdaq: CHKP), celosvětový lídr v oblasti zabezpečení internetu, dnes oznámil výsledky svého nového průzkumu, který odhalil, že až 48 % dotázaných podniků se stalo obětí sociálního inženýrství. Dotazované podniky zažily v posledních dvou letech 25 a více útoků a způsobené ztráty dosahovaly od 25 000 po 100 000 USD za jeden bezpečnostní incident, výjimkou nebyly ani vyšší náklady. Zpráva „Riziko sociálního inženýrství v informační bezpečnosti“ označuje phishing a nástroje sociálních sítí jako nejčastější zdroje hrozeb sociálního inženýrství. Informuje tak podniky o nutnosti silné kombinace bezpečnostních technologií a povědomí uživatelů, která vede
k minimalizaci četnosti a ztrát z útoků. (TZ)

Útoky sociálního inženýrství jsou tradičně zaměřeny na lidi se znalostí nebo přístupem k citlivým informacím. Hackeři dnes využívají různé techniky a aplikace sociálních sítí k shromažďování osobních a profesních informací o osobách, s cílem nalézt nejslabší článek v organizaci. Podle celosvětového průzkumu u více než 850 IT a bezpečnostních profesionálů, má z útoků sociálního inženýrství rostoucí obavy více než 86 % podniků. Většina respondentů (51%) vnímá jako primární motivaci útoků finanční zisk, za ním následuje konkurenční výhoda a pomsta.

„I když výsledky průzkumu ukazují, že téměř polovina dotázaných podniků měla zkušenost s útoky sociálního inženýrství, 41 % uvedlo, že si nebyli jistí. Tento nedostatek povědomí o bezpečnosti je sám o sobě hrozbou“ řekl Oded Gonda, viceprezident pro bezpečnostní produkty společnosti Check Point Software Technologies.

Zatímco techniky sociálního inženýrství těží z osobní zranitelnosti, díky technologii Web 2.0 a mobilní výpočetní technice je navíc snadnější získat informace o jednotlivci a vytvořit pro útoky sociálního inženýrství nové vstupní možnosti. Noví zaměstnanci (60%) a pracovníci s dočasnou smlouvou – kontraktoři (44%), kteří mohou být méně obeznámeni s firemní bezpečností, jsou vedle asistentů, pracovníků s lidskými zdroji a IT pracovníků, považováni jako nejvíce náchylní k technikám sociálního inženýrství.

„Lidé jsou velmi důležitou součástí bezpečnostního procesu, protože mohou být snadno podvedeni a následně udělat chyby, které vedou k infekci malwarem nebo
k neúmyslné ztrátě dat. Mnohé organizace nevěnují zapojení uživatelů dostatečnou pozornost, ve skutečnosti by však zaměstnanci měli být první linií obrany,“ dodal Gonda. „Dobrým způsobem, jak zvýšit povědomí o bezpečnosti mezi uživateli, je zapojit je do procesu bezpečnosti a umožnit jim zabránit bezpečnostním incidentům
v reálném čase.“

Pro dosažení potřebné úrovně ochrany v moderní IT prostředí je nutné, aby
se bezpečnost vyvinula ze sbírky různorodých technologií v efektivní podnikový proces. Check Point 3D Security pomáhá společnostem vytvořit plán zabezpečení, které jde nad rámec technologií a umožňuje vzdělávání zaměstnanců jejich zapojením do celého bezpečnostního procesu. „Stejně tak, jak mohou zaměstnanci udělat chyby a způsobit narušení nebo ohrožení v rámci organizace, mohou také hrát velkou roli při zmírňování rizik ,“ dodal Gonda. Pomocí technologie Check Point UserCheck mohou být zaměstnanci upozorněni a poučeni o podnikových zásadách při přístupu do podnikové sítě, k datům a aplikacím. Check Point UserCheck tak pomáhá firmám minimalizovat četnost, rizika i finanční ztráty spojené s útoky sociálního inženýrství.

Hlavní zjištění zprávy:

  • Hrozba útoků sociálního inženýrství je skutečná – 86 % IT
    a bezpečnostních profesionálů si je vědomo rizik spojených s útoky sociálního inženýrství. Přibližně 48 % dotázaných podniků uvedlo, že se staly obětí sociálního inženýrství více než 25 x v posledních dvou letech.
  • Útoky sociálního inženýrství jsou nákladné – účastníci průzkumu odhadují, že každý bezpečnostní incident stojí mezi 25 000 a 100 000 USD, včetně ztrát spojených s výpadky v podnikání, výdaji spojenými s udržením zákaznické loajality, ztrátou příjmů a s poškozením značky.
  • Nejčastější zdroje sociálního inženýrství – phishingové e-maily byly hodnoceny jako nejčastější technika sociálního inženýrství (47%), následují sociální sítě, kde mohou být zneužity osobní a profesní informace (39%)
    a nezajištěná mobilní zařízení (12%).
  • Primární motivací sociálního inženýrství jsou finanční zisky- finanční zisk byl citován jako nejčastější příčina útoků sociálního inženýrství, dále přístup
    k chráněným informacím (46%), konkurenční výhoda (40%) a pomsta (14%).
  • Noví zaměstnanci jsou nejvíce zranitelní technikami sociálního inženýrství – účastníci průzkumu věří, že noví zaměstnanci znamenají vysoké riziko vystavení útokům sociálního inženýrství, následují pracovníci s dočasnou smlovou – kontraktoři (44%), výkonní asistenti (38%), pracovníci lidských zdrojů (33%), vedoucí obchodníci (32%) a IT personál (23%). Bez ohledu na roli zaměstnance v rámci organizace, je klíčovou součástí jakékoli bezpečnostní politiky řádné školení a zvyšování povědomí uživatelů.
  • Nedostatek proaktivního tréninku pro prevenci útoků sociálního inženýrství – 34 % podniků nemá žádné školení zaměstnanců a bezpečnostní politiky, které mají zabránit technikám sociálního inženýrství. 19 % zavedení plánuje

Průzkum „Riziko sociálního inženýrství v informační bezpečnosti“ byl proveden
v červenci a srpnu 2011. Zúčastnilo se ho více než 850 IT a bezpečnostních profesionálů v USA, Kanadě, Velké Británii, Německu, Austrálii a na Novém Zélandu. Vzorek průzkumu reprezentuje organizace všech velikostí a různých odvětví, včetně finančních, průmyslových, obrany, maloobchodu, zdravotnictví a školství. Pokud se chcete dozvědět více o sociálním inženýrství a přidat vaše zkušenosti, zde naleznete plnou zprávu a můžete se také zúčastnit průzkumu: http://www.checkpoint.com/surveys/socialeng1509/socialeng.htm

“Bezpečnost není jen problém pro IT administrátory, musí být součástí role každého profesionála. S tím, jak se průmysl potýká s nárůstem sofistikovaných a cílených hrozeb, činí zapojení uživatelů bezpečnostní technologie chytřejší a efektivnější,” uzavřel Gonda.

O společnosti Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com), celosvětový lídr v oblasti zabezpečení internetu, přináší svým zákazníkům bezkonkureční zabezpečení proti všem typům počítačových hrozeb, klade důraz na jednoduchost nasazení a ovládání a snižuje náklady na vlastnictví. Check Point jako první uvedl na trh firewall (označený FireWall-1) s patentovanou technologií „stateful inspection“. Nejnovější inovací Check Pointu je architektura softwarových bladů. Dynamická architektura softwarových bladů nabízí bezpečná, flexibilní a jednoduchá řešení, která je možné libovolně přizpůsobit potřebám jakékoliv organizace. Check Point jako jediný dodavatel nabízí řešení, které jde nad rámec technologií a definuje bezpečnost jako obchodní proces. Check Point 3D Security kombinuje bezpečnostní politiky, uživatele a metodologii na prosazování bezpečnosti. Díky 3D Security mohou firmy vytvořit bezpečnostní plán, který je v souladu s firemními potřebami a zároveň posílí informační bezpečnost. Mezi zákazníky Check Pointu patří desítky tisíc společností a organizací všech velikostí, včetně všech firem uváděných v žebříčku Fortune 100. Řešení ZoneAlarm, které získalo řadu ocenění, chrání milióny počítačů proti útokům hackerů, spyware a krádeží identity.