Tym razem odbiegam od głównego tematu tradycyjnych kradzieży, ale tym artykułem wchodzę w nowy, być może potrzebny wątek incydentów cyfrowych. I być może będzie to dłuższa seria, bo coraz więcej sygnałów wskazuje, że ten problem dotyczy i dotyczyć będzie także personelu ochrony fizycznej. W organizacjach koncentracja na zasobach wewnętrznych (własnym personelu) stawiana jest wyżej. Jest to oczywiste z wielu względów, ale czy ktoś patrzy również na otoczenie, które uczestniczy w procesach budowania kultury bezpieczeństwa, jakim jest personel ochrony? – często odpowiedzialny za dostęp do obiektu, pomieszczeń, a nierzadko operujący systemami bezpieczeństwa podłączonymi do infrastruktury sieciowej firmy.
Tytuł tego artykułu to zarazem zasadnicze pytanie: czy personel ochrony jest przygotowany na ryzyka związane z cyberbezpieczeństwem? Ochrona tradycyjna (fizyczna) od zawsze koncentrowała się na klasycznych zagrożeniach, takich jak kradzieże, zachowania agresywne czy incydenty porządkowe. Coraz częściej jednak realne ryzyko nie kryje się wyłącznie w sklepowych alejkach, lecz także w sferze cyfrowej, do której pracownicy mają dostęp poprzez narzędzia pracy takie jak komputery, tablety i smartfony. I tu pojawia się problem – ilu ochroniarzy zdaje sobie sprawę z tego, jak wyglądają współczesne cyberzagrożenia?
Brak świadomości i nadmierne zaufanie
Edukacja w firmach koncentruje się głównie na zespołach IT, administracji i kadrze menedżerskiej. Personel ochrony, będący istotnym elementem systemu bezpieczeństwa, często pozostaje poza tym procesem lub musi radzić sobie sam. W efekcie pojęcia takie jak phishing, smishing czy vishing wciąż brzmią dla wielu egzotycznie. Owszem, słyszeli o wyłudzeniach „na blika” czy fałszywych konkursach, ale nie potrafią rozpoznać bardziej wyrafinowanych prób manipulacji. Wystarczy dobrze spreparowany e-mail od „kuriera” albo telefon od rzekomego przełożonego i drzwi do problemów otwierają się.
Ochroniarze z natury są lojalni i nastawieni na wykonywanie poleceń. To cenna cecha w ich pracy, jednak w świecie cyfrowym może prowadzić do poważnych incydentów. Kliknięcie w pozornie znajomy link czy wykonanie prośby „kierownika” przez telefon mogą skutkować nie tylko kompromitacją danych, lecz także paraliżem systemów bezpieczeństwa albo skutecznym atakiem typu malware.
Problem potęguje brak procedur. Wielu pracowników nie wie, jak postąpić w razie podejrzanej wiadomości. Nie mają świadomości, że należy zgłosić ją do IT (co pozwoli zapobiec lub ograniczyć skutki ataku), zweryfikować tożsamość dzwoniącego lub wstrzymać działanie i poinformować przełożonego o niepokojącej sytuacji. To przełożony może podjąć dalsze kroki, jeśli wcześniej togo nie zrobiono. Intuicja bywa zgubna, a atakujący doskonale to wykorzystują.
Cyberhigiena i poufność – zaniedbane fundamenty
Codzienność w obiektach handlowych pokazuje, że podstawy cyberhigieny często są lekceważone. Hasła bywają zapisywane na karteczkach, komputery pozostawiane odblokowane, a prywatne telefony i pendrive’y podłączane do służbowych urządzeń. Do tego dochodzi przeglądanie przypadkowych stron czy pobieranie plików z niepewnych źródeł. To nie drobiazgi, lecz realne furtki do ataków. Tu pomocne mogą być zarówno odpowiednie działania, jak i środki techniczne, takie jak blokada portów USB, blokowanie nieautoryzowanych witryn, stosowanie dedykowanych kont użytkowników czy wdrożenie odpowiedniego oprogramowania zabezpieczającego.
Podobnie jest z poufnością. Wielu ochroniarzy nie rozumie, jakie informacje należy traktować jako wrażliwe. Zdarza się, że robią zdjęcia w pracy, gdzie w tle widoczne są grafiki, widoki z kamer, identyfikatory czy dane osób funkcyjnych. Gdy trafia to do sieci, mogą zostać wykorzystane do ataków socjotechnicznych, a konsekwencje mogą być poważne. Poufność nie oznacza jedynie zakazu wynoszenia dokumentów, ale również konieczność zachowania ostrożności w codziennych, pozornie niewinnych sytuacjach. Dlatego tak ważne jest budowanie kultury bezpieczeństwa obejmującej wszystkie szczeble personelu.
Teoria bez praktyki
Nawet jeśli prowadzone są szkolenia, często ograniczają się do jednorazowych wykładów, czy niezrozumiałych procedur. Dodatkowym problemem jest rotacja pracowników, która sprawia, że wiedza nie utrwala się w zespole. Brakuje praktycznych ćwiczeń: rozpoznawania phishingu, symulacji prób socjotechnicznych czy testów z nieautoryzowanymi nośnikami USB. Bez regularnego treningu wiedza szybko zanika, a dobre nawyki nie mają szans się utrwalić.
Patrząc na te luki, można odnieść wrażenie, że ochrona fizyczna wciąż funkcjonuje w starym modelu, w którym zagrożeniem jest wyłącznie złodziej w sklepie i wandal. Tymczasem niebezpieczeństwo może przyjść w formie e-maila lub fałszywego technika IT. Ochroniarz nie musi być specjalistą IT, ale powinien znać podstawowe zasady cyberhigieny i umieć dostrzec czerwone flagi.
To luka w kompetencjach cyfrowych, którą trzeba uzupełnić. W przeciwnym razie to właśnie Ci lojalni pracownicy, zaangażowani i gotowi działać, mogą nieświadomie stać się najsłabszym ogniwem w systemie bezpieczeństwa. A na to handel detaliczny po prostu nie może sobie pozwolić.
W uzupełnieniu do artykułu udostępniam materiał pomocniczy.
Pobierz: #BH.Poradnik z cyberhigieny dla personelu ochrony (edycja: 1).
Zachęcam do pobrania i przekazania go dalej.
Autor bloga o bezpieczeństwie w handlu.
Tworzę treści z pasji i doświadczenia.
Wszelkie prawa zastrzeżone.