Кібербезпека в руках людей: чому найслабша ланка – не код, а співробітник?
Фішинг еволюціонує швидше за штучний інтелект. І ми все ще натискаємо «відкрити».
Помилка оновлення CrowdStrike у 2024 році паралізувала роботу сотень компаній по всьому світу. Один-єдиний збій у коді — людська помилка в процесі розробки або тестування програмного забезпечення — спричинив глобальний крах IT-інфраструктури, 5,4 мільярдів збитків, скасовані рейси, зупинені лікарні та мільйони постраждалих користувачів. Упевнений, всі пам'ятають цей кейс, який вкотре показав: людський фактор — головна загроза інформаційній безпеці.
Я регулярно читаю різні огляди в галузі кібербезпеки, і цифри вражають. За даними Mimecast, у 2024 році 95% кіберінцидентів сталися саме через людські дії чи бездіяльність. Компанії витрачають мільярди на сучасні системи захисту, впроваджують нові технології, будують багаторівневу інфраструктуру безпеки — але часто ігнорують найслабшу ланку - людину.
У 2010-х атаки були переважно технічними: трояни, вразливості у коді, віруси. Сьогодні все частіше атака стартує не з коду, а з того, що хтось відкрив не той лист, перейшов не за тим лінком чи завантажив не той файл. І системи — вже у зоні ураження. Дослідження лише підтверджують це: за різними оцінками, від 68 до 95% атак трапляються через помилку, необізнаність або недбалість співробітника.
Поширені людські помилки в кібербезпеці
Фішинг та соціальна інженерія — інструмент №1 у руках зловмисників. Нові тактики — квішинг (шкідливі QR-коди), смішинг (текстові повідомлення), вішинг (дзвінки) — еволюціонують із неймовірною швидкістю. Це не абстрактна загроза.
Зіштовхнувся з подібним кейсом в Telegram: «Проголосуй за мою племінницю». Ніби невинне повідомлення, яке прийшло від знайомого. За посиланням — фішингова форма, яка могла вкрасти конфіденційні дані. Інша тактика зловмисників — образливі коментарі під постами в соцмережах, що б привернути увагу до аккаунту, переходиш за лінком подивитися на автора — і твій акаунт уже не належить тобі.
Ще одна помилка — слабкі паролі. У 2024 році «123456» досі залишається найпопулярнішим паролем у світі. Люди не змінюють паролі навіть після відомих витоків даних, використовують одні й ті самі комбінації на різних платформах, нехтують базовими принципами інформаційної гігієни. І в цьому теж — людський фактор. Людина активно починає цікавитись кібергігієною лише після того, як сама потрапляє в пастку шахраїв. Але може бути надто пізно.
Чому фішингові атаки ефективні?
Секрет — у психології. Хакери використовують поведінкові патерни, грають на наших емоціях і реакціях:
Терміновість і страх — створюють враження, що треба діяти негайно, інакше будуть наслідки.
Авторитет і довіра — прикидаються представниками відомих брендів або керівництва компанії.
Цікавість і спокуса — обіцяють подарунки, виграші або ексклюзивну інформацію.
Когнітивні упередження — користуються нашою звичкою довіряти знайомим, близьким, діяти автоматично, не перевіряючи.
Що по галузях?
У високочутливих індустріях ці помилки коштують занадто дорого. Найвищий ризик — в охороні здоров’я, фінансовому секторі, держструктурах і, звісно, гемблінгу. У цих сферах кібератака — це не просто технічний збій. Це удар по довірі, по фінансах, по ліцензії.
Охорона здоров'я
2024 рік. Співробітник Ascension Hospitals випадково завантажив шкідливий файл — і спричинив масштабну атаку програм-вимагачів. Паралізовані понад 140 лікарень в 19 штатах США. Персонал повернувся до паперу й факсу.
Державні органи
Та ж сама історія — у Північній Ірландії. Поліція випадково надсилає журналістам повний список своїх офіцерів. Людська помилка в пошті. Імена, адреси, звання — у публічному доступі. Після цього службовці та їх сім’ї отримують погрози.
Гральний бізнес
Атака на MGM Resorts у 2023 році: хакери зібрали дані співробітників із LinkedIn, подзвонили до IT-підтримки, видали себе за співробітника — і отримали доступ до систем. Результат: $100 млн збитків і дні простою, втрата довіри клієнтів та стейколдерів компанії.
Більш давніший випадок кібератаки Casino Rama (Канада, 2016): витік чутливих даних клієнтів і співробітників. Хоча технічні деталі атаки не розголошувалися, ймовірною причиною стала внутрішня недбалість персоналу. Ще тоді, майже 10 років тому.
Як зменшити ризики?
Сьогодні бізнес починає усвідомлювати: кіберосвіта — це не тренд, а must have. За прогнозами Cybersecurity Ventures, глобальні витрати на навчання персоналу перевищать $10 мільярдів до 2027 року. Понад 90% інцидентів можна було б уникнути, якби працівники знали, як правильно діяти під час атаки.
Симуляції фішингу — один із найефективніших способів підвищити обізнаність. Дослідження показують: після п’яти симуляцій відсоток співробітників, які натискають на фішингові посилання, знижується з 70% до однозначних чисел. Звіт Microsoft, показує, що коли співробітники проходять тренування з моделювання фішингу, у них на 50% менше шансів потрапити на фішинг. Компанії, які системно впроваджують тренінги, бачать не тільки менше інцидентів, а й більше повідомлень про підозрілу активність.
Але цього недостатньо. Щоб справді зменшити ризики людського фактора, потрібен системний підхід. По-перше — постійне навчання команди: як розпізнавати загрози і що робити під час атаки. Це — чіткі політики обігу даних, культура безпеки без страху зробити помилку, регулярний аудит доступів і використання ШІ для виявлення аномалій ще до того, як вони стануть проблемою. І нарешті — це турбота про людей. Бо втома, вигорання і розфокусованість — така ж вразливість, як і незахищений сервер. Просто менш помітна. Але ще більш небезпечна.
Але скільки б ми не посилювали системи захисту, помилки залишаться. Зловмисники це знають, тому й далі шукатимуть нові способи обійти захист. Питання вже не тільки в технологіях. Час дивитися глибше. Починати з основ: кібербезпека має бути частиною шкільної освіти — так само як фізика чи література. Цифрова безпека - база. І розуміти її варто не з першого злому — а з дитинства.
- Кібербезпека в руках людей: чому найслабша ланка – не код, а співробітник? Михайло Зборовський вчора о 14:56
- "Дачна революція": Верховний Суд дозволив реєстрацію місця проживання у дачному будинку Арсен Маринушкін вчора о 13:48
- Відповідальність батьків за тілесні ушкодження, завдані їхніми малолітніми дітьми Артур Кір’яков вчора о 09:28
- Економіка агресора радує своїм падінням Володимир Горковенко 01.05.2025 20:07
- Пенсійна реформа 2025 року Андрій Павловський 01.05.2025 18:17
- Все про ПДВ: коротка інструкція від адвоката Сергій Пагер 01.05.2025 09:52
- Инструкция для семей: как проверить статус военного и оформить необходимые выплаты Віра Тарасенко 30.04.2025 23:25
- Схеми "золотих паспортів" у ЄС під забороною: удар по російських олігархах Володимир Горковенко 30.04.2025 23:08
- Захист прав національних спільнот – основний критерій вступу України в Європейський Союз Сергій Пєтков 30.04.2025 18:12
- Час убезпечувати тил Євген Магда 30.04.2025 15:36
- Шанс або вирок: як бути бізнесу в епоху цифрової трансформації Богдан Данилко 30.04.2025 15:16
- Звільнення багатодітних батьків від оподаткування на об’єкти житлової нерухомості Юрій Стеценко 30.04.2025 13:39
- Це не працює в B2B-маркетингу: як уникнути найпоширеніших помилок Алла Болоховська 30.04.2025 11:46
- Проєкт регулювання криптоактивів в UK Олександр Черних 30.04.2025 11:00
- Проблеми з концентрацією уваги: чому виникають і чи варто бити на сполох? Ольга Малахова 29.04.2025 20:51
- Пенсійна реформа 2025 року 281
- Як підтримати переселенців і зберегти людський ресурс України 201
- Проєкт регулювання криптоактивів в UK 176
- Європейський вибір України: Як суспільство звільняється від пострадянського минулого 121
- Корпоративна безпека під час війни: як управляти ризиками в умовах невизначеності 88
-
Курська ганьба Кремля: плюси та мінуси операції ЗСУ на території Росії
Думка 9705
-
Кульмінаційний пункт позаду. Росія втратила останній шанс закінчити війну внічию
Думка 6744
-
Книга рекордів Гіннеса назвала найстарішу людину у світі. Жінка ділиться своїм секретом довголіття
Життя 6037
-
Угоду підписано: ресурси, перемир'я та гра на нервах
Думка 5298
-
Хто сплатить податок із доходів на цифрових платформах: новий законопроєкт
Думка 3904