Dotazované podniky zažily v posledních dvou letech 25 a více útoků a způsobené ztráty dosahovaly od 25 000 po 100 000 USD za jeden bezpečnostní incident, výjimkou nebyly ani vyšší náklady. Zpráva „Riziko sociálního inženýrství v informační bezpečnosti“ označuje phishing a nástroje sociálních sítí jako nejčastější zdroje hrozeb sociálního inženýrství. Informuje tak podniky o nutnosti silné kombinace bezpečnostních technologií a povědomí uživatelů, která vede k minimalizaci četnosti a ztrát z útoků.
Útoky sociálního inženýrství jsou tradičně zaměřeny na lidi se znalostí nebo přístupem k citlivým informacím. Hackeři dnes využívají různé techniky a aplikace sociálních sítí k shromažďování osobních a profesních informací o osobách, s cílem nalézt nejslabší článek v organizaci. Podle celosvětového průzkumu u více než 850 IT a bezpečnostních profesionálů, má z útoků sociálního inženýrství rostoucí obavy více než 86 % podniků. Většina respondentů (51%) vnímá jako primární motivaci útoků finanční zisk, za ním následuje konkurenční výhoda a pomsta.
„I když výsledky průzkumu ukazují, že téměř polovina dotázaných podniků měla zkušenost s útoky sociálního inženýrství, 41 % uvedlo, že si nebyli jistí. Tento nedostatek povědomí o bezpečnosti je sám o sobě hrozbou,“ řekl Oded Gonda, viceprezident pro bezpečnostní produkty společnosti Check Point Software Technologies.
Zatímco techniky sociálního inženýrství těží z osobní zranitelnosti, díky technologii Web 2.0 a mobilní výpočetní technice je navíc snadnější získat informace o jednotlivci a vytvořit pro útoky sociálního inženýrství nové vstupní možnosti. Noví zaměstnanci (60%) a pracovníci s dočasnou smlouvou - kontraktoři (44%), kteří mohou být méně obeznámeni s firemní bezpečností, jsou vedle asistentů, pracovníků s lidskými zdroji a IT pracovníků, považováni jako nejvíce náchylní k technikám sociálního inženýrství.
„Lidé jsou velmi důležitou součástí bezpečnostního procesu, protože mohou být snadno podvedeni a následně udělat chyby, které vedou k infekci malwarem nebo k neúmyslné ztrátě dat. Mnohé organizace nevěnují zapojení uživatelů dostatečnou pozornost, ve skutečnosti by však zaměstnanci měli být první linií obrany,“ dodal Gonda. „Dobrým způsobem, jak zvýšit povědomí o bezpečnosti mezi uživateli, je zapojit je do procesu bezpečnosti a umožnit jim zabránit bezpečnostním incidentům v reálném čase.“
Hlavní zjištění zprávy:
• Hrozba útoků sociálního inženýrství je skutečná - 86 % IT a bezpečnostních profesionálů si je vědomo rizik spojených s útoky sociálního inženýrství. Přibližně 48 % dotázaných podniků uvedlo, že se staly obětí sociálního inženýrství více než 25x v posledních dvou letech.
• Útoky sociálního inženýrství jsou nákladné - účastníci průzkumu odhadují, že každý bezpečnostní incident stojí mezi 25 000 a 100 000 USD, včetně ztrát spojených s výpadky v podnikání, výdaji spojenými s udržením zákaznické loajality, ztrátou příjmů a s poškozením značky.
• Nejčastější zdroje sociálního inženýrství - phishingové e-maily byly hodnoceny jako nejčastější technika sociálního inženýrství (47%), následují sociální sítě, kde mohou být zneužity osobní a profesní informace (39%) a nezajištěná mobilní zařízení (12%).
• Primární motivací sociálního inženýrství jsou finanční zisky- finanční zisk byl citován jako nejčastější příčina útoků sociálního inženýrství, dále přístup k chráněným informacím (46%), konkurenční výhoda (40%) a pomsta (14%).
• Noví zaměstnanci jsou nejvíce zranitelní technikami sociálního inženýrství - účastníci průzkumu věří, že noví zaměstnanci znamenají vysoké riziko vystavení útokům sociálního inženýrství, následují pracovníci s dočasnou smlovou - kontraktoři (44%), výkonní asistenti (38%), pracovníci lidských zdrojů (33%), vedoucí obchodníci (32%) a IT personál (23%). Bez ohledu na roli zaměstnance v rámci organizace, je klíčovou součástí jakékoli bezpečnostní politiky řádné školení a zvyšování povědomí uživatelů.
• Nedostatek proaktivního tréninku pro prevenci útoků sociálního inženýrství - 34 % podniků nemá žádné školení zaměstnanců a bezpečnostní politiky, které mají zabránit technikám sociálního inženýrství. 19 % zavedení plánuje
O výzkumu
Průzkum „Riziko sociálního inženýrství v informační bezpečnosti“ byl proveden v červenci a srpnu 2011. Zúčastnilo se ho více než 850 IT a bezpečnostních profesionálů v USA, Kanadě, Velké Británii, Německu, Austrálii a na Novém Zélandu. Vzorek průzkumu reprezentuje organizace všech velikostí a různých odvětví, včetně finančních, průmyslových, obrany, maloobchodu, zdravotnictví a školství.