Nikt nie chce stać się ofiarą cyberataku. Organizacje inwestują w systemy zabezpieczeń, regularne backupy, firewalle, monitorowanie sieci, a doświadczenie i wiedza zatrudnianych specjalistów stanowią fundament ochrony. Mimo to incydenty nadal się zdarzają. Bywa jednak, że ich przyczyna leży poza bezpośrednią kontrolą administratora IT. Dlaczego?
Dobre praktyki to za mało? Błąd ludzki jako główna przyczyna incydentów
Administratorzy dokładają wszelkich starań, aby ograniczyć ryzyko incydentów bezpieczeństwa. Konfigurują polityki haseł, organizują szkolenia, aktualizują oprogramowanie, przeprowadzają audyty i testy penetracyjne... Jednak nawet w najlepiej zabezpieczonych organizacjach jeden błąd użytkownika może narazić firmę na poważny incydent. Z raportu IBM Cyber Security Intelligence Index wynika, że ponad 95% naruszeń bezpieczeństwa wynika właśnie z ludzkich błędów.
Typowe zagrożenia powielane przez użytkowników:
- otwieranie załączników z fałszywych e-maili (phishing)
- powielanie tych samych haseł do wielu kont
- ignorowanie alertów systemowych
- instalowanie nieautoryzowanych aplikacji
- odkładanie aktualizacji „na później”
Ataki ransomware, phishing czy przejęcia kont są głównie rezultatem nieostrożności pracowników, której cyberprzestępcy są świadomi. Jeśli dołożymy do tego korzystanie ze słabych haseł, powielanie ich oraz przechowywanie ich w nieodpowiedni sposób to w zasadzie sami otwieramy im furtkę. Nawet najlepszy zespół IT nie jest w stanie czuwać nad każdym użytkownikiem w organizacji. Właśnie z tego powodu, gdy dochodzi do naruszenia bezpieczeństwa, kluczowe staje się pytanie: kto tak naprawdę jest za nie odpowiedzialny?
Co się dzieje po cyberataku?
Administratorzy IT stoją przed trudnym zadaniem – odpowiadają za bezpieczeństwo organizacji, ale nie są w stanie zapobiec każdej ludzkiej pomyłce. W przypadku dochodzenia po ataku ważnym aspektem jest wykazanie, że organizacja zastosowała odpowiednie praktyki oraz środki bezpieczeństwa. Jeżeli administrator może udowodnić, że zadbał o zabezpieczenia, ale to pracownik świadomie je zignorował, będzie miał argument do obrony. Jest szansa, że taka informacja stanie się istotną okolicznością łagodzącą, która może znacząco wpłynąć na konsekwencje prawne i finansowe.
Transparentność i rozliczalność stoją po stronie administratorów
Tu pojawia się rola m. in. takich rozwiązań, jak menedżery haseł. Nie tylko ułatwiają zarządzanie danymi dostępowymi, ale zapewniają narzędzia do monitorowania oraz raportowania poziomu ich bezpieczeństwa.
Perc.pass oferuje pełną transparentność i rozliczalność, która pozwala śledzić, czy użytkownicy stosują się do wewnętrznych polityk bezpieczeństwa – takich jak poziom złożoności haseł, oraz weryfikować ewentualne wycieki.
Dzięki zaawansowanym mechanizmom raportowania administrator może wykazać, że organizacja zapewniła bezpieczne narzędzie, a błąd leżał po stronie użytkownika, który celowo go nie stosował i nie zadbał o bezpieczeństwo danych uwierzytelniających. Taka dokumentacja jest kluczowa w sytuacjach wyjaśniania odpowiedzialności za incydenty bezpieczeństwa i może mieć wpływ na bezpośrednią ocenę przyczyny naruszenia. Stałe raportowanie oraz prowadzenie szczegółowej dokumentacji to także ważny element, niezbędny do budowania zgodności z wchodzącą w życie dyrektywą NIS2.
Jak chronić organizację i administratorów
Jeżeli administratorzy chcą skutecznie chronić swoją firmę i siebie samych przed konsekwencjami incydentów, warto by zadbali o dowody na to, że podjęli wszelkie niezbędne kroki w celu zabezpieczenia systemów. Oznacza to, że oprócz samej technologii, liczy się również dokumentacja działań i transparentność procesów.
Perc.pass zwiększa poziom ochrony i pomaga egzekwować zasady bezpieczeństwa wewnątrz organizacji. A w świecie, w którym każda luka może kosztować miliony, to wartość bezcenna.
FAQ – Najczęściej zadawane pytania
Czym dokładnie jest incydent bezpieczeństwa?
To każde zdarzenie, które może prowadzić do naruszenia poufności, integralności lub dostępności systemu informatycznego, danych lub usług – np. atak hakerski, phishing, kradzież danych, infekcja malware.
Czy administrator IT ponosi odpowiedzialność za każdy incydent?
Nie. Jeśli administrator wdrożył wymagane środki bezpieczeństwa, a incydent wynikał z błędu użytkownika, odpowiedzialność może być przesunięta. Kluczowe jest prowadzenie dokumentacji.
Czy dyrektywa NIS2 wpływa na sposób reagowania na incydenty bezpieczeństwa?
Tak. Nowa dyrektywa wymusza m.in. prowadzenie rejestru incydentów, zgłaszanie ich w określonym czasie oraz dowody zarządzania ryzykiem.
Jakie działania podjąć po incydencie bezpieczeństwa?
Zgłoś go do odpowiednich służb (np. CSIRT), zabezpiecz logi, rozpocznij dochodzenie wewnętrzne, udokumentuj przebieg i zastosowane środki zaradcze.
Jakie narzędzia pomagają wykazać działania prewencyjne?
Rozwiązania typu SIEM, menedżery haseł (jak perc.pass), systemy klasy EDR/XDR, narzędzia audytowe oraz dzienniki zdarzeń.
Powiązane wpisy
Ransomware w szpitalu… i kara UODO
Kwestie cyberbezpieczeństwa i RODO są ze sobą ściśle związane. Dziś dzielę się z Państwem kolejnym przykładem, który wyraźnie pokazuje te powiązania. W czerwcu 2025 r.
Managed Detection and Response – sama diagnoza to za mało
Liczba cyberzagrożeń rośnie szybciej niż możliwości ich samodzielnej „obsługi”. Dziś nie wystarczy już polegaćna rozwiązaniach z kategorii – plug & play. Niezależnie od tego, jak