„Ak zamestnanec stratí, zabudne alebo mu ukradnú nejaké heslo potrebné na prístup do pracovných aplikácií či súborov, môže to mať pre firmu vážne následky. Či už v podobe finančných škôd, prezradenia plánov konkurencii alebo útokov hackerov. Veľkým rizikom je, ak zamestnanec používa rovnaké heslá do rôznych prístupov, napríklad do pracovných aj súkromných aplikácií,“ upozorňuje produktový expert spoločnosti Ondrej Kis.
Najväčšími „zábudlivcami“ sú tí, ktorí pre prácu potrebujú veľa hesiel. Napríklad ak musí zamestnanec používať vyše desať hesiel, podľa prieskumu je takmer 75 % pravdepodobnosť, že aspoň jedno zabudne. Potvrdilo sa teda, že zraniteľnosť zamestnanca sa s každým ďalším prístupom zvyšuje. Takisto platí, že čím častejšie si zamestnanci menia alebo musia meniť pracovné heslá, tým väčšie je riziko jeho zabudnutia.
Ondrej Kis upozorňuje, že na vine nie sú zamestnanci, ale často samotné firmy. Mnohé majú nesprávne nastavenú bezpečnostnú politiku. „Miera ochrany by mala byť efektívna a odzrkadľovať mieru rizika. Ak nútite zamestnancov meniť si heslo každý týždeň, môže to viesť k tomu, že si budú heslá zaznamenávať na nebezpečných miestach, že heslá zabudnú alebo sa budú snažiť si ich vyberať čo najjednoduchšie. Firma nesmie prenášať zodpovednosť za bezpečnostnú politiku na bežných zamestnancov, takýto prístup predstavuje riziko.“
Takmer 30 percent respondentov uviedlo, že si pracovné heslá niekde zaznamenáva. Najčastejšie do diára. Zároveň platí, že riziko zabudnutia hesla je menšie, pokiaľ ho firma mení vo vlastnej réžii, pomocou vhodného softvéru automaticky.
Na trhu však existujú technológie, ktoré výrazne uľahčujú manažovanie zamestnaneckých hesiel a zároveň zvyšujú úroveň IT bezpečnosti vo firme. Prostredníctvom bezpečnostného softvéru Thycotic Secret Server dokáže firma nastaviť prístupové práva pre každú zamestnaneckú pozíciu.
Zamestnanec už bude potrebovať na vstup do systému iba jediné heslo s možnosťou dvojfaktorového overovania, ktoré mu automaticky odomkne všetky aplikácie a súbory povolené pre jeho úroveň. Firma už napríklad nemusí svojej účtovníčke zveriť údaje k firemnej kreditnej karte či internetovému bankovníctvu. Tie sa vyplnia automaticky po jednom prihlásení sa cez bezpečnostný softvér.
Takýto typ softvéru dokáže pravidelne meniť heslá do jednotlivých aplikácií, pričom samotný zamestnanec o tom ani nevie, a teda si ich nemusí pamätať. Tento softvér nestráži iba zamestnancov, ale aj adminov, ktorí majú privilegované prístupy k tým najcitlivejším údajom vo firme. Práve privilegované účty sú najčastejšie terčmi útokov, a preto by ich ochrane mali firmy venovať zvýšenú pozornosť.
„Softvér funguje ako akýsi prístupový server. Po tom, čo ho administrátor nainštaluje a nastaví, sa pregeneruje aj heslo samotného administrátora a uloží sa v trezore. Doň má potom prístup už iba vybraná osoba – zväčša niekto z vedenia spoločnosti, mimo IT oddelenia. Ani prípadná fluktuácia IT zamestnancov už teda pre firmu nepredstavuje bezpečnostnú hrozbu,“ vysvetľuje Kis.
Ďalšie zaujímavosti z prieskumu
- 8,4 % respondentov nepoužíva pre pracovné účely žiadne heslá. Najčastejšie ide o starších ľudí nad 66 rokov (25 % z nich nepoužíva na prácu žiadne heslá) a ľudí vo veku 50 až 65 rokov (11,8 %).
- 7,9 % respondentov používa pre pracovné účely viac ako 10 hesiel. Najčastejšie sú to mladí ľudia od 34 až 49 rokov (10,6 % uviedlo, že používa vyše 10 hesiel).
- 62 % respondentov si pracovné heslá nikde nezaznamenáva, pamätá si ich, 11,3 % si heslá zapisuje do diára, 0,5 % respondentov priznalo, že si heslo lepí na počítač.
- Najčastejšie si respondenti menili pracovné heslo pred mesiacom (21,6 % respondentov) alebo sa im mení automaticky (18,6 %).