Kaspersky が金融業界を対象に実施した調査によると、サイバー セキュリティ リスクを最小限に抑えるには、従業員のトレーニングが不可欠です。 XNUMX 社に XNUMX 社以上の企業が、従業員にまでさかのぼることができるセキュリティ インシデントを経験しています。
現在の Kaspersky の調査が示すように、サイバー リスクに関する従業員の行動と知識は、ドイツの金融セクターにおいて過小評価されるべきではない要因です。 ドイツの調査対象者は、会社のガイドラインを遵守しないこと、シャドー IT の使用、および在宅勤務などのリモートワークを最大のリスクと見なしています。 実際、この調査によると、調査対象の組織の 39% が、パンデミック以降、従業員に関連するセキュリティ インシデントを経験しています。
サイバー犯罪者はしばしば従業員を標的にします
感染した添付ファイルやリンクを誤ってクリックしたり、許可されていないソフトウェアを不注意にダウンロードしたりしても、サイバー犯罪者は従業員を標的にして企業ネットワークに侵入することがよくあります。 Kaspersky の現在の調査「サイバーセキュリティ: 金融部門に焦点を当てる」は、この業界部門がドイツでどれだけ遅れをとっているかを示しています。 多くの従業員は、サイバーセキュリティに関する基本的な知識をまだ持っていません。 したがって、Kaspersky の調査対象者は、労働力を過小評価してはならないサイバー セキュリティ リスクとして指摘しています。
回答者は、IT セキュリティの専門知識とデータ保護に関して特定の課題を認識しています。 会社のポリシーを無視すること (19%)、リモートワーク (24%)、シャドー IT (11%) が最も深刻な要因として挙げられています。 特にシャドー IT は明らかに懸念の原因です。多くの従業員が在宅勤務を続けており、社内のセキュリティ ガイドラインに注意を払っていないか、部分的に無視していることさえあるからです。 サードパーティ製デバイスの不正使用も、さらなる潜在的なリスクを表しています. あらゆる規模の企業の調査参加者からの自由声明では、「意図的に対策を弱体化させる従業員」、「従業員側の不注意」または「損害」についての話があります。従業員によって故意に引き起こされた」。
サイバーセキュリティ意識の欠如
Kaspersky の調査によると、金融部門の従業員の多くはサイバーセキュリティの認識が不足しており、そのためトレーニングの可能性がかなりあることが示されています。 調査対象の全組織の半数以上 (51%) が、定期的にすべての IT スタッフにセキュリティのトピックと手順に関するトレーニングを行っていますが、エグゼクティブ アシスタント、マーケティング スタッフ、アナリスト、トレーダー、または経理スタッフの間で、やらなければならないことがまだたくさんあります。調査対象者の 25% は、IT 以外の他のすべての部門では、従業員の半数未満が定期的なトレーニングを受けていると述べています。
Kaspersky の Central Europe マネージング ディレクターである Christian Milde 氏は、次のように強調しています。 「したがって、自社の従業員をサイバー セキュリティ ボートに乗せることが重要です。 強力な技術ソリューションの使用に加えて、教育とトレーニングが最終的な目的です. 最新のトレーニングプログラムは、部門ごとに個別に設計され、日常業務に簡単かつ持続的に統合できます. 従業員は、サイバー犯罪者の可能性のある攻撃ベクトルと、自分の行動の結果を理解する必要があります。 悪意のある添付ファイルやリンクを誤ってクリックすると、サイバー犯罪者に企業ネットワークへの扉が開かれます。 したがって、サイバーセキュリティのトレーニングは、受付から管理まで、スタッフ全体に対応する必要があります。」
金融機関を保護するためのカスペルスキーの推奨事項
- 外部 IP アドレスからのリモート管理ツールへのアクセスを制限し、限られた数のエンドポイントからのみリモート コントロール インターフェイスにアクセスできるようにします。
- すべての IT システムに厳格なパスワード ポリシーを適用し、多要素認証を使用します。
- 従業員に限られた特権を提供し、職務を遂行するために必要な人だけに高特権アカウントを付与します。
- 関連するすべてのビジネス データの定期的なバックアップの作成。 このようにして、ランサムウェアによって暗号化されて使用できなくなった重要なデータを迅速に復元できます。
- Kaspersky Security Awareness トレーニング コースを利用するなど、サイバー セキュリティに関する定期的な従業員トレーニング コースは、従業員内のデジタル脅威に対する認識を高めるために不可欠です。
- カスペルスキーのマルチレベル保護コンセプト Finance Services Cybersecurity は、金融および銀行業界の企業が柔軟なセキュリティ戦略を実装するのに役立ちます。 その目的は、広範囲の侵害ベクトルを検出することにより、標的型攻撃と技術的に高度な脅威のリスクを検出して軽減することです。
- エンドポイントと、ATM や POS システムなどの組み込みデバイス、および Kaspersky Embedded Systems Security などの POS で使用されるその他のテクノロジーを保護します。
- Kaspersky Hybrid Cloud Security などの最新のテクノロジーを使用して、プライベート クラウドの仮想および物理サーバー、VDI 展開、ストレージ システム、さらにはデータ チャネルを保護し、パブリック クラウドの高度なワークロード保護を実現します。
- SOC チームが脅威インテリジェンスを通じて最新の脅威インテリジェンスにアクセスできるようにすることで、脅威アクターのツール、手法、および戦術を最新の状態に保つことができます。 意味のある脅威データ、高度な機械学習テクノロジ、およびグローバルな専門家の独自のプールにより、これまで知られていなかったサイバー攻撃に対する銀行や金融サービス プロバイダーの耐性が維持されます。 Kaspersky Threat Intelligence などのソリューションは、これを強力かつ包括的にサポートします。
- Kaspersky Interactive Protection Simulation などの実践シナリオを通じて、企業や政府機関の IT セキュリティ チームは、一連の予期しないサイバー脅威にさらされるビジネス ゲームの一環として、シミュレートされたビジネス環境に置かれます。
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。