Kartais užtenka vieno pokalbio konferencijoje, skambučio ar, atrodytų, nekalto klausimo apie darbą, kad pašaliniams būtų atskleista jautri informacija apie įmonę. Ekspertai sako, kad šiandien tokios situacijos tampa vis dažnesnės, o informacija iš organizacijų neretai išgaunama ne technologinėmis priemonėmis, bet pasitelkiant pasitikėjimą, spaudimą ar klaidinančią komunikaciją.
Daugelis organizacijų investuoja į IT apsaugą, sistemas ir technologinius sprendimus, tačiau jautriausia vieta dažnai lieka žmonių kasdieniame bendravime.
Pavojingiausios situacijos dažnai atrodo visiškai įprastai
Tarptautinės organizacijos „ALPHA Human Resilience“ informacijos išviliojimo ekspertas Jasper Hartmann sako, kad būtent todėl organizacijos dažnai net nesupranta, kiek daug jautrios informacijos atskleidžiama natūralaus bendravimo metu. Problema ta, kad tokio pobūdžio veiklą labai sunku pastebėti.
Anot eksperto, organizacijose vis daugiau dėmesio skiriama darbuotojų pasirengimui atpažinti manipuliacijas, klaidinančią komunikaciją ar bandymus pasinaudoti žmonių pasitikėjimu ir noru padėti.
„IT skyriai gali parodyti, kiek atakų sustabdė sistemos, tačiau niekas negali pasakyti, kiek kartų darbuotojai per dieną buvo subtiliai „apklausti“ pokalbių metu“, – teigia jis.
Informaciją žmonės dažnai atskleidžia patys
Tokie pokalbiai dažniausiai vyksta visiškai įprastose situacijose – konferencijose, verslo renginiuose, kelionėse ar neformaliuose susitikimuose. Dažnu atveju žmogus net nesupranta, kad bendraudamas atskleidžia informaciją apie įmonės klientus, procesus, vidines taisykles ar planuojamus projektus.
Dažnai tam pasitelkiami visiškai įprasti bendravimo metodai – pataikavimas, draugiškumo demonstravimas, skubos jausmo kūrimas ar apsimetimas žmogumi, kuris jau turi dalį informacijos. Kartais pakanka pasakyti kelias tikroviškai skambančias detales apie įmonę ar kolegas, kad pašnekovas pradėtų labiau pasitikėti ir natūraliai tęstų pokalbį.
Pasak eksperto, žmonės linkę manyti, kad jautri informacija išgaunama sudėtingais techniniais metodais, tačiau praktikoje dažnai pakanka pasitikėjimą keliančio pokalbio ir kelių tiksliai suformuluotų klausimų.
„Mes esame linkę pasitikėti. Tai yra labai gerai versle, bet tuo pačiu tai sukuria idealias sąlygas tiems, kurie moka pasitikėjimu pasinaudoti“, – sako J. Hartmann.
Šiandien surinkti informaciją apie organizaciją ar konkretų darbuotoją tapo gerokai paprasčiau – tam pakanka viešai prieinamų duomenų, socialinių tinklų, konferencijų pranešimų ar net darbo skelbimų. Turint tokią informaciją daug lengviau sukurti įtikinamą bendravimą ir prisitaikyti prie konkretaus žmogaus.
Pasak eksperto, būtent todėl organizacijos vis dažniau investuoja ne tik į technologijas, bet ir į darbuotojų pasirengimą.
Tam rengiami praktiniai mokymai, kuriuose darbuotojai mokomi atpažinti bandymus išgauti informaciją pokalbio metu, suprasti, kaip kuriamas pasitikėjimas, bei įvertinti, kokia iš pažiūros nekalta informacija gali būti svarbi pašaliniams. Lietuvoje tokius mokymus rengia „ALPHA Human Resilience“ atstovaujanti „PMC Training“.
Didžiausia klaida – manyti, kad tai negali nutikti mūsų organizacijai
Anot eksperto, viena didžiausių klaidų – įsitikinimas, kad racionalūs ir patyrę darbuotojai lengvai atpažins manipuliaciją. Realybėje sprendimai dažnai priimami automatiškai: kai komunikacija atrodo skubi, ateina iš autoritetą turinčio žmogaus arba paliečia kasdienes darbo situacijas.
Dėl to organizacijos vis dažniau susiduria su situacijomis, kai jautri informacija atskleidžiama ne dėl technologinių spragų, o dėl žmogiškų reakcijų – noro padėti, spaudimo greitai atsakyti ar baimės suklysti.
Ekspertas pabrėžia, kad pagrindinis tikslas nėra skatinti nepasitikėjimą kiekvienu pašnekovu. Kur kas svarbiau aiškiai suprasti, kokia informacija organizacijoje yra jautri ir kada jos nereikėtų atskleisti.
„Nėra tikslo įtarinėti visus. Siekis – suprasti, kokia informacija yra jautri ir kada jos negalima atskleisti“, – teigia jis.
Organizacijos vis daugiau dėmesio skiria darbuotojų pasirengimui
Organizacijų saugumas šiandien prasideda ne tik nuo technologijų, bet ir nuo žmonių pasirengimo. Todėl vis daugiau įmonių investuoja į praktinius saugumo mokymus – stiprina darbuotojų gebėjimą atpažinti rizikingas situacijas, tinkamai reaguoti ir apsaugoti jautrią informaciją.
Tokie mokymai šiandien vis dažniau tampa ne papildoma priemone, o įprasta organizacijų saugumo praktikos dalimi. Juose darbuotojai mokosi atpažinti situacijas, kai informacija gali būti išviliojama paprasto pokalbio metu, bei suprasti, kokia iš pažiūros nekalta informacija gali kelti riziką organizacijai.