Американская аналитическая фирма InsightExpress по заказу компании Cisco провеле детальное исследование проблем информационной безопасности и выявила множество рисков, которым сотрудники — вольно или невольно — подвергают самый ценный ресурс компаний — информацию. Хотя исследование посвящено проблемам сохранности корпоративных секретов, на его результаты стоит обратить внимание и организациям, работающим в секторе исследований и разработок. В этом секторе ущерб от утечки информации может привести к настоящей катастрофе.
В исследовании приняли участие 2000 сотрудников и специалистов по информационным технологиям из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии. Страны были выбраны с таким расчетом, чтобы представлять разные социальные и деловые культуры, зрелые и формирующиеся сетевые экономики и разные уровни распространённости интернета. Глобальный характер опроса позволил выявить наиболее типичные ошибки, приводящие к утечке данных, при этом исследователи отмечают, что поведенческие риски разнятся в зависимости от страны и местных обычаев.
«Мы провели это исследование, чтобы лучше понять мотивы поведения сотрудников, а не технологию как таковую, — заявил Джон Н. Стюарт (John N. Stewart), главный директор Cisco по вопросам информационной безопасности. — Безопасность во многом зависит от самих пользователей, поэтому компании любого размера и работники любой профессии должны отчетливо понимать, каким образом поведение сотрудников влияет на риск утечки данных и чем это чревато для отдельных людей и предприятия в целом. Знание этих вопросов поможет укрепить отношения между специалистами в области информационных технологий и другими сотрудниками, разработать учебные программы с учетом местной специфики и повысить эффективность управления рисками. Короче говоря, процедуры информационной безопасности станут более эффективными, если все пользователи будут сознавать, к чему могут привести те или иные действия».
10 путей к катастрофе:
Вот наиболее важные проблемы, выявленные в ходе исследования:
- Изменение настроек безопасности на компьютере. Каждый пятый сотрудник меняет настройки безопасности на рабочих устройствах, чтобы обойти корпоративные ограничения и получить доступ к несанкционированным веб-сайтам. Это особенно характерно для растущих экономик Индии и Китая. Как выясняется, примерно треть опрошенных были уверены, что просмотр сайтов в рабочее время и с рабочего компьютера — «мое личное дело, которое никого не касается».
- Использование неавторизованных приложений. Семь из десяти опрошенных специалистов в области информационных технологий заявили, что половина случаев потери данных происходит из-за того, что сотрудники получают доступ к неавторизованным приложениям и сайтам (например, к социальным сетям, программным средствам для загрузки музыки, онлайновым торговым порталам). Проводить рабочее время в компании с одноклассниками особенно любят в США (74 процента случаев) и Индии (79 процентов).
- Доступ к несанкционированным сетям и системам. В прошлом году двое из каждых пяти специалистов в области информационных технологий разбирались с сотрудниками, получавшими доступ к несанкционированным сетям или системам, в Китае с подобными проблемами сталкивались две трети опрошенных.
- Разглашение важной корпоративной информации. Выяснилось, что корпоративные секреты не так секретны, как кажутся. Каждый четвертый сотрудник (24%) признался, что в устной форме делится важной корпоративной информацией с друзьями, родственниками и даже незнакомцами. Объяснения болтунов поражают: «хотелось увидеть реакцию собеседника», «больше не мог скрывать то, что знаю» и «не вижу в этом ничего плохого».
- Совместное использование корпоративных устройств. Данные не всегда находятся у того, кому они предназначены. Почти половина опрошенных (44%) использует корпоративные устройства вместе с посторонними людьми, в том числе передает им корпоративные устройства в пользование без какого-либо контроля или надзора со стороны компании.
- Размывание границ между рабочими и бытовыми устройствами и средствами связи. Почти две трети опрошенных сотрудников признались, что ежедневно используют служебные компьютеры в личных целях (для загрузки музыки, совершения покупок, связи с банками, участия в блогах, чатах и т. д.). Половина сотрудников использует персональную электронную почту для связи с заказчиками и коллегами, но лишь 40% согласуют это со специалистами в облаcnb информационных технологий.
- Оставление устройств без присмотра. Не менее трети сотрудников, уходя с рабочего места, оставляют компьютеры включёнными и не блокируют их. Многие компьютеры остаются включёнными и подключёнными к корпоративной сети даже на ночь — идеальные условия для кражи корпоративных и личных данных.
- Неправильное хранение имен и паролей. Каждый пятый сотрудник хранит системные имена (логины) и пароли на бумажках, наклеивая их на свой компьютер. Более продвинутые складывают эти бумажки в ящик рабочего слова, который редко запирается. В Китае 28% сотрудников хранят имена и пароли личных финансовых счетов на рабочих устройствах, которые, как мы помним, часто оставляют их без присмотра.
- Потеря портативных рабочих устройств. Почти четверть (22%) сотрудников выносят корпоративные данные на портативных устройствах за пределы офиса, в Китае — 41%. Понятно, что происходит в случае потери или кражи устройства.
- Несанкционированный вход на предприятие и хождение по территории без присмотра. Каждый пятый сотрудник германских компаний (22%) разрешает сотрудникам других компаний ходить без присмотра по своему предприятию. В среднем же так поступает 13%. Кроме того, 18% респондентов признались что позволяют неизвестным людям проходить за собой через турникет.
«Компании предоставляют сотрудникам все больше возможностей для совместной работы и мобильности, — комментирует результаты исследования главный директор Cisco по вопросам информационной безопасности Джон Стюарт. — Без внедрения современных технологий безопасности и корпоративных политик, обучения сотрудников и распространения знаний информация становится все более уязвимой. Сегодня данные могут находиться где угодно — в каналах связи, на пользовательских устройствах, в программах, на системах хранения, а также в различных местах, не связанных с бизнесом: дома, в дороге, в кафе, на поездах и самолетах. С этим ничего не поделаешь. Чтобы эффективно защитить данные, необходимо понять, с какими рисками сталкивается бизнес, и соответствующим образом выстроить свои технологии, политику, систему распространения знаний и планы обучения персонала».
Источник:
http://www.strf.ru
самое забавное, что в большинстве случаев это не вина сотрудника, а недоработка службы безопасности. Несоблюдение принципа наименьших привелегий, только и всего.
Ха-ха. Так корпорация и призналась, что давно положила на основополагающий принцип наименьших прав. :)
службы безопасности существуют в крупных организациях, а корпоративная информация есть даже в мелких, поэтому просто всю ответственность перенести на службы, имхо неверно
а где почитать про этот принцип?
Точно не знаю. Но смысл такой — выстраивая политику безопасности, нужно давать пользователю необходимый минимум полномочий. Даже в ущерб удобству работа. Например, загружая изображение, пользователю можно запретить загрузку конкретных типов .php, .js... Что неправильно. Правильно запретить все типы и разрешить конкретные .jpg, .gif, .bmp.... Ну и так далее.
упрощенно: пользователю делегируются только полномочия, необходимые для решения поставленных перед ним задач. не более.
Тем более не должно существовать возможности изменять какие-либо настройки без ведома администратора.