Основою діяльності сучасних компаній є конфіденційна інформація різних видів, починаючи від записів про співробітників і закінчуючи клієнтськими базами даних. Безпека цих даних має надважливе значення для успіху бізнесу, а недбале ставлення до них може призвести до згубних наслідків для організації в цілому, включаючи фінансові втрати у великих розмірах.
На думку більшості, надсекретні бази даних компанії зламують кіберзлочинці, які сидять в напівтемних приміщеннях, подібно до сценаріїв голлівудських фільмів. Однак реальність далека від типової американської кінострічки. Справжніми причинами витоків даних найчастіше стають уразливості системи та людський фактор. Системні недоліки, як правило, використовують професійні хакери з метою здійснення цілеспрямованих атак на сервер. Для захисту від подібних загроз компанії інвестують кошти у встановлення більш надійного антивірусного рішення та застосування двофакторної аутентифікації, яка забезпечує безпечний доступ до мережі компанії та корпоративних даних. Однак часто поза увагою організацій залишається інша не менш поширена причина витоку конфіденційної інформації —людський фактор.
Спеціалісти ESET визначили основні «слабкі» сторони компаній, пов’язані з діями працівників, через які найчастіше трапляються витоки даних.
1. Ненавмисна помилка працівника.
Ненавмисні помилки персоналу важко передбачити та попередити, навіть за умови використання всіх способів захисту. Відповідно до дослідження Information Security Breaches 2015, 50% найбільших витоків минулого року були спричинені ненавмисними діями працівників.
Всього кілька місяців тому з цим зіштовхнулася Федеральна корпорація страхування вкладів США. Колишній співробітник агентства звільнився з компанії, прихопивши з собою USB-накопичувач з особистими даними 44 тисяч клієнтів. Згодом дані повернули, а дії працівника розцінили як «необережне та позбавлене злого умислу» поводження.
«Дуже високий відсоток порушень безпеки даних викликані прямо або опосередковано персоналом організації, наприклад, помилки, піддатливість методам соціальної інженерії, ненадійні рішення управління безпекою та інше. Часто навіть ці фактори переважують навмисні шкідливі дії з боку працівників,» — розповідає Девід Харлі, провідний дослідник ESET.
Попри незмінну властивість людини помилятися, працювати над запобіганням витокам вкрай необхідно. За даними вищезгаданого опитування, працівники 33% великих організацій недостатньо обізнані щодо відповідальності за безпеку даних. В той же час 72% організацій, в яких персонал не знає правил безпеки, вже зіштовхнулися з витоками, спричиненими помилками працівників.
Саме тому підвищення обізнаності працівників щодо кібербезпеки та відповідальності за захист мережі допоможе значно зменшити кількість ненавмисних помилок.
2. Крадіжка.
Крадіжка даних може бути спричинений діями, як злочинця зі сторони, так і співробітника компанії. Другий вид витоку викрив регулятор зв'язку Великобританії OFCOM на початку цього року. Організація дізналася про таємний збір уже колишнім працівником даних щодо третіх осіб протягом останніх шести років. Про злочинну діяльність співробітника OFCOM розповів його новий роботодавець, якому працівник намагався передати вкрадені дані.
Жодна компанія не хотіла б ставитися до своїх працівників з підозрою, але саме завдяки мінімізації можливих ризиків крадіжці даних можна запобігти. Наприклад, доступ до конфіденційних документів слід надавати лише тим, хто цього дійсно потребує. Тоді як доступність інформації всім працівникам у зв’язку зі зберіганням даних компанії на одному спільному сервері підвищує ймовірність витоку.
3. Неправомірне використання доступу.
Спричинити витік даних та поставити під загрозу ІТ-безпеку мережі можуть також дії співробітників, позбавлені зловмисницьких намірів.
За даними звіту 2014 року, підготовленого компанією Cisco, приблизно одна чверть опитаних працівників обмінюється конфіденційною інформацією з друзями, родиною чи навіть незнайомими людьми. В той же час майже половина опитаного персоналу віддають іншим у користування без нагляду власні корпоративні пристрої за межами компанії.
На перший погляд «невинна» поведінка може призвести до безконтрольного поширення конфіденційних даних компанії. Обмежити неправомірне використання доступу можуть налаштування безпеки, однак навіть їх можна обійти.
Висновок.
Найкращим рішення для збереження конфіденційності даних є застосування запобіжних заходів, зокрема підвищення обізнаності працівників щодо безпеки даних та відповідальності за їх втрату, здійснення ефективного управління конфіденційною інформацією та забезпечення надійного захисту даних робочих станцій за допомогою комплексного антивірусного рішення.