Основой деятельности современных компаний является конфиденциальная информация различных видов, начиная от записей о сотрудниках и заканчивая клиентскими базами данных. Безопасность этих данных имеет сверхважное значение для успеха бизнеса, а небрежное отношение к ним может привести к пагубным последствиям для компании в целом, в том числе и финансовым потерям в крупных размерах.
По мнению большинства, сверхсекретные базы данных компании взламывают киберпреступники, которые сидят в полутемных помещениях, подобно сценариям голливудских фильмов. Однако реальность далека от типичной американской киноленты. Настоящими причинами утечек данных чаще всего становятся уязвимости системы и человеческий фактор. Системные недостатки, как правило, используют профессиональные хакеры с целью осуществления целенаправленных атак на сервер. Для защиты от подобных угроз компании инвестируют средства в установление более надежного антивирусного решения и применение двухфакторной аутентификации, которая обеспечивает безопасный доступ к сети компании и корпоративных данных. Однако часто без внимания организаций остается другая не менее распространенная причина утечки конфиденциальной информации — человеческий фактор.
Специалисты ESET определили основные «слабые» стороны компаний, связанные с действиями работников, в связи с которыми чаще всего случаются утечки данных.
1. Непреднамеренная ошибка работника.
Непреднамеренные ошибки работника трудно предсказать и предупредить, даже при использовании всех способов защиты. Согласно исследованию Information Security Breaches 2015, 50% крупнейших утечек прошлого года были вызваны непреднамеренными действиями работников.
Всего несколько месяцев назад с этим столкнулась Федеральная корпорация страхования вкладов США. Бывший сотрудник агентства уволился из компании, прихватив с собой USB-накопитель с личными данными 44 тысяч клиентов. Через некоторое время данные вернули, а действия работника расценили как «неосторожное и непреднамеренное» поведение.
«Очень высокий процент нарушений безопасности данных вызваны прямо или косвенно персоналом организации, например, ошибки, податливость к методам социальной инженерии, ненадежные решения управления безопасностью и прочее. Часто даже эти факторы перевешивают умышленные вредные действия со стороны работников», — рассказывает Дэвид Харли, ведущий исследователь ESET.
Несмотря на неизменное свойство человека ошибаться, работать над предотвращением утечки крайне необходимо. Согласно данным вышеупомянутого опроса, работники 33% крупных организаций недостаточно осведомлены об ответственности за безопасность данных. В то же время 72% организаций, в которых персонал не знает правил безопасности, уже столкнулись с утечками, вызванными ошибками работников.
Именно поэтому повышение осведомленности работников о кибербезопасности и ответственности за защиту сети поможет значительно уменьшить количество непреднамеренных ошибок.
2. Кража.
Утечка данных может быть вызвана действиями, как преступника со стороны, так и сотрудника компании. Второй вид кражи разоблачил регулятор связи Великобритании OFCOM в начале этого года. Организация узнала о тайном сборе уже бывшим работником данных третьих лиц в течение последних шести лет. О преступной деятельности сотрудника OFCOM рассказал его новый работодатель, которому работник пытался передать украденные данные.
Ни одна компания не хотела бы относиться к своим работникам с подозрением, но именно благодаря минимизации возможных рисков кражу данных можно предотвратить. Например, доступ к конфиденциальным документам следует предоставлять только тем, кто в этом действительно нуждается. Тогда как доступность информации всем работникам в связи с хранением данных компании на одном общем сервере повышает вероятность утечки.
3. Неправомерное использование доступа.
Вызвать утечку данных и поставить под угрозу ИТ-безопасность сети могут также действия сотрудников, которые не имели зловредных намерений.
Согласно данным отчета 2014 года, подготовленного компанией Cisco, примерно одна четверть опрошенных работников обменивается конфиденциальной информацией с друзьями, семьей или даже незнакомыми людьми. В то же время почти половина опрошенного персонала отдают другим в пользование без присмотра собственные корпоративные устройства за пределами компании.
На первый взгляд «невинное» поведение может привести к бесконтрольному распространению конфиденциальных данных компании. Ограничить неправомерное использование доступа могут настройки безопасности, однако даже их можно обойти.
Вывод.
Лучшим решение для сохранения конфиденциальности данных является применение основных мер предосторожности, в частности повышение осведомленности работников о безопасности данных и ответственности за их потерю, осуществление эффективного управления конфиденциальной информацией и обеспечение надежной защиты данных рабочих станций с помощью комплексного антивирусного решения.