Журнал ТЕХСОВЕТ премиум
В рамках глобального проекта были изучены поведенческие риски пользователей из разных стран и культур – от доступа к несанкционированным системам и сетям до преднамеренного разглашения корпоративной информации.
Компания Cisco® объявила результаты нового глобального исследования проблем информационной безопасности, выявившего множество рисков, на которые идут сотрудники компаний, тем самым подвергая бизнес такой серьезнейшей опасности, как потеря корпоративной информации. Исследование по заказу Cisco провела американская аналитическая фирма InsightExpress, опросившая более 2.000 сотрудников и специалистов по информационным технологиям из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии, что позволило определить наиболее типичные ошибки работников, приводящие к утечке данных. Результаты исследования говорят о том, что поведенческие риски разнятся в зависимости от страны и местных обычаев, что позволяет компаниям принимать меры к предотвращению нежелательных инцидентов с учетом местных особенностей, сохраняя при этом глобальный характер своего бизнеса.
Переход от централизованных офисов к распределенным моделям бизнеса и удаленному доступу размывает границы между работой и личной жизнью. Изменения в методах работы предприятий и смешение работы и личной жизни чаще всего связано с распространением устройств и приложений для совместной деятельности, используемых на работе и дома и поддерживаемых мобильными телефонами, мобильными компьютерами, приложениями Web 2.0, видеоуслугами и социальными медиасистемами. Именно эта постоянно развивающаяся деловая среда стала предметом исследования, в ходе которого были опрошены 1000 сотрудников и 1000 ИТ-специалистов из разных отраслей и компаний разного размера, работающих в 10 странах. При этом страны были выбраны с таким расчетом, чтобы представлять разные социальные и деловые культуры, зрелые и формирующиеся сетевые экономики и разные уровни распространения Интернета.
«Мы провели это исследование, чтобы лучше понять мотивы поведения сотрудников, а не технологию как таковую, - заявил Джон Н.Стюарт (John N. Stewart), главный директор Cisco по вопросам информационной безопасности. - Безопасность во многом зависит от самих пользователей, поэтому компании любого размера и работники любой профессии должны отчетливо понимать, каким образом поведение сотрудников влияет на риск утечки данных и чем это чревато для отдельных людей и предприятия в целом. Знание этих вопросов поможет укрепить отношения между ИТ-специалистами и другими сотрудниками, разработать учебные программы с учетом местной специфики и повысить эффективность управления рисками. Короче говоря, процедуры информационной безопасности станут более эффективными, если все пользователи будут сознавать, к чему могут привести те или иные действия».
Ниже перечислены 10 наиболее важных результатов исследования:
1. Изменение настроек безопасности на компьютере. Каждый пятый сотрудник меняет настройки безопасности на рабочих устройствах, чтобы обойти корпоративные ограничения и получить доступ к несанкционированным Web-сайтам. Это особенно характерно для растущих экономик Индии и Китая. На вопрос о причинах такого поведения более половины (52 процента) ответили, что просто хотели зайти на тот или иной сайт, а каждый третий заявил, что просмотр сайтов - “мое личное дело, которое никого не касается».
2. Использование неавторизованных приложений. Семь из десяти опрошенных ИТ-специалистов заявили, что половина случаев потери данных происходит из-за того, что сотрудники получают доступ к неавторизованным приложениям и Web-сайтам (например, к несанкционированным социальным сетям, программным средствам для загрузки музыки, онлайновым торговым порталам). Это особенно характерно для США (74 процента случаев) и Индии (79 процентов).
3. Доступ к несанкционированным сетям и системам. В прошлом году двое из каждых пяти ИТ-специалистов имели дело с сотрудниками, получавшими доступ к несанкционированным сетям или системам. Особенно часто это наблюдалось в Китае, где с подобными проблемами сталкивались две трети опрошенных. Среди тех, кто имел с этим дело в прошлом году, две трети сталкивались с такого рода проблемами неоднократно, а 14 процентов - ежемесячно.
4. Разглашение важной корпоративной информации. Выяснилось, что корпоративные секреты не так секретны, как кажутся. Каждый четвертый сотрудник (24 процента) признался, что в устной форме делится важной корпоративной информацией с друзьями, родственниками и даже незнакомцами. В объяснение причин такого поведения чаще всего можно услышать: “хотелось увидеть реакцию собеседника”, “больше не мог скрывать то, что знаю” и “не вижу в этом ничего плохого”.
5. Совместное использование корпоративных устройств. Данные не всегда находятся у того, кому они предназначены. Доказательством этого служит тот факт, что почти половина опрошенных (44 процента) использует корпоративные устройства вместе с посторонними людьми, в том числе передает им корпоративные устройства в пользование без какого-либо контроля или надзора.
6. Размывание границ между рабочими и бытовыми устройствами и средствами связи. Почти две трети опрошенных сотрудников признались в ежедневном использовании служебных компьютеров в личных целях (для загрузки музыки, совершения покупок, связи с банками, участия в блогах, чатах и т.д.). Половина сотрудников использует персональную электронную почту для связи с заказчиками и коллегами, но лишь 40 процентов делает это с согласия корпоративного ИТ-отдела.
7. Оставление устройств без присмотра. Не менее трети сотрудников, уходя с рабочего места, оставляет включенные и незаблокированные компьютеры без присмотра. Эти сотрудники оставляют мобильные компьютеры на рабочем столе даже ночью, иногда не выходя при этом из корпоративной сети и тем самым создавая условия для кражи корпоративных и личных данных.
8. Неправильное хранение имен и паролей. Каждый пятый сотрудник хранит системные имена (логины) и пароли на бумажках, наклеивая их на свой компьютер либо оставляя без присмотра на рабочем столе или в незапираемом ящике стола. В Китае 28 процентов сотрудников хранят имена и пароли личных финансовых счетов на рабочих устройствах, что создает опасность потери персональных данных и личных денежных средств. Этот риск усугубляется тем, что владельцы рабочих устройств часто оставляют их без присмотра.
9. Потеря портативных рабочих устройств. Почти четверть (22 процента) сотрудников выносят корпоративные данные на портативных устройствах за пределы офиса. Такое поведение особенно характерно для Китая (41 процент) и может привести к тяжелым последствиям в случае потери или кражи устройства.
10. Несанкционированный вход на предприятие и хождение по территории без присмотра. Каждый пятый сотрудник германских компаний (22 процента) разрешает работникам других компаний ходить без присмотра по своему предприятию. В среднем же так поступает 13 процентов опрошенных. Кроме того, 18 процентов респондентов признались в том, что позволяют неизвестным людям проходить за собой через турникет.
«Компании предоставляют сотрудникам все больше возможностей для совместной работы и мобильности, - отметил главный директор Cisco по вопросам информационной безопасности Джон Стюарт. - Без внедрения современных технологий безопасности и корпоративных политик, обучения сотрудников и распространения знаний информация становится все более уязвимой. Сегодня данные могут находиться где угодно - в каналах связи, на пользовательских устройствах, в программах, на системах хранения, а также в различных местах, не связанных с бизнесом: дома, в дороге, в кафе, на поездах и самолетах. С этим ничего не поделаешь. Чтобы эффективно защитить данные, необходимо понять, с какими рисками сталкивается бизнес, и соответствующим образом выстроить свои технологии, политику, систему распространения знаний и планы обучения персонала».
По мнению Джона Стюарта, результаты проведенного исследования помогут компаниям разработать программы обучения на региональном уровне и вписать их в глобальные планы управления рисками. При этом он рекомендует соблюдать следующие правила предотвращения потери данных*:
Знайте свои данные и умело обращайтесь с ними. Знайте, как и где хранятся ваши данные, кто имеет к ним доступ, кто и как их использует.
Относитесь к корпоративным данным, как к своим собственным. Защищайте их, как свой капитал. Объясняйте сотрудникам, что данные, как и деньги, можно заработать, а можно и потерять.
Сделайте безопасное поведение корпоративным стандартом. Исходя из главных целей глобальной политики, разработайте локализованную программу обучения сотрудников с учетом местных привычек и существующих на месте угроз.
Культивируйте атмосферу доверия. «Сотрудники должны без колебаний докладывать об инцидентах, чтобы ИТ-специалисты могли быстрее решать возникающие проблемы”, - считает Джон Стюарт.
Распространение знаний об угрозах, обучение и подготовка кадров. Думая глобально, разрабатывайте локальные программы, адаптируя их к местным реалиям.
«Защита данных требует совместной работы в масштабе всей компании и не может ограничиваться рамками ИТ-отдела», - подчеркивает главный директор компании Cisco по информационной безопасности.
natalya.zhukova@apnet.ru