Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах ITSM 365 Пользователи Компании Лента заказов Курс по ITSM

Сотрудники – самая страшная угроза для конфиденциальных данных компании

Сотрудники – самая страшная угроза для конфиденциальных данных компании

О необходимости внедрения внутренней политики безопасности мы говорим часто и много. Причиной, побуждающей вновь и вновь поднимать эту тему, становится неутешительная статистика, согласно которой, многие инциденты, связанные с кражей ценной корпоративной информации, стали возможными, благодаря участию сотрудников предприятия. Хотя для отрасли существование этой проблемы – не новость, сегодня в пресс-релизе одной из компаний, представляющей на российском рынке PAM-решения, появились совсем уж нелицеприятные цифры, судя по которым, вообще не понятно, как до сих пор сохраняются хоть какие-то корпоративные секреты. Как вы считаете, стоит ли верить этим данным?

В последнее время некоторые вполне уважаемые компании взяли за моду рассылать свои пресс-релизы по автоматически агрегированной базе адресов, особо не спрашивая, хотят ли адресаты получать эту информацию. Обычно такие сообщения сами перенаправляются в папку со спамом, но сегодня одно из писем каким-то образом избежало автоматического фильтра. В письме, оформленном в виде новостной рассылки (и подписанном российской ИТ-компанией, представляющей в России интересы некого мирового гиганта), была представлена довольно интересная статистика относительно вероятности нанесения ущерба важным корпоративным данным из разных источников.

Как утверждали авторы рассылки, с наибольшей вероятностью ущерба стоит ждать со стороны рядовых сотрудников. По статистике с ними связано порядка 45,5% инцидентов, связанных с утечкой корпоративной информации. Лишь на втором месте с результатом в 41,6% оказался вредоносный код. Прочие источники угроз отстают с большим отрывом (здесь и далее я привожу классификацию угроз, принятую в упомянутом пресс-релизе). Так, к примеру, различные интернет-атаки участвуют в 23,5% инцидентов, а выделенные в отдельную группу атаки по типу «отказа в обслуживании» (DoS) – 13,1%. Похищение устройств, которого так боятся ИТ-депертаменты предприятий, только начинающих свой путь к мобильным сотрудникам, ответственно всего за 10,7% инцидентов, а фишинг и атаки, сконструированные на основе социальных взаимодействий (заставляющие сотрудников раскрывать информацию, фактически, без злого умысла с их стороны) – лишь 9,1%. Вирусы, трояны, сетевые черви, ботнеты и другие вредоносные программы в общей сложности набрали менее 10% (если быть точными – 8,3%).

Стоит отметить, что сотрудники компаний и сами не особо скрывают от аналитиков собственные «корыстные планы». Согласно опубликованным данным, 35% ИТ-администраторов регулярно используют служебное положение для доступа к информации, которая по должностной инструкции не должна к ним поступать. Половина ИТ-администраторов готова в случае увольнения забрать с собой часть этой информации. Интересуют их при этом в основном клиентские данные, пароли доступа к ресурсам, планы по разработке и исследованиям, финансовая отчетность, планы по слиянию. Иными словами, любая информация, которая может иметь хоть какую-то ценность на стороне. 74% ИТ-специалистов не особо замечают барьеры из существующих на предприятиях систем безопасности, обходя предусмотренную ими защиту.

Чтобы не приводить здесь весь пресс-релиз, укажу ссылку на его копию он-лайн. Интересно, что на сайте самой компании, которой был подписан релиз, текста рассылки не обнаружилось. Желающие могут ознакомиться с полным текстом в общей базе службы распространения пресс-релизов.

Увы, данные были опубликованы без ссылки на первоисточник (аналитическое агентство или компанию, проводившую опрос) и даже без описания аудитории, на которой проводилось исследование. Более того, найти в открытых источников хотя бы подобие этих таблиц на русском или английском языке не удалось. Но, как это ни печально, цифры выглядят вполне правдоподобно. Чуть более трех лет назад (в условиях увольнений по итогам кризиса) тему поднимали на SecurityLab. Авторы привели статистику Verizon, согласно которой 18% всех киберпреступлений на тот момент были совершены «инсайдерами». Это значительно меньше, нежели показали данные пресс-релиза, но и количество кибер-преступлений год от года неуклонно растет. Несмотря на это, компании уделяют довольно мало внимания внедрению специальных средств защиты от инсайдеров.

Как вы считаете, стоит ли верить подобным данным? Действительно ли сотрудники настолько ослабляют политику безопасности компании в отношении конфиденциальных данных? Или «ради красного словца» (повышения продаж) авторы пресс-релиза исказили реальную ситуацию?

 

Дополнительная информация:

Основные внутренние угрозы для ИТ-среды и методы защиты

Чем занимаются ваши сотрудники в рабочее время

Почему сотрудники используют для работы личную электронную почту?

Российские ИТ-специалисты недооценивают современные угрозы безопасности

Комментарии (1)

  • Аватар

    Яковлев Андрей Михайлович [swtws], 25 февраля 2014, 03:16

    0

    Или «ради красного словца» (повышения продаж) авторы пресс-релиза исказили реальную ситуацию?

    В последни словах истинная правда. Сравните с анализом от производителей антивирусов или систем слежения за персоналом. Шаблон один и тот же.

    1. Офигенная опасность от (вирусов, админов, пользователей, гномов, лепреконов)

    2. Постоянный рост этой опасности ( а также кариеса, дисбактериоза, марсианского гриппа)

    3. Существание Нашей Супер Системы, защищающей от (..., а также насморка, поноса)

    4. Стопятсот компаний (в от числе и всемирноизвестная "Рога и Копыта") уже защитили себя от протеканий (или сглаза, порчи)

     Собственно для неспециалиста все кажется логичным и в йогурте, который физически не может долго храниться, если бактерий много и они живые, то есть чего одного нет на самом деле. В данном случае - бактерий. А мешать бактериальные препараты с антибиотиками просто глупо. Топорность "пресс-релиза" еще вот в чем. В рассказах о случаях приведены разные мотивы поступков,  в одну кучу свалены явно корыстные мотивы банковских, обида админа городской сети и "жуткие" разоблачения Сноудена или Мэннинга. Последние явно руководствовались соображениями этики и гумманости (Мэннинг - транссексуал, в США - "she", Chelsea Elisabeth Manning). И самая главное, что в случае со Сноуденом, самое жуткое преступление - он таки удрал к владельцам Ящичка Пандоры с Пятью Факторами Мира и Процветания, те в РФ.   То есть такая же брехня как и посылы о распространенности дисбактериоза (или других каких прыщей). Да и птиче-свинной грипп н едает смерности больше обычного - 7-8%, за счет осложнений.

    Кстати от вреде таких систем.

    1. Ложное чувство защищенности. Способность управлять сложной системой есть не у всех, и уж если она есть, то такие системы против такого  человека бессильны.

    2. Затруднения в работе самих специалистов. Все одно, если нужно сделать за 5 мин, но дополнительные аудиты нужно отключить, их отключат, а если нет, то тут уж либо данные, либо сразу деньги из-за простоя.

    Вообще, менеджеры плохо понимают что в разработке политик ИБ есть два сложнейших шага.

    1. Оценка стоимости информационных активов.

    2. Оценка рисков ИБ и принятие решения по управлению рисками.

    Далее, дело техники. А иметь какой-то суперский замок, когда неизвестно, нет ли открывающегося окна - глупо. А глупость она как и Вселенная бесконечна. Правда, А Эйнштейн насчет последней сомневался...