Когда речь идёт о кибер безопасности, легко вообразить себе, что самая большая угроза для вашей компании таится извне. Однако, всё больше и больше компаний понимают, что даже надёжные и обученные работники могут также представлять немалую угрозу.

И действительно, недавний отчёт от Haystax Technology выявил, что 74% из организаций поставили под сомнение неуязвимость от угроз изнутри, а 56% профессионалов в области безопасности уверены, что угрозы внутри становятся всё более частыми.

В то время как некоторые атаки и утечка могут быть вызваны работниками из-за недовольства, многие происходят по небрежности или, когда игнорируется опасность, не выполняется процедура или допущена человеческая ошибка. Мы выделили три типа работников, которые могут стать причиной утечки данных. Ознакомьтесь с ними.

1. Невинные действия

Когда речь идёт об утечке данных, работники могут безвинно причинить столько же вреда, как и вредоносные хакеры. Такой урок получили местные власти в графствах Норфолк, Саффолк и Кэмбриджшир, в Англии, когда было зарегистрировано свыше 160 случаев утечки данных в 2014 – 2015, большинство из которых произошло из-за человеческой ошибки (включая утерю мобильных телефонов, неправильно адресованные письма и даже продажу третьей стороне шкафа с картотекой, содержащей конфиденциальные данные). Другой пример – утечка, которая произошла в 2016 году в американской фирме Federal Deposit Insurance Corp. (FDIC). В данном случае, бывший работник непредумышленно – «по невнимательности и без злого умысла» – загрузил конфиденциальные данные на персональное устройство хранения данных.

На фоне таких примеров неудивительно, что 74% респондентов, опрошенных Haystax, были больше всего озабочены подобным типом непредумышленной утечки.

2. Неосторожность или небрежность?

Вы сталкивались с предупреждением безопасности, которое появляется на экране, – а всегда ли вы предпринимали немедленные действия? Опрос, проведённый Google в 2013, выявил, что 25 млн. предупреждений от Chrome игнорировались в 70,2% случаев – то ли по причине нехватки знаний, то ли ещё почему, и в результате этот компьютерный гигант предельно упростил язык своих предупреждений.

Другой пример. Система здравоохранения St. Joseph Health System пострадала от утечки в 2012, когда были неправильно сконфигурированы настройки безопасности, а это привело к тому, что истории болезней оказались видны в Интернете. Разразился скандал, на организацию подали в суд, в результате которого компания потеряла миллионы.

3. Злонамеренность

К сожалению, как и человеческая ошибка, злонамеренные действия работников также случаются. В 2016 британский орган OFCOM, контролирующий коммуникационные средства, обнаружил, что бывший работник втихаря собирал данные о третьей стороне. Самое потрясающее – это продолжалось на протяжении более шести лет.

Британский супермаркетовый гигант Morrisons также стал жертвой неудовлетворённого работника, который вывесил в Интернете персональные данные почти 100,000 работников. И хотя инцидент имел место в 2014, компания по-прежнему находится под угрозой дальнейших судебных разбирательств, на которые имеет право пострадавший персонал.

Что можно сделать?

Согласно данных опроса 2016, 93% респондентов считают, что человеческий фактор представляет самую большую угрозу безопасности данных. Заказчик опроса – Nuix – верит, что корпорации могут начать ставить на вид работникам, которые «не понимают, неправильно истолковывают или неправильно оценивают долгосрочную политику и процедуры безопасности».

С учётом воздействия от утечки данных, которые наносят ущерб бизнесу, включая финансовые потери и ущерб репутации фирмы, неудивительно, что компании открыты для поиска способов нивелировать и ограничить неправомерное использование компьютера.

Увеличение сознательности работниками

 Пожалуй, наиболее логичный выход для работодателей – обеспечить, чтобы все работники осознавали потенциальные последствия своих действий и как избежать непредумышленной утраты данных. Важно также провести соответствующее обучение всех работников, а не только тех, кто непосредственно связан с ИТ.

Храните информацию в безопасности

 Согласно ESET, «есть миллион причин, по которым следует зашифровывать данные». И хотя это приветствуется не всеми, шифрование данных может стать ощутимым подспорьем для предотвращения утраты данных.

Отслеживайте данные и поведение

 Умение контролировать использование компьютера и поведение лиц позволит бизнесу быть начеку и идентифицировать необычные или рискованные действия. Схема BOYD (от анг. bring your own device – приносите своё собственное средство), которая принята во многих компаниях, также должна тщательно отслеживаться и проверяться.

Взгляд в будущее

 С учётом исходящего от работников риска – пусть даже непредумышленного – но который несёт потенциальную угрозу катастрофы для бизнеса, неудивительно, что работодатели настроены на гораздо более жёсткий подход к внутренним угрозам безопасности в предстоящие годы.

Если вы ищете, как улучшить попытки кибер безопасности на вашем рабочем месте, бесплатные ресурс ESET обучения сознательному подходу к кибер безопасности – это отличный способ начать.

 

Источник: WeLiveSecurity