Когда речь идёт о кибер безопасности, легко вообразить себе, что самая большая угроза для вашей компании таится извне. Однако, всё больше и больше компаний понимают, что даже надёжные и обученные работники могут также представлять немалую угрозу.
И действительно, недавний отчёт от Haystax Technology выявил, что 74% из организаций поставили под сомнение неуязвимость от угроз изнутри, а 56% профессионалов в области безопасности уверены, что угрозы внутри становятся всё более частыми.
В то время как некоторые атаки и утечка могут быть вызваны работниками из-за недовольства, многие происходят по небрежности или, когда игнорируется опасность, не выполняется процедура или допущена человеческая ошибка. Мы выделили три типа работников, которые могут стать причиной утечки данных. Ознакомьтесь с ними.
1. Невинные действия
Когда речь идёт об утечке данных, работники могут безвинно причинить столько же вреда, как и вредоносные хакеры. Такой урок получили местные власти в графствах Норфолк, Саффолк и Кэмбриджшир, в Англии, когда было зарегистрировано свыше 160 случаев утечки данных в 2014 – 2015, большинство из которых произошло из-за человеческой ошибки (включая утерю мобильных телефонов, неправильно адресованные письма и даже продажу третьей стороне шкафа с картотекой, содержащей конфиденциальные данные). Другой пример – утечка, которая произошла в 2016 году в американской фирме Federal Deposit Insurance Corp. (FDIC). В данном случае, бывший работник непредумышленно – «по невнимательности и без злого умысла» – загрузил конфиденциальные данные на персональное устройство хранения данных.
На фоне таких примеров неудивительно, что 74% респондентов, опрошенных Haystax, были больше всего озабочены подобным типом непредумышленной утечки.
2. Неосторожность или небрежность?
Вы сталкивались с предупреждением безопасности, которое появляется на экране, – а всегда ли вы предпринимали немедленные действия? Опрос, проведённый Google в 2013, выявил, что 25 млн. предупреждений от Chrome игнорировались в 70,2% случаев – то ли по причине нехватки знаний, то ли ещё почему, и в результате этот компьютерный гигант предельно упростил язык своих предупреждений.
Другой пример. Система здравоохранения St. Joseph Health System пострадала от утечки в 2012, когда были неправильно сконфигурированы настройки безопасности, а это привело к тому, что истории болезней оказались видны в Интернете. Разразился скандал, на организацию подали в суд, в результате которого компания потеряла миллионы.
3. Злонамеренность
К сожалению, как и человеческая ошибка, злонамеренные действия работников также случаются. В 2016 британский орган OFCOM, контролирующий коммуникационные средства, обнаружил, что бывший работник втихаря собирал данные о третьей стороне. Самое потрясающее – это продолжалось на протяжении более шести лет.
Британский супермаркетовый гигант Morrisons также стал жертвой неудовлетворённого работника, который вывесил в Интернете персональные данные почти 100,000 работников. И хотя инцидент имел место в 2014, компания по-прежнему находится под угрозой дальнейших судебных разбирательств, на которые имеет право пострадавший персонал.
Что можно сделать?
Согласно данных опроса 2016, 93% респондентов считают, что человеческий фактор представляет самую большую угрозу безопасности данных. Заказчик опроса – Nuix – верит, что корпорации могут начать ставить на вид работникам, которые «не понимают, неправильно истолковывают или неправильно оценивают долгосрочную политику и процедуры безопасности».
С учётом воздействия от утечки данных, которые наносят ущерб бизнесу, включая финансовые потери и ущерб репутации фирмы, неудивительно, что компании открыты для поиска способов нивелировать и ограничить неправомерное использование компьютера.
Увеличение сознательности работниками
Пожалуй, наиболее логичный выход для работодателей – обеспечить, чтобы все работники осознавали потенциальные последствия своих действий и как избежать непредумышленной утраты данных. Важно также провести соответствующее обучение всех работников, а не только тех, кто непосредственно связан с ИТ.
Храните информацию в безопасности
Согласно ESET, «есть миллион причин, по которым следует зашифровывать данные». И хотя это приветствуется не всеми, шифрование данных может стать ощутимым подспорьем для предотвращения утраты данных.
Отслеживайте данные и поведение
Умение контролировать использование компьютера и поведение лиц позволит бизнесу быть начеку и идентифицировать необычные или рискованные действия. Схема BOYD (от анг. bring your own device – приносите своё собственное средство), которая принята во многих компаниях, также должна тщательно отслеживаться и проверяться.
Взгляд в будущее
С учётом исходящего от работников риска – пусть даже непредумышленного – но который несёт потенциальную угрозу катастрофы для бизнеса, неудивительно, что работодатели настроены на гораздо более жёсткий подход к внутренним угрозам безопасности в предстоящие годы.
Если вы ищете, как улучшить попытки кибер безопасности на вашем рабочем месте, бесплатные ресурс ESET обучения сознательному подходу к кибер безопасности – это отличный способ начать.
Источник: WeLiveSecurity
