Пароли, сложные методы авторизации, защищенные каналы связи — все это бессильно перед собственным персоналом, который в курсе всех политик безопасности, принятых в той или иной организации. Учитывая тот факт, что компании в современных экономических условиях, становятся все более мобильными, распределенными и внедряют разнообразные системы совместной работы, оказалось весьма интересно изучить результаты опроса аналитической фирмы InsightExpress, которая по заказу Cisco опросила ИТ-профессионалов по поводу такого рода угроз (выборка — 2 тыс. сотрудников и ИТ-специалистов из 11 стран мира).
Один из самых примечательных результатов проведенного исследования состоит в том, что большинство ИТ-специалистов по какой-то странной причине считают, что остальные сотрудники компании с течением времени все лучше и лучше понимают риски в области безопасности и все старательнее защищают корпоративные данные. Уверенность однако непостижимая — опросы самих сотрудников говорят совсем о другом, заставляя более трезво взглянуть на истинное положение вещей. Совершенно прав главный директор Cisco по вопросам безопасности Джон Стюарт, когда отмечает, что стирание границ между работой и домом, а также между частными и корпоративными данными означает, что данные могут быть получены, переданы, сохранены и выкрадены практически в любое время. Очевидно, это диктует необходимость изменения существующих подходов к защите информации — они должны начинаться с ИТ-отдела компании, сотрудники которого должны четко понимать, насколько поведение пользователей влияет на потерю данных. Ведь несмотря на тот факт, что большинство угроз корпоративной информации исходит извне, “внутренние угрозы”, то есть случайное или преднамеренное разглашение корпоративной информации самими сотрудниками может нанести компании не меньший ущерб, чем атака извне.
Главная причина потерь данных со стороны сотрудников — это далеко не халатность персонала, а тот факт, что тот или иной сотрудник по какой-то причине может почувствовать себя обиженным, и в результате передать данные компании “на сторону” (этот факт отметили 39% опрошенных). Кроме того, существует и целенаправленная кража информации и устройств для продажи — 11% опрошенных ИТ-специалистов отметили, что крали корпоративные данные и устройства для продажи либо знают других сотрудников, кто это делал с целью получения денежного вознаграждения. Сделать это они могут с помощью портативных жестких дисков и флэшек (это фактор упомянула треть ИТ-специалистов), а также электронной почты (25% опрошенных) и устной передачи информации посторонним лицам (8%).
Еще одна серьезная причина утечек данных — это потерянные и украденные устройства. За год, предшествовавший исследованию, примерно каждый десятый опрошенный сотрудник вследствие утери или кражи лишился корпоративного устройства со своими личными данными и корпоративной информацией. Причем большинство таких устройств было защищено только банальными паролями, а многие не имели никакой защиты вовсе.
На мой взгляд, для того чтобы свести угрозу потери данных до минимума и сократить соответствующие издержки, компаниям имеет смысл применять не так уж много организационных мер. К примеру, четко определить, какие именно данные нуждаются в защите — защита периметра уже не актуальна, имеет смысл выделять наиболее важные зоны и образовывать там “узлы обороны” с эшелонированными системами защиты. Кстати, не стоит думать, что сотрудники сами знают, какие данные следует защищать — к сожалению, они не умеют читать мысли руководства, да и представление о безопасности у них может быть фрагментарным. Кроме того, желательно выделить средства для обучения сотрудников всех подразделений единым правилам безопасного поведения и защиты данных — для этого стоит наладить постоянный контакт со своим персоналом и знать особенности их работы.
