При опросе 216 членов международной группы пользователей Sybase более половины респондентов назвали человеческие ошибки главным фактором риска для безопасности данных своей организации, говорится в опубликованном 18 мая отчете компании Application Security. Опрос был проведен по заказу этого производителя средств защиты баз данных компанией Unisphere Research.
Примерно 26% опрошенных сотрудников организаций нефинансового сектора считают главной проблемой человеческие ошибки, а 24% — злонамеренные действия инсайдеров, злоупотребляющих своими полномочиями, говорится в исследовании. В организациях, оказывающих финансовые услуги, эти показатели были еще выше. Здесь человеческие ошибки внушают тревогу 77% респондентов, а злоупотребление полномочиями со стороны инсайдеров — примерно 48%. В организациях, предоставляющих финансовые услуги, работала почти четверть опрошенных.
“Угроза исходит изнутри и обычно носит случайный характер”, — заявил сотрудникам Unisphere Research администратор баз данных из производственной компании.
Для отмеченной озабоченности, похоже, имеются реальные основания. Почти две трети организаций, сталкивавшихся за последние месяцы с хищением данных, сообщили, что это произошло в результате либо человеческой ошибки, либо инсайдерской атаки. Целями атак чаще всего были базы данных и связанные с ними интернет-приложения.
Информационная безопасность должна обеспечиваться внутри предприятия “с такой же настойчивостью”, как и для защиты от внешних угроз, считает Джо МакКендрик, ведущий аналитик Unisphere Research и автор исследования. Организациям часто не удается защитить информацию, которой обмениваются подразделения или партнеры по бизнесу, сказал МакКендрик.
Очень немногие из обследованных компаний активно защищали данные или проводили регулярный мониторинг и аудит на предмет выявления пробелов в системе безопасности. Большинство респондентов призналось, что имеется множество копий производственных данных. Но при этом они утверждали, что не управляют этой информацией непосредственно и не в силах ничего предпринять. Лишь 20% приняли “проактивные меры”, чтобы скрыть или защитить эту информацию от других сотрудников. Требования регулирующих органов оказывают определенное влияние на безопасность данных, констатируется в отчете. Однако аудит безопасности данных “проводится редко и встречается нечасто”.
Кроме того, организации не пользуются техническими достижениями для автоматизации некоторых действий по защите баз данных, такими как управление конфигурацией базы данных, установка “заплат”, аудит, управление правами пользователей и угрозами.
Организациям следует сосредоточиться на использовании передового опыта в области обеспечения безопасности баз данных, сказал Том ВанХорн, вице-президент Application Security по глобальному маркетингу. “Пока они этого не сделают, разгул вторжений в сети, безусловно, будет продолжаться”, считает ВанХорн.
Несмотря на выраженное ими беспокойство и отсутствие мониторинга, респонденты оптимистично оценивают перспективы вторжения в свои сети в ближайшем будущем. Большинство из них (73%) считают, что основная масса или даже все конфиденциальные данные надежно защищены. Более половины (56%) заявили, что в течение ближайших 12 месяцев хищение данных маловероятно. И лишь 2% уверены, что на протяжении года “неизбежно” хищение данных, осуществленное изнутри или извне.
“Если вы посмотрите на результаты исследования в целом, то некоторые показатели просто не согласуются, — сказал МакКендрик. — С одной стороны, пользователи считают, что обеспечивают эффективную защиту данных в своих организациях. Тогда как ответы на некоторые уточняющие вопросы прямо противоречат такому представлению”.
По словам МакКендрика, существует “глубокий разрыв” между тем, что представляется важным ИТ-менеджерам, отвечающим за безопасность баз данных, и старшему менеджменту. Исследование показало, что первые не знают, как выглядят расходы компаний на ИТ. Примерно 45% респондентов не смогли сказать, изменились ли за последний год расходы их организаций на защиту данных.
Самую большую группу опрошенных составили администраторы баз данных. Но программисты, разработчики и ИТ-менеджеры также были представлены. Примерно четверть респондентов работала в организациях, насчитывающих свыше 10 тыс. сотрудников. Опрос проводился в феврале.