Более 60% компаний потерпели утечки данных от действий персонала

От утечки данных по вине сотрудников страдали 61% компаний США. В среднем у таких компаний было по восемь утечек данных за два года. Такие выводы содержатся в отчете, подготовленном компанией OPSWAT по результатам опроса Ponemon Institute.

По заказу компании OPSWAT, разработчика IT/OT решений в области киберберазопасности, институт Ponemone опросил 612 специалистов по информационным технологиям и информационной безопасности, которые осведомлены о подходах своих организаций к безопасности файлов. Результаты опроса отражены в отчете “The State of File Security”, который OPSWAT представила в начале сентября.

Безопасность файлов включает методы и технологии, используемые для защиты данных от несанкционированного доступа, кражи, модификации или удаления. Как отмечается в данном исследовании, наиболее серьезными рисками для безопасности файлов являются утечки данных, вызванные небрежностью и/или злонамеренными действиями сотрудников, а также отсутствием контроля доступа к файлам.

Атаки на хранилища конфиденциальных данных в файлах происходят часто и требуют больших затрат, что указывает на необходимость инвестирования в технологии и методы, позволяющие снизить риск этой угрозы.

Согласно отчету, за последние два года почти две трети (61%) компаний из США пострадали от утечек данных, вызванных действиями внутренних нарушителей.

В среднем пострадавшие компании за два года потерпели по восемь внутренних инцидентов, приведших к несанкционированному доступу к конфиденциальным данным в файлах.

Средний ущерб от действий внутренних нарушителей составил 2,7 млн долларов США на один инцидент. Финансовые последствия для пострадавших компаний включают штрафы регуляторов, снижение производительности и утечка данных.

Наиболее серьезным риском для конфиденциальных файлов в своих организациях опрошенные назвали утечки информации в результате непреднамеренных и злонамеренных действий персонала — 45% респондентов. Далее расположились такие риски, как нарушение прозрачности контроля доступа к файлам (39%) и внедрение вредоносного кода в приложения сторонних поставщиков (33%).

Примерами злонамеренных действий сотрудников являются кражи или раскрытие конфиденциальных данных работодателей с целью саботажа или финансовой выгоды. К числу непреднамеренных действий относится раскрытие данных по неосторожности или в рамках обмана со стороны злоумышленника. Примером этого является размещение коммерческой тайны или персональных данных клиентов на ChatGPT и других общедоступных платформах ИИ.

Инструменты хранения файлов — самая уязвимая среда

Средства хранения файлов 42% опрошенных назвали самым уязвимым местом. По их мнению, такие инструменты представляют наибольшую угрозу для конфиденциальности данных. Речь идет о локальных средах типа SharePoint и сетевых устройствах хранения (NAS).

Следующей по уровню риска угроза является загрузка файлов в Сеть — ее назвали 40% респондентов. Почти столько же, 39% опрошенных, выделили утечки информации в результате загрузки контента из Сети, а также при использовании облачных приложений (SaaS) и средств совместной работы (типа Microsoft Teams).

В числе сред хранения данных, представляющих наибольшие риски, 29% участников исследования назвали облачные инструменты размещения типа Google Workspace, а 23% — SaaS-приложения типа Dropbox.

Каждая третья компания запретила использование инструментов GenAI

В отчёте OPSWAT также анализируется использование организациями инструментов ИИ.

Почти треть опрошенных (29%) сообщили, что в их организациях запретили использовать в работе средства генеративного искусственного интеллекта. В то же время 19% компаний и вовсе не планируют внедрять подобные инструменты.

Только 25% компаний утвердили официальные политики использования генеративного ИИ на рабочих местах, а 27% используют подход ad hoc.

При этом треть участников опроса (33%) сообщили, что их компании сделали ИИ частью своей стратегии обеспечения безопасности файлов, а 29% планируют добавить ИИ в свой подход в 2026 году.

Более половины (59%) респондентов, компании которых приняли искусственный интеллект как часть стратегии безопасности файлов или планируют это сделать, рассказали, что ИИ эффективен или очень эффективен для повышения зрелости направления безопасности файлов.

Кроме того, 29% сообщили, что в настоящее время занимаются пилотным тестированием использования технологии генеративного ИИ для разблокировки файлов, а 18% заявили, что она у них уже находится в процессе промышленной эксплуатации.

Источник: OPSWAT