Как организации позволяют работникам оставаться самым слабым звеном

Размер бюджета на ИБ далеко не всегда пропорционален степени ее эффективности. Нередко излишнее стремление повысить уровень кибербезопасности компании может иметь обратный эффект и приводить к неумышленным утечкам

По данным аналитического центра InfoWatch, в 2015 году более 65% утечек произошло по вине или неосторожности сотрудника. И если процент «случайных» инцидентов ИБ стабильно растет - с 39% в 2013 до 65% в прошлом году -  то содержание самих ошибок персонала практически не претерпевает изменений - еще в 2014 году мы провели анализ и выделили 10 самых распространенных ошибок сотрудников, приводящих к утечкам корпоративной информации.

Эксперт Норман Шоу предлагает руководителям служб ИБ пересмотреть стратегию безопасности в своих компаниях в сторону минимизации влияния человеческого фактора. Предлагаем вам перевод его статьи.

В прошлом году было столько утечек данных, что согласно последнему отчету компании NTT "Risk:Value" большинство английских компаний (57%) теперь ждет хакерского взлома. Но несмотря на это, пусть даже большинство утечек по-прежнему связано с ошибками сотрудников (недавнее глобальное исследование компании Heat Software подтвердило, что халатность работников – самая большая угроза для безопасности терминальных устройств), всё внимание и все деньги уходят на защиту от кибер-атак. К сожалению, компании так зациклены на кибер-безопасности и противодействии внутренним злоумышленникам, что не только никак не борются с неумышленными ошибками своих работников, но и вводят правила, еще больше повышающие влияние человеческого фактора.

Стоит пойти на поводу у работников, и безопасность под угрозой

Все чаще пользователи хотят иметь доступ к информации всегда, везде и с любого устройства. Современные офисные работники не стали исключением и теперь ждут, что работодатели позволят им пользоваться личными устройствами в корпоративной среде (политика BYOD, Bring Your Own Device). Этот тренд – вместе со стремительно развивающимся интернетом вещей (IoT, Internet of Things) и возможностью удаленной работы – ставит информационную безопасность во главу угла. Тем не менее работники продолжают использовать (и терять!) собственные флэшки, не прошедшие контроль службы безопасности, не спешат заявлять о потере или краже устройства; да и обязательное шифрование – весьма сомнительная мера: оно неудобно и по большей части бесполезно в случае утечки.

Почему потеря устройства так всех удивляет?

Согласно исследованию компании Eset, занимающейся интернет-безопасностью, каждый год в Великобритании в химчистках оставляют 22 266 флэшек. В принципе ничего удивительного – людям свойственно ошибаться. Любопытно другое: зная это, компании все равно позволяют сотрудникам пользоваться USB-носителями, которые в худшем случае те подцепили на каких-нибудь конференциях, а в лучшем — имеют такое сложное шифрование, что его приходится отключать. Так или иначе, это огромная угроза безопасности, которую невольно провоцирует сам работник.

Программное шифрование и проблема паролей

Программное шифрование популярно, так как это недорогая в использовании и легкая во внедрении и обновлении технология. Однако оно может замедлять и усложнять работу с устройствами, а значит, его могут просто отключить. Если шифрование требует пароля, то люди будут выбирать легко запоминаемые пароли, оставлять их в легко доступных местах и делиться ими с коллегами и членами семьи. А то и вовсе – для удобства – использовать те же пароли, что и на персональных устройствах и в учетных записях, которые часто едва защищены, если вообще имеют защиту. Это позволяет хакерам легко добывать корпоративные данные, зашифрованные программным способом. А из-за часто отключенного шифрования и проблем с паролями в отсутствие самого устройства трудно доказать, что оно было зашифровано, так что само по себе шифрование не дает достаточно надежную защиту.

В большинстве случаев сотрудник просто старается работать максимально быстро и эффективно. Он и не подозревает, какой риск несут его решения для безопасности работодателя. Итак, сложное шифрование никуда не делось, а мы по-прежнему бесконечно далеки от повсеместного преподавания основ информационной безопасности – будь то в школах или компаниях.

Мне не нужны неприятности

В свете всей этой новостной шумихи вокруг потерь бизнеса от утечек данных (в отчете NTT предполагается, что каждая утечка «обходится» в 1,2 млн. фунтов плюс 13-процентное снижение выручки), работнику будет просто страшно сообщать об утечке. Виноват ли работник в утечке или нет – вряд ли он побежит докладывать о ней, если будет опасаться увольнения. Этот страх увеличивает риски для безопасности компаний – ведь не зная об утечках, они не могут с ними бороться!

Как лишить работников звания самого слабого звена?

Как видно из предыдущих примеров, компании делают ставку на то, что люди не будут ошибаться, а такая "стратегия" безопасности оставляет желать лучшего. Защитить организации можно, лишь отобрав контроль у конечного пользователя и передав его в надежные руки компании. И задача первостепенной важности – выбрать технологии, которые решат эту проблему и помогут вам, если случится нечто худшее.

Остановившись на технологических решениях с отслеживанием местонахождения, вы будете уверены, что данные на флэшке доступны только в определенных географических зонах и что утерянную флэшку можно найти и тем самым доказать, что данные всё время были надежно защищены. Если вы найдете утерянное или украденное устройство и достоверно продемонстрируете все его перемещения с момента потери, то огромные штрафы могут обойти вас стороной.

Кроме того, не стоит сводить весь арсенал отдела ИТ-безопасности к программному шифрованию, забывая про более удобные способы шифрования, и не надо быть слишком доверчивым, когда речь заходит о перезаписи или удалении данных.

И конечно же, в компании должна быть особая культура, где работников учат обращаться с корпоративными данными и—вместо обвинений и угрозы увольнения—поощряют сообщать об утечке данных непосредственному руководителю. Только так работники из слабейшего звена превратятся в ваш самый ценный актив.

Подпишитесь на рассылку INFOWATCH