В исследовании приняли участие 2000 сотрудников и специалистов по информационным технологиям из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии. Страны были выбраны с таким расчетом, чтобы представлять разные социальные и деловые культуры, зрелые и формирующиеся сетевые экономики и разные уровни распространённости интернета. Глобальный характер опроса позволил выявить наиболее типичные ошибки, приводящие к утечке данных, при этом исследователи отмечают, что поведенческие риски разнятся в зависимости от страны и местных обычаев.
"Мы провели это исследование, чтобы лучше понять мотивы поведения сотрудников, а не технологию как таковую, - заявил Джон Н. Стюарт (John N. Stewart), главный директор Cisco по вопросам информационной безопасности. - Безопасность во многом зависит от самих пользователей, поэтому компании любого размера и работники любой профессии должны отчетливо понимать, каким образом поведение сотрудников влияет на риск утечки данных и чем это чревато для отдельных людей и предприятия в целом. Знание этих вопросов поможет укрепить отношения между специалистами в области информационных технологий и другими сотрудниками, разработать учебные программы с учетом местной специфики и повысить эффективность управления рисками. Короче говоря, процедуры информационной безопасности станут более эффективными, если все пользователи будут сознавать, к чему могут привести те или иные действия".
10 путей к катастрофе:
Вот наиболее важные проблемы, выявленные в ходе исследования:
1. Изменение настроек безопасности на компьютере. Каждый пятый сотрудник меняет настройки безопасности на рабочих устройствах, чтобы обойти корпоративные ограничения и получить доступ к несанкционированным веб-сайтам. Это особенно характерно для растущих экономик Индии и Китая. Как выясняется, примерно треть опрошенных были уверены, что просмотр сайтов в рабочее время и с рабочего компьютера - "мое личное дело, которое никого не касается".
2. Использование неавторизованных приложений. Семь из десяти опрошенных специалистов в области информационных технологий заявили, что половина случаев потери данных происходит из-за того, что сотрудники получают доступ к неавторизованным приложениям и сайтам (например, к социальным сетям, программным средствам для загрузки музыки, онлайновым торговым порталам). Проводить рабочее время в компании с одноклассниками особенно любят в США (74 процента случаев) и Индии (79 процентов).
3. Доступ к несанкционированным сетям и системам. В прошлом году двое из каждых пяти специалистов в области информационных технологий разбирались с сотрудниками, получавшими доступ к несанкционированным сетям или системам, в Китае с подобными проблемами сталкивались две трети опрошенных.
4. Разглашение важной корпоративной информации. Выяснилось, что корпоративные секреты не так секретны, как кажутся. Каждый четвертый сотрудник (24%) признался, что в устной форме делится важной корпоративной информацией с друзьями, родственниками и даже незнакомцами. Объяснения болтунов поражают: "хотелось увидеть реакцию собеседника", "больше не мог скрывать то, что знаю" и "не вижу в этом ничего плохого".
5. Совместное использование корпоративных устройств. Данные не всегда находятся у того, кому они предназначены. Почти половина опрошенных (44%) использует корпоративные устройства вместе с посторонними людьми, в том числе передает им корпоративные устройства в пользование без какого-либо контроля или надзора со стороны компании.
6. Размывание границ между рабочими и бытовыми устройствами и средствами связи. Почти две трети опрошенных сотрудников признались, что ежедневно используют служебные компьютеры в личных целях (для загрузки музыки, совершения покупок, связи с банками, участия в блогах, чатах и т. д.). Половина сотрудников использует персональную электронную почту для связи с заказчиками и коллегами, но лишь 40% согласуют это со специалистами в облаcти информационных технологий.
7. Оставление устройств без присмотра. Не менее трети сотрудников, уходя с рабочего места, оставляют компьютеры включёнными и не блокируют их. Многие компьютеры остаются включёнными и подключёнными к корпоративной сети даже на ночь - идеальные условия для кражи корпоративных и личных данных.
8. Неправильное хранение имен и паролей. Каждый пятый сотрудник хранит системные имена (логины) и пароли на бумажках, наклеивая их на свой компьютер. Более продвинутые складывают эти бумажки в ящик рабочего слова, который редко запирается. В Китае 28% сотрудников хранят имена и пароли личных финансовых счетов на рабочих устройствах, которые, как мы помним, часто оставляют их без присмотра.
9. Потеря портативных рабочих устройств. Почти четверть (22%) сотрудников выносят корпоративные данные на портативных устройствах за пределы офиса, в Китае - 41%. Понятно, что происходит в случае потери или кражи устройства.
10. Несанкционированный вход на предприятие и хождение по территории без присмотра. Каждый пятый сотрудник германских компаний (22%) разрешает сотрудникам других компаний ходить без присмотра по своему предприятию. В среднем же так поступает 13%. Кроме того, 18% респондентов признались что позволяют неизвестным людям проходить за собой через турникет.
"Компании предоставляют сотрудникам все больше возможностей для совместной работы и мобильности, - комментирует результаты исследования главный директор Cisco по вопросам информационной безопасности Джон Стюарт. - Без внедрения современных технологий безопасности и корпоративных политик, обучения сотрудников и распространения знаний информация становится все более уязвимой. Сегодня данные могут находиться где угодно - в каналах связи, на пользовательских устройствах, в программах, на системах хранения, а также в различных местах, не связанных с бизнесом: дома, в дороге, в кафе, на поездах и самолетах. С этим ничего не поделаешь. Чтобы эффективно защитить данные, необходимо понять, с какими рисками сталкивается бизнес, и соответствующим образом выстроить свои технологии, политику, систему распространения знаний и планы обучения персонала".