Офисная небезопасность: почему работники безнаказанно сливают информацию

Компания Zecurion совместно с порталом Superjob провела исследование защищённости конфиденциальной информации в корпоративной среде, в котором были рассмотрены различные сценарии утечки информации. Ответы респондентов позволят понять, почему происходят утечки, как их можно минимизировать, какая информация наиболее уязвима, и, наконец, почему многочисленные инциденты происходят фактически безнаказанно.

Так же, как театр начинается с вешалки, информационная безопасность организации должна начинаться на самых ранних этапах найма сотрудников. Одной из простейших, но в то же время эффективных мер, является подписание соглашения о неразглашении конфиденциальной информации. Выяснилось, что более половины работников (53%) подписывали такие соглашения при трудоустройстве, но это не мешает им передавать информацию по незащищённым каналами и выносить документы на уязвимых мобильных носителях.  В ходе исследования было установлено, что  чаще всего для этого используют флешки (49%) и электронную почту (43%).

Что касается мобильных накопителей (в частности, флэшек), их использование, на первый взгляд, более безопасно, поскольку к носителям никто, кроме владельца, не должен иметь доступ. Однако беспечность при использовании USB-накопителей может дорого стоить. По мировой статистке инцидентов за 2009-2012 годы, от 8% до 13% утечек происходит  через мобильные накопители. Среди наиболее распространённых сценариев — кража или утеря флешки с данными.

Также во время исследования были выявлены категории наиболее ценной для компаний и самих сотрудников информации. Так, согласно последним отчетам Zecurion Analytics, наибольшее количество внутренних инцидентов за последние 3 года связано с утечками персональных данных [клиентов, сотрудников] и финансовых сведений физлиц, в основном клиентов крупных банков. При этом, по мнению участников текущего исследования, наиболее ценной корпоративной информацией являются персональные данные (указали 28% респондентов) и сведения о сделках и договорах с клиентами, партнёрами и поставщиками (16%).

Таким образом, возникает вопрос: какие же санкции предусмотрены за разглашение информации сотрудниками, подписавшими NDA? Чаще всего (30%) работодатель обещает применить дисциплинарную ответственность различной степени тяжести или наложить штраф. 18% компаний не прописывает ответственность вовсе. Отсутствие санкций снижает профилактический эффект от подписания документа. Большое количество респондентов (24%) затрудняется ответить на вопрос. Косвенно, это указывает на недостаток внимания к вопросам информационной безопасности.

Ещё одна проблема, которую вскрыло исследование — это пропасть между намерениями и реальной защищённостью информации. При том, что лишь 10% топ-менеджеров и владельцев бизнеса сказали, что их компаниям не нужны специалисты по информационной безопасности, в реальности лишь немногие из них выделяют достаточно средств для создания отделов по защите от утечек информации.

По итогам исследования был выявлен определённый дисбаланс в сфере защиты информации от утечек. С одной стороны, и руководители бизнеса, и рядовые сотрудники осознают важность информационной безопасности. С другой стороны, на практике информация оказывается чрезвычайно уязвимой. Тем не менее, позитивным является сам факт осознания проблемы и определённые шаги, направленные на её решение. Технические средства контроля информационных потоков становятся более удобными в обращении. Можно ожидать, что с развитием законодательства в области защиты информации и ростом осведомлённости пользователей количество утечек корпоративной информации будет постепенно снижаться.

Рубрика: 
Ключевые слова: 

Поделиться

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий