Для полноценной защиты корпоративной информационной экосистемы недостаточно выстраивать только программные и технические системы обороны, также необходимо учитывать и влияние человеческого фактора в лице собственного персонала. Как показывает новое исследование Finn Partners Research, сотрудники представляют высокую опасность для ИТ-безопасности организаций.
Неявная угроза
Finn Partners Research, исследовательское подразделение маркетинговой компании Finn Partners, обнародовало доклад «Кибербезопасность на рабочем месте» (Cybersecurity at Work), в котором приводятся результаты анализа угроз информационной безопасности, создаваемых персоналом для своих организаций. В рамках этого исследования эксперты опросили 500 работников американских компаний, в штате которых насчитывается более 100 человек.
Так двое из каждых пяти респондентов признались в том, что открывают вложения или переходят по ссылкам в письмах от незнакомых отправителей. Это создает серьезную брешь в информационной безопасности компаний, из-за которой возрастает риск заражения устройств вредоносными программами.
«Для злоумышленников самый простой и быстрый способ получить доступ к чувствительным корпоративным данным — это заставить сотрудника компании нажать на вредоносную ссылку. Мы знаем, что около 40% персонала замечено в таком поведении, — сообщил журналистам Джефф Сидман, старший партнер Finn Partners. — Сотрудники часто предполагают, что их личные устройства безопасны, но затем пренебрегают регулярными обновлениями ПО или использованием какой-либо политики защиты. Это серьезная проблема, особенно с учетом того, что устройство с корпоративными данными может быть потеряно, украдено или взломано».
Рост популярности концепции BOYD (Bring Your Own Device — «принеси свое устройство») привел к тому, что более половины сотрудников (55%) используют для работы свои личные устройства и это напрямую повышает риск хакерских атак, запуска вредоносных программ и компрометации данных.
«Одним из основных выводов исследования стало то, что, хотя работники являются нашим самым большим достоянием, они также являются нашим самым большим риском, — рассказала прессе Джоди Брукс, ведущий специалист в области технологий, управляющий партнер агентства Finn Partners. — С появлением концепции BYOD и переходом Apple, со всем влиянием их сервисов и приложений, в разряд компании стоимостью $1 трлн, мы можем сказать, что наши собственные сотрудники становятся фактором риска для наших организаций».
Кроме этого, опрос показал, что лишь 25% респондентов ежемесячно меняют свои учетные данные и/или пароли для личных и рабочих приложений.
Недостаточное обучение кибербезопасности
Всего четверть участников исследования заявили, что их работодатели проводят ежемесячные тренинги по кибергигиене. Это касается вопросов обновления ОС, проверки наличия важных патчей и изменения паролей. Еще 29% опрошенных проходят такое обучение ежеквартально, 19% дважды в год и 23% — ежегодно.
«В то время как 31% респондентов уже стали жертвами уязвимостей или атак, шаблоны действий по выявлению брешей в безопасности не меняются, — добавила Джоди Брукс. — Уже недостаточно раз в год проводить тренинги, посвященные последним уязвимостям. Жизненно-важное значение приобретает увеличение каденции обучения кибер-безопасности».
Исследование также показало: 93% опрошенных считают, что их компания принимает адекватные меры для защиты персональной и корпоративной информации. Более того, 94% уверены, что они вносят свой вклад в обеспечение безопасности корпоративных данных.
Источник «CNEWS»