Утечки данных: ИТ не виноваты?

Компании во всем мире теряют колоссальные деньги из-за утечек конфиденциальной информации, не придавая должное внимание человеческому фактору и местной специфике. К таким выводам приходят эксперты в области инфобезопасности, приводя неутешительную статистику. Справиться с проблемой утечек помогут лишь правильно сформулированные и донесенные до персонала политики безопасности вместе с технической защитой, считают они.

Результаты исследования проблем утечки данных, проведенного по заказу Cisco американскими аналитиками InsightExpress, говорят о том, что риски умышленных и неумышленных утечек конфиденциальной информации разнятся в зависимости от страны и местных обычаев, и бороться с ними тоже нужно по-разному, учитывая национальные особенности. В ходе исследования были опрошены более 2 тыс. сотрудников и специалистов ИТ-служб из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии. Страны были выбраны с таким расчетом, чтобы представлять разные уровни социальной и деловой культуры, зрелости экономики и проникновения интернета. В это году Россия в исследование Cisco не вошла, но на следующий год ее обещали обязательно включить.

Современные технологии – средства для совместной работы, мобильные устройства и компьютеры, приложения Web 2.0, видеосвязь, социальные сети - размывают границы между работой и личной жизнью, тем самым повышая риски утечек конфиденциальной корпоративной информации. К примеру, как показало исследование Cisco, каждый пятый сотрудник меняет настройки безопасности на рабочих ПК, чтобы получить доступ к запрещенным веб-ресурсам - социальным сетям, торрентам, интернет-магазинам. Именно эти ресурсы в 50% случаев приводят к заражению корпоративной сети. Это особенно характерно для США (74% случаев) и Индии (79%).

Выяснилось также, что каждый четвертый сотрудник (24% опрошенных) признался, что в устной форме делится важной корпоративной информацией с друзьями, родственниками и даже незнакомцами. В объяснение причин такого поведения чаще всего можно услышать: “хотелось увидеть реакцию собеседника”, “больше не мог скрывать то, что знаю” и “не вижу в этом ничего плохого”. А почти половина опрошенных (44%) использует корпоративные устройства вместе с посторонними людьми, в том числе передает им корпоративные устройства в пользование без какого-либо контроля. Не менее трети сотрудников, уходя с рабочего места, оставляют компьютеры включенными и незаблокированными, иногда не выходя при этом из корпоративной сети.

Cisco озвучивает результаты исследования для российской прессы, обещая в следующем году предоставить статистику по России

Почти две трети опрошенных сотрудников признались в ежедневном использовании служебных компьютеров в личных целях (для загрузки музыки, совершения покупок, связи с банками, участия в блогах, чатах и т.д.). Половина сотрудников использует персональную электронную почту для связи с заказчиками и коллегами, но лишь 40% делает это с согласия корпоративного ИТ-отдела.

Каждый пятый сотрудник хранит логины и пароли на бумажках, наклеивая их на свой компьютер либо оставляя без присмотра на рабочем столе или в незапираемом ящике стола. В Китае 28% сотрудников хранят номера и пин-коды личных банковских счетов на рабочих устройствах, которые, к тому же, часто оставляют без присмотра. А почти четверть (22%) сотрудников выносят корпоративные данные на портативных устройствах за пределы офиса. Такое поведение особенно характерно для Китая (41%).

Почти четверть служащих германских компаний (22%) разрешают посторонним ходить без присмотра по своему предприятию. В среднем же так поступает 13% опрошенных. Кроме того, 18% респондентов признались в том, что позволяют неизвестным людям проходить за собой через турникет.

Основные приоритеты российских компаний в области обеспечения инфобезопасности, методики защиты конфиденциальной информации и предотвращения утечек - вот основные темы, предлагаемые для обсуждения на секции «Безопасность» конференции CNews Forum, которая пройдет 30 октября в деловом центре московской гостиницы «Рэдиссон САС Славянская».

Участие в CNews Forum 2007 приняли более 500 специалистов, и он запомнился его посетителям интересным составом участников.

В этом году, как ожидается, CNews Forum посетят свыше 700 человек. На данный момент уже зарегистрировалось порядка 600 участников.

«Защита данных требует совместной работы в масштабе всей компании и не может ограничиваться рамками ИТ-отдела, - подчеркивает Джон Стюарт, директор Cisco по вопросам информационной безопасности. - Чтобы эффективно защитить данные, необходимо понять, с какими рисками сталкивается бизнес, и соответствующим образом выстроить свои технологии, политику, систему распространения знаний и планы обучения персонала». Стюарт также призывает международные компании разрабатывать локализованные программы обучения сотрудников с учетом местных привычек и существующих на месте угроз.

Аналогичная статистика по России уже обнародовалась местными разработчиками DLP-решений (систем защиты конфиденциальной информации от внутренних угроз). Так, в исследовании компании Perimetrix за январь-февраль этого года также делается вывод о том, что внутренние факторы заметно опережают внешние в рейтинге угроз ИБ. Наибольшие опасения спе¬циалистов вызывают утечки данных (76%) и халатность сотрудников (67%). Всего 5% опрошенных организаций не пострадали от утечек за прошедший год. Чем крупнее организация, тем больший урон наносят утечки.

Чаще всего инсайдеры крадут из компаний персональные данные (57%), детали конкретных сделок (47%) и финансовые отчеты (38%). Широко распространенные мобильные накопители (74%), а также электронная почта (58%) яв¬ляются самыми популярными каналами утечек.

Особенностью CNews FORUM 2008, который состоится 30 октября, станет Meeting Point – площадка, где компании смогут представить свои новинки, провести семинары для участников форума, встречи с клиентами, другие мероприятия.

CNews FORUM - это не только выставка и конференция, но также и площадка, позволяющая найти потенциальных клиентов, встретиться с экспертами и представителями органов государственной власти. Это возможности для поиска новых контактов, новых каналов сбыта, новых пользователей услуг. Уже сейчас можно назначить встречу с зарегистрированными участниками CNews FORUM 2008.

В то же время, в Perimetrix также признают, что одни лишь технические меры не могут решить проблему утечек. «В дуалистической картине пользователь-технологии нельзя однозначно повесить вину на что-то одно, - комментирует Денис Зенкин, директор по маркетингу Perimetrix. - Более того, преобладание того или иного фактора меняется в зависимости от специфики деятельности организации. Наш подход к обеспечению конфиденциальности данных предполагает дифференцированное внимание как к организационным, так и к техническим мерам. Игнорирование одного из этих аспектов неминуемо приведёт к существенному росту рисков, способных поставить под вопрос само существование компании. К примеру, даже самые жёсткие и педантичные методы работы с персоналом не смогут защитить ни от умышленных действий инсайдеров, ни от большей части инцидентов по невнимательности». В то же время, по словам Зенкина, комбинация этих усилий с адекватными технологиями монторинга способна свести риски по всем перечисленным категориям к минимуму.

Еще одно исследование проблемы утечек – и в российской, и в общемировой практике – провела в июле 2008 года компания InfoWatch. Специалисты пришли к выводу, что абсолютное большинство утечек в масштабах мира составляют персональные данные (95%), причем большая часть утечек (53%) происходит неумышленно. Два основных канала утечек – как намеренных, так и случайных, - это мобильные носители информации (ноутбуки, флэшки и т.п.) и интернет (на эти категории приходится по 27% всех утечек). При этом, по мнению специалистов InfoWatch, «мобильные» ненамеренные утечки достаточно легко перекрыть, введя обязательное шифрование данных.

«Основной фактор в процессе защиты конфиденциальных данных – это осознание того, что наряду с техническими методами защиты должны применяться и организационные меры, - рассказала CNews Ольга Горшкова из InfoWatch. - В противном случае эффективность всего «предприятия» будет под большим вопросом». Под организационными мерами здесь подразумевается не только работа с персоналом (тренинги о защите конфиденциальной информации, разработка системы мотивации, поднятие корпоративного духа сотрудников и прочее), но также глубокий анализ всего процесса обращения информации внутри компании.

Источник: www.cnews.ru