Многочисленные поведенческие риски, которым подвергаются сотрудники в распределенных средах с поддержкой удаленного доступа, могут привести к потере корпоративной информации. К такому выводу пришли авторы исследования, проведенного по заказу Cisco Systems.
По мнению представителей Cisco, рост которой во многом обусловлен именно развитием средств поддержки совместной работы, по мере дальнейшего повышения мобильности персонала границы между работой и личной жизнью начинают размываться. Все это приводит к неоправданно рискованному использованию ИТ-ресурсов организации-работодателя и утечке критически важной для нее информации.
«Сегодня сотрудники становятся все более мобильными, взаимодействие между ними неуклонно развивается, — подчеркнул в своем заявлении технический директор Cisco Джон Стюарт. — При отсутствии современных технологий безопасности и политик, при недостаточном уровне подготовки и осведомленности персонала уязвимость информации заметно возрастает».
Исследование, проведенное компанией InsightExpress по заказу Cisco, базируется на результатах опросов более 2 тыс. сотрудников и ИТ-специалистов из 10 стран. Оно должно помочь работодателям оценить последствия утечки данных и ее влияния на безопасность с учетом того, что стиль жизни сотрудников и их рабочая среда все меньше привязаны к какому-то конкретному месту. Кроме того, авторы исследования выявили опасные действия, способные привести к утечке информации, и дали рекомендации по управлению рисками в условиях дальнейшей популяризации этой новой парадигмы рабочего места. В опросе принимали участие 1 тыс. сотрудников и 1 тыс. ИТ-специалистов, представлявших различные отрасли и компании разного масштаба из десяти стран: США, Великобритании, Франции, Германии, Италии, Японии, Китая, Индии, Австралии и Бразилии. Страны выбирались с учетом разнообразия их социальной и деловой культуры, степени зависимости экономики от телекоммуникационных сетей и различных уровней распространения Internet.
По итогам исследования были выделены следующие наиболее существенные поведенческие закономерности.
1. Изменение настройки параметров безопасности компьютеров. Каждый пятый сотрудник из числа опрошенных вносил изменения в настройку параметров безопасности своих рабочих устройств, с тем чтобы обойти установленные ИТ-политики и получить доступ к неавторизованным Web-сайтам. Более половины говорили о том, что им просто хотелось получить доступ к интересующим их сайтам, а треть считает, что «никого не должно интересовать», какие сайты ими посещаются.
2. Использование неавторизованных приложений. Семь из десяти ИТ-специалистов утверждают, что доступ к неавторизованным приложениям и Web-сайтам является причиной как минимум половины всех случаев утечки данных. Такая уверенность наиболее характерна для пользователей США (74%) и Индии (79%).
3. Неавторизованный доступ к сетевым и прочим ресурсам. В прошлом году два из пяти ИТ-специалистов зафиксировали попытки получения сотрудниками неавторизованного доступа к сети. Причем две трети указали на то, что такие попытки предпринимались неоднократно, а 14% регистрировали их ежемесячно.
4. Совместный доступ к конфиденциальной корпоративной информации. Каждый четвертый сотрудник на словах признал, что делился конфиденциальной информацией своего предприятия с людьми, не работающими в его компании: с друзьями, членами семьи и прочими посторонними лицами. На вопрос о причинах чаще всего давались следующие ответы: «Мне нужно было с кем-то обсудить идеи», «Требовалось дать выход своим эмоциям» и «Я не видел в этом ничего плохого».
5. Совместное использование корпоративных устройств. Почти половина опрошенных сотрудников передавала свои рабочие устройства другим, в том числе и посторонним лицам, оставляя их с оборудованием без присмотра.
6. Стирание грани между рабочими и личными устройствами и средствами взаимодействия. Почти две трети сотрудников признали, что ежедневно используют свои рабочие компьютеры в личных целях. Подобные действия включают в себя скачивание музыки, совершение покупок, проведение банковских операций, участие в блогах и форумах. Половина сотрудников использовала личную электронную почту для общения с клиентами и коллегами, но только в 40% случаев на это было получено разрешение ИТ-службы.
7. Незащищенные устройства. По крайней мере, каждый третий сотрудник, покидая свое рабочее место, оставлял компьютер включенным и незаблокированным. Портативные компьютеры оставлялись на рабочем столе на ночь, при этом иногда их владельцы даже не завершали сеанса работы. Все это порождало потенциальную угрозу кражи или получения злоумышленниками доступа к корпоративным и личным данным.
8. Хранение учетной информации и паролей. Один из пяти сотрудников хранит системные учетные записи и пароли непосредственно в своем компьютере, записывает и оставляет их на рабочем столе, в незакрытом кабинете или в виде наклейки на компьютере. В некоторых странах (в частности, в Китае) 28% сотрудников сообщили, что хранят на своих рабочих устройствах учетную информацию и пароли к личным финансовым счетам.
9. Утеря портативных устройств хранения. Каждый четвертый сотрудник выносит корпоративную информацию на портативных устройствах хранения за пределы офиса.
10. Проход нескольких людей по одному электронному пропуску, безнадзорное нахождение посторонних рядом с помещениями компании. В Германии более 20% служащих сообщили, что посторонним позволено бродить вокруг их офисов без присмотра. В целом это отметили 13% опрошенных. А 18% рассказали, что неизвестным лицам беспрепятственно разрешалось проходить в помещения компании вслед за сотрудниками.
По мнению представителей Cisco, выявленные факты помогут компаниям скорректировать свои планы по управлению глобальными рисками. Для предотвращения потери данных рекомендуется придерживаться следующих правил. — Ответственные лица должны знать, как и где хранятся данные, каким образом осуществляется доступ к ним, каков характер их использования. — Данные необходимо защищать точно так же, как и деньги, — разъяснять сотрудникам, как защита данных отражается на процессах зарабатывания и потери денежных средств. — Требуется выработать стандарты безопасного перемещения, определив цели глобальной политики и составив инструкции для персонала с учетом национальной культуры и характера угроз. — Необходимо укреплять доверительные отношения между представителями ИТ-службы и остальными сотрудниками. — Следует разъяснять сотрудникам требования безопасности, проводя соответствующее обучение и инструктажи.
Результаты исследования появились вскоре после того, как представители Cisco указали на наличие уязвимых мест в системе безопасности механизмов виртуализации и вычислительных ресурсов «облака». В Cisco рассчитывают, что развитие этих рыночных сегментов будет способствовать дальнейшему росту этой компании.