Сотрудники — это действительно мощнейший внутренний фактор риска для компаний. Что же предпринять, чтобы минимизировать человеческий фактор в обеспечении информационной безопасности компании?
С каждым годом для предприятия любой сферы данные становятся всё более ценным ресурсом. Утечка чувствительной информации грозит организации не только серьезным материальным ущербом, но и потерей репутации. При этом умышленные или непреднамеренные действия внутренних сотрудников являются для компаний не меньшим фактором риска ИБ, чем атаки злоумышленников.
Руководители многих компаний стремятся создать для своих сотрудников в офисе максимально комфортные условия: плавающий график, современная концепция пространства Open Space, возможность удаленной или гибридной работы. Но с точки зрения информационной безопасности — нельзя забывать о разумном компромиссе между комфортом и надежной защитой от киберугроз. Все ли помнят о том, что, подключаясь к публичному Wi-Fi, можно наткнуться на фальшивую сеть и «подарить» свои логины-пароли злоумышленникам? А открытое пространство в офисе как будто создано для того, чтобы подсмотреть конфиденциальную информацию у коллеги или сфотографировать экран его компьютера?
При удаленной работе, в свою очередь, сотрудникам безопасности труднее отслеживать все риски, которым подвергаются данные компании на личном компьютере сотрудника. Заразив машину удаленного пользователя, например с помощью фишинга, хакер может через нее проникнуть и в корпоративную сеть — конечно, если она ненадлежащим образом защищена.
Сотрудники — козырь в рукаве мошенников
Сотрудники — это действительно мощнейший внутренний фактор риска для компаний. Согласно исследованию Positive Technologies, доля массовых кибератак с использованием социальной инженерии в 2022 году постоянно росла: в 3 квартале 2022 года для организаций она составила 46% от общего числа атак (во 2 квартале — 43%). Главным источником угроз традиционно является корпоративный почтовый сервис, но под прицелом злоумышленников находятся также используемые сотрудниками веб-сайты, мессенджеры, социальные сети и телефония.
Последний отчет об исследовании утечек информации InfoWatch также свидетельствует о том, что, несмотря на активизацию хакеров, в 2022 году количество нарушений ИБ внутреннего характера осталось на высоком уровне. При этом велика доля умышленных нарушений: более 75%.
К традиционным лидерам по количеству утечек аналитики относят финансовый сектор и ретейл. Кроме того, в последнее время в этот перечень входят ИТ-компании и государственные организации.
Чем опасны утечки информации
Весной 2022 года суд оштрафовал компанию «Яндекс. Еда» на 60 000 рублей за то, что данные клиентов этого сервиса оказались по вине недобросовестного сотрудника в открытом доступе. В том же году утечки произошли в Delivery Club, РЖД, авиакомпании «Победа» и других крупных компаниях. И если для них штраф в десятки тысяч рублей — капля в море, то для бюджета некоторых малых предприятий это критическая сумма. Тем более что законодательство в отношении ответственности за утечку данных постоянно ужесточается.
Помимо штрафа за недобросовестные или просто неразумные действия сотрудника, компании грозят и другие неприятности. В первую очередь это вред деловой репутации, отмена сделок, разрыв партнерских отношений. Кроме того, компенсация ущерба третьим лицам, затраты на судопроизводство и многое другое.