Când vine vorba de criminalitatea informatică, este ușor să vă imaginați că cea mai mare amenințare la adresa companiei dvs. este una de natură externă. Cu toate acestea, tot mai multe companii își dau seama că angajații de încredere și instruiți pot reprezenta, de asemenea, o amenințare enormă.
Într-adevăr, în urma unui raport recent de la Haystax Technology s-a constatat că 74% dintre organizații "se simt vulnerabile la amenințările interne", cu 56% dintre profesioniștii din domeniul securității susținând că "amenințările din interior au devenit mai frecvente" în ultimul an.
În timp ce unele atacuri sau breșe sunt cauzate de angajați cu răutate, multe situații apar și din cauza neglijenței - poate prin simpla ignorare a unui avertisment, prin nerespectarea procedurilor sau printr-o eroare umană simplă. Au fost identificate astfel trei tipuri de angajați care pot provoca o breșă de date.
- Acțiuni inocente
Când vine vorba de breșele de date, angajații nevinovați pot cauza pagube la fel de mari precum hackerii rău intenționați. Autoritățile locale din Norfolk, Suffolk și din Cambridgeshire, Marea Britanie au învățat o lecție în această privință, înregistrând peste 160 de breșe de date între 2014 și 2015, cele mai multe fiind cauzate de eroarea umană (inclusiv pierderea telefoanelor mobile, scrisori adresate în mod eronat sau prin completarea unor formulare cu date sensibile ce au fost vândute către terți).
Un alt exemplu poate fi observat la breșa de date din anul 2016 de la firma americană Federal Deposit Insurance Corp (FDIC). În acest caz, un fost angajat nevinovat, "din neatenție și fără rea intenție", a descărcat date sensibile pe un dispozitiv personal de stocare.
Ținând cont de existența unor cazuri de genul celor de mai sus, nu este deloc surprinzător faptul că 74% dintre organizațiile care au participat la studiul efectuat de către Haystax au fost cei mai preocupați.
- Din neatenție sau din neglijență?
Cunoașteți avertizarea de securitate transmise pe ecran - întreprindeți întotdeauna acțiuni imediate? Un sondaj efectuat de Google în 2013 a descoperit că au fost ignorate 25 de milioane de avertismente Chrome, în proporție de 70,2% dintre aceste cazuri fiind cauzate de lipsa de cunoștințe tehnice din partea utilizatorilor, ceea ce a dus la simplificarea limbajului tehnic pe care îl utilizează în avertizările sale.
Pe de altă parte, Sistemul de sănătate Sf. Iosif a suferit o breșă în 2012, caz în care setările de securitate au fost "configurate greșit", fapt ce a condus la transpunerea înregistrărilor medicale private în mediul online. Din cauza naturii delicate a înregistrărilor, nu este, probabil, surprinzător faptul că procesul care a urmat a costat compania milioane de dolari.
- Rea-intenție
Din nefericire, asemeni erorii umane, acțiunile rău-intenționate ale angajaților joacă un rol în breșele de date interne. Acest lucru este ilustrat de situația în care Autoritatea Britanică de Reglementare a Comunicațiilor, OFCOM a descoperit în 2016 că un fost angajat a colectat pe furiș datele terțe. În mod șocant, activitatea dăunătoare a avut loc pe o perioadă de șase ani.
Morrisons, gigantul lanț de supermarketuri din Marea Britanie, de asemenea, a fost neputincios în fața unui angajat nemulțumit care a postat datele personale ce aparțineau unui număr de aproximativ 100.000 de membri ai personalului său pe internet. Deși incidentul a avut loc în 2014, compania se confruntă încă cu perspectiva unei noi acțiuni legale din partea personalului în ceea ce privește breșa respectivă.
Ce poate fi făcut?
Conform unui sondaj din 2016, 93% dintre respondenți consideră că cel mai mare risc pentru protecția datelor este reprezentat de comportamentul uman. Nuix, care a comandat studiul, are o viziune conform căreia corporațiile ar putea începe mustrarea angajaților care "înțeleg greșit, interpretează greșit sau calculează greșit politicile și procedurile de securitate de lungă durată".
Iar ținând cont de impactul unei scurgeri de date ce provoacă daune întreprinderilor, inclusiv pierderi financiare și pagube la nivelul reputației unei firme, nu este surprinzător faptul că în companii se abordează găsirea de modalități în vederea atenuării și limitării în ceea ce privește utilizarea abuzivă a computerului.
Creșteți gradul de conștientizare din partea angajaților
Poate că pasul cel mai logic pentru angajatori este să se asigure că toți angajații sunt conștienți de impactul potențial al acțiunilor lor și să identifice moduri prin care să evite pierderea accidentală a datelor. De asemenea, este important să implicăm toți angajații într-o formare adecvată, mai degrabă decât luarea în considerare doar a celor implicați direct în IT.
Păstrați informațiile în siguranță
Potrivit lui Stephen Cobb de la ESET, "există un milion de motive pentru criptarea datelor". Deși nu este o idee îmbrățișată de toți, datele criptate ar putea fi o parte importantă a prevenirii în cazul pierderilor de date.
Monitorizați datele și comportamentele
Urmărirea strictă a utilizării computerului și a comportamentelor persoanelor trebuie să permită companiilor să rămână conștiente de pericol și să identifice activitatea neobișnuită sau riscantă. Programul BOYD (unde angajații își aduc propriul dispozitiv) care funcționează în multe companii ar trebui, de asemenea, să fie atent monitorizat și controlat.
Priviți în perspectivă
Odată cu riscul pus în discuție cu privire la angajați - oricât de inocenți ar fi aceștia - potențial catastrofic pentru mediul de afaceri, nu este deloc surprinzător faptul că angajatorii par a fi pregătiți să adopte o abordare mult mai riguroasă în ceea ce privește amenințările la adresa securității persoanelor din interior în anii următori.
EDITOR
Lasa un comentariu