Инсайдеры — главная угроза информационной безопасности бизнеса

Информация о средствах ведения войны в киберпространстве, изощренных фишинговых методиках, спонсируемых правительственными ведомствами хакерских группировках, и организациях, занимающихся электронным шпионажем, часто появляется на страницах мировой прессы. Однако, как выяснилось, главная угроза информационной безопасности находится намного ближе.

Во время опроса Infosecurity Europe 2014, проведенного Британским институтом стандартизации (BSI), 37% респондентов высказались о том, что основной проблемой для их компаний являются собственные служащие. Сотрудников, которые могут нанести ущерб корпоративным интересам, опасаются даже больше, чем кибератак: 15% участников опроса опасаются персональных мобильных девайсов, которые служащие приносят с собой в офис. 

Сьюзен Фриббинс, эксперту BSI по вопросам оценки рисков, эти данные не показались чем-то удивительным. По ее словам, инсайдеры - главная опасность для информационной безопасности, поскольку человеческий фактор все еще невозможно учесть заранее. «Служащие, подвергающие риску компанию, не обязательно должны быть настроены как-то враждебно; они могут и не отдавать себе отчет о наличии потенциальных рисков. Проведенные исследования указывают на то, что эффективная подготовка персонала вдвое сокращает количество утечек со стороны инсайдеров. Это достигается за счет понимания сотрудниками важности вопроса об информационной безопасности и их собственной роли», — поясняет Фриббинс.

Инсайдеры

В интервью изданию IT Security Guru директор исследовательского отдела компании Lancope Том Кросс рассказал о важности категоризации отдельных видов инсайдерской угрозы. Он говорит, что бреши в системе безопасности часто возникают по недомыслию служащих, к примеру, кто-то может оставить лептоп с конфиденциальными данными в аэропорту или же разместить на каком-то сайте подлинные данные.

«Это наиболее распространенные причины потери ценных сведений коммерческими организациями, - считает эксперт. - В ряде случаев служащие целенаправленно похищают информацию. Конечно, данные сотрудников и системы их компьютеров иногда подвергаются внешней угрозе. Каждая из этих трех категорий — халатность служащих, вор-инсайдер и компьютер сотрудника с вирусом — требуют индивидуального подхода».

Во время исследования выяснилось, что 52% респондентов уже проводили программы, призванные повысить внутреннюю безопасность, а 47% — подготовку персонала.

Подготовка служащих

На вопрос о том, ожидается ли, что в обозримом будущем все большее число бизнес-организаций будет уделять внимание подготовке персонала, Том Кросс из Lancope ответил, что подготовка может оказать существенное воздействие, и это — одно из наиболее эффективных средств предотвращения потери данных.

Однако, по мнению эксперта, важным является и наличие надежных методов обращения с информацией. "К примеру, при создании новых приложений могут использоваться вымышленные данные. Таким образом, не придется работать с реальными сведениями во время разработки систем, не прошедших полномасштабного тестирования", — полагает Кросс. Подготовка, по его мнению, может стать существенным ресурсом борьбы с определенными направлениями, в которых специализируются злоумышленники. Например, с точечным фишингом.

"У одних сотрудников семинары по вопросам безопасности могут и не вызвать ответного отклика, но другие могут реагировать соответствующим образом. И наблюдательные сотрудники порой замечают первые признаки того, что компания подвергается фишинговым атакам", - объясняет представитель Lancope.

Стандарты безопасности

Исследование BSI выявило:  29% опрошенных либо имеют соответствующие сертификаты, либо ведут свою профессиональную деятельность в соответствии со стандартом ISO 27001, 23% респондентов сказали, что планируют получить сертификаты в ближайшее время.

«Такие стандарты, как ISO 27001, могут помочь организовать программы по информационной безопасности. Однако стремление соблюсти формальности не должно быть превалирующим. В первую очередь следует уделить внимание защите от основных векторов атак, и уж затем пытаться сделать так, чтобы эти попытки соответствовали существующим стандартам», — говорит эксперт.

«Для эффективной работы системы безопасности требуется адекватное распределение ресурсов, необходимо уточнить роль и ответственность персонала, — отмечает Сьюзен Фриббинс из BSI. — Мы пришли к выводу, что организации, имеющие сертификаты ISO 27001, способны лучше идентифицировать угрозы информационной безопасности и применять соответствующие меры по снижению и устранению рисков».