Как персональный девайс способствует утечке данных
18.11.14
BYOD как угроза безопасности
Большинство компаний расценивают тенденцию Bring Your Own Device (BYOD), в рамках которой сотрудники компаний используют в рабочих целях личные мобильные устройства, как растущую угрозу своему бизнесу. Однако доля компаний, принявших меры для того, чтобы сделать эту угрозу менее опасной, пока сравнительно мала, свидетельствуют результаты опроса Global corporate IT security risks 2013, проведенного среди 2,895 представителей бизнеса из 24 стран авторитетным аналитическим агентством B2B International совместно с «Лабораторией Касперского».
Наибольшую обеспокоенность развитием новой тенденции и угрозами, которые она с собой несет, показали респонденты из Японии – 93% участников опроса из этой страны согласились с тем, что BYOD угрожает их бизнесу. Высок уровень обеспокоенности в Северной Америке (69%), на Ближнем Востоке (65%) и в Западной Европе (62%). Менее всего о данной угрозе беспокоятся российские и компании из Восточной Европы — 57% и 54% респондентов из этих стран соответственно признали наличие опасности в BYOD.
При этом большинство компаний не планирует вводить каких-либо запретных мер в отношении использования личных устройств в рабочих целях. Напротив, 33% респондентов из Восточной Европы сообщили, что планируют поощрять использование личных смартфонов и планшетов на работе, а еще 37% респондентов считают, что никакие запретительные меры не остановят сотрудников.
Тем не менее, растет количество компаний, которые планируют каким-либо образом ограничивать использование личных устройств в рабочих целях: количество респондентов, сообщивших о планах по введению ограничений, возросло на 4% — с 15% в 2012 году до 19% в 2013 году (общемировая цифра – 25%). Доля компаний, планирующих ужесточить запретные меры в отношении использования личных устройств на работе, за год выросла с 2 до 11%.
Рост обеспокоенности компаний в отношении угроз, которые несут мобильные устройства бизнесу, закономерен: по данным того же опроса, некорректное использование подобных устройств часто становилось причиной инцидентов информационной безопасности, в ходе которых корпорации теряли важные сведения. В частности, в 2013 году около 17% (на 11% больше, чем 2012 году) респондентов сообщили, что в их компаниях происходили внутренние инциденты безопасности, в ходе которых конфиденциальная информация несанкционированно покинула компанию через мобильные почтовые клиенты, SMS, флешки и другие каналы, доступные владельцам смартфонов и планшетов.
Одновременно сравнительно небольшое число компаний стараются обезопасить себя от подобных угроз с помощью специальных программных продуктов для интеграции мобильных устройств в корпоративную сеть, их защиты и управления ими. Около 39% компаний используют антивирусное решение для мобильных устройств и только 28% — решения Mobile Device Management.
На фоне распространения тенденции Bring Your Own Device и роста числа инцидентов, в которых задействованы мобильные устройства, очевидна высокая важность обеспечения возможности централизованного управления такими устройствами и их защиты. При этом также важно, чтобы решения, обеспечивающие такой функционал, были просты с точки зрения интеграции в корпоративную сеть и управления.
Человеческий фактор
За последний год 85% организаций по всему миру и 87% в Восточной Европе сталкивались с внутренними инцидентами информационной безопасности, которые в ряде случаев привели к потере конфиденциальной информации – таковы данные, полученные в ходе опроса Global Corporate IT Security Risks 2013, проведенного международной аналитической компанией B2B International совместно с «Лабораторией Касперского». Опрос также выявил три наиболее часто встречающиеся внутренние угрозы – уязвимости или ошибки в установленном программном обеспечении, случайные утечки данных по вине сотрудников и утеря или кража мобильных устройств.
Во многих компаниях по всему миру хорошо понимают важность превентивных мер для обеспечения информационной безопасности IT-инфраструктуры и применяют их с разной степенью интенсивности. С целью минимизации внутренних рисков безопасности 57% опрошенных организаций в Восточной Европе изолируют критически важные сети от остальных сетей, а 51% компаний разграничивают права доступа к различным элементам IT-инфраструктуры.
Однако многие компании признают, что существующих защитных мер недостаточно, а некоторые организации внедряют новые программные решения, которые позволяют применять политики безопасности и предоставляют дополнительную защиту от потери данных. Например, менее половины опрошенных используют контроль приложений и контроль устройств или внедряют антивирусные решения для мобильных устройств. Еще меньшее число организаций применяют решения для управления мобильными устройствами и их защиты (28%) или шифрование данных на съемных носителях (36%).
Еще одна проблема состоит в том, что сотрудники не всегда выполняют требования действующих в компании политик безопасности. Четкие санкции и дисциплинарные меры в случае их нарушения применяются менее чем в 32% в Восточной Европе (46% в мире). И только 33% респондентов (48% в мире) заявили, что в их компаниях сотрудники понимают всю важность соблюдения политик безопасности.
Информация об инцидентах
Абсолютное большинство компаний, столкнувшихся с инцидентами в области информационной безопасности, не имело возможности сохранить информацию об этом событии в тайне из-за давления со стороны третьих сторон. Это в конечном итоге неминуемо приводило к серьезному удару по деловой репутации компании, выяснили специалисты авторитетного аналитического агентства B2B International в ходе опроса Global Corporate IT Security Risks 2013, проведенного совместно с «Лабораторией Касперского» среди представителей бизнеса по всему миру.
Публичное разглашение информации об инциденте информационной безопасности компании – зачастую неотвратимая процедура, которой не удается избежать большинству организаций. Как выяснили исследователи, в среднем 44% компаний, допустивших утечку, были вынуждены рассказать об инциденте собственным клиентам, которых мог коснуться инцидент; 34% уведомляли своих партнеров; 33% — поставщиков; 27% — регуляторов; 15% были обязаны уведомить об инциденте СМИ.
Крупные компании чаще других обязаны уведомлять третьи стороны о факте инцидента. Такие организации вынуждены сообщать о нем, прежде всего, регуляторам, клиентам и СМИ. Необходимость разглашения сведений закономерно ведет к серьезному репутационному урону, который несет компания. Нередко он сопровождается еще и финансовыми потерями, выраженными в оплате штрафов, наложенных регулятором, и компенсации потерь пострадавших от инцидента клиентов и партнеров.
Поскольку требования регуляторов, договорные обязательства перед клиентами и партнерами и другие факторы часто не позволяют компании сохранить в тайне информацию об утечке, единственным способом избежать урона, который нанесет разглашение такой информации – это не допустить сам инцидент информационной безопасности, выстроив защищенную IT-инфраструктуру.
Грамотная стратегия обеспечения защиты IT-инфраструктуры включает в себя, прежде всего, использование продвинутого защитного решения, такого, как Kaspersky Endpoint Security для бизнеса. Эта платформа включает в себя антивирусную защиту и технологии защиты от сложных целевых атак всей IT-инфраструктурой компании – физической, мобильной и виртуальной среды, а также средства управления, контроля и инструменты шифрования конфиденциальных сведений. Использование таких защитных решений, наряду с практикой образования персонала в области IT-угроз и применением политик IT-безопасности — перечень обязательных мер, которые обеспечат высокий уровень защиты IT-инфраструктуры компании от киберинцидентов и их последствий, включая финансовые и репутационные потери.
Обучение персонала
Большинство компаний поручают обучение персонала информационной безопасности сотрудникам своих внутренних IT-департаментов, вместо того, чтобы привлечь внешнего IT-консультанта или передать эту задачу внутренним отделам по подбору и развитию персонала. К такому выводу пришли специалисты международной аналитической компании B2B International в ходе опроса Global corporate IT security risks 2013, проведенного совместно с «Лабораторией Касперского» среди компаний по всему миру.
Обучение персонала в области IT-безопасности – важная составляющая грамотной стратегии защиты IT-инфраструктуры компании от киберугроз. По данным опроса, 4 из 5 внутренних инцидентов безопасности, которые происходили в компаниях чаще всего за последние 12 месяцев, были связаны с деятельностью сотрудников. Так, в Восточной Европе:
- 32% респондентов сообщили об имевших место случайных утечках конфиденциальных данных;
- 23% сообщили об утере сотрудниками корпоративных мобильных устройств с важной информацией;
- 21% столкнулись со случаями намеренной утечки данных;
- еще 17% компаний имели дело с инцидентами, в результате которых конфиденциальная информация попадала в чужие руки из-за некорректного использования мобильных устройств (через мобильный почтовый клиент, SMS и т.п.).
Исследования снова и снова показывают, что ошибки сотрудников ведут к значительной пропорции потерь критических данных и инцидентов в области ИТ-безопасности. Ключ в решению данной проблемы лежит в обеспечении хорошего понимания конечными пользователями рисков в области ИТ-безопасности и способов их избежать. На фоне возникающих инцидентов необходимость обучения персонала очевидна, однако кто должен передать необходимые знания?
Как выяснили специалисты из B2B International, большинство компаний считают, что этим должен заниматься IT-департамент организации, хотя его основные функции не связаны с образованием сотрудников. Дополнительная нагрузка оказывает влияние на производительность: респонденты отметили, что у IT-департамента, загруженного другими важными задачами, обычно нет времени на обучение сотрудников. Это очевидно может негативно сказываться на качестве исполнения «образовательной» задачи. Выходом из сложившейся ситуации могло бы стать привлечение стороннего IT-консультанта с нужной для обучения экспертизой. Однако этой возможностью воспользовались лишь 11% опрошенных компаний в Восточной Европе.
Департамент по подбору персонала занимается обучением сотрудников в 13% компаний, принявших участие в исследовании, а 11% компаний практикует делегирование этой задачи департаменту по обучению и развитию персонала. Около 3% респондентов сообщили, что доверяют эту задачу внешнему корпоративному провайдеру образовательных услуг.
Распределение сохраняется и от региона к региону, хотя и с некоторыми различиями. Так, например, самый высокий процент компаний, поручающих обучение персонала IT-департаменту, находится в странах Ближнего Востока (73%), Японии (72%) и Северной Америке (71%). Внешнего IT-консультанта чаще всего привлекают к обучению сотрудников компаний из Латинской Америки (16%) и Азиатско-Тихоокеанского региона.
В целом важность образования признает абсолютное большинство компаний, лишь 3% респондентов в Восточной Европе сообщили, что в их компаниях не практикуется обучение IT-безопасности. Однако качество корпоративного образования остается под вопросом – осведомленность сотрудников о киберугрозах напрямую влияет на уровень исполнения политик IT-безопасности, действующих в компании, и – как следствие – на общий уровень ее защищенности от киберугроз. Пока уровень исполнения политик сравнительно невысок – около 54% участников опроса сообщили, что сотрудники их компаний далеко не всегда уважают и прилежно исполняют корпоративные правила информационной безопасности.
Статья опубликована в журнале Телеком 3-4/2014
Редакционный директор
2 thoughts on “Как персональный девайс способствует утечке данных”
Добавить комментарий
вологість:
тиск:
вітер:
Вселенная Fallout в 2024 году: от игр к сериалу
Как вселенная игр Fallout получила через десятки лет свой сериал и вновь попала на пик популярности
Подробности о смартфоне Tecno Camon 30 Premier — будет действительно доступный флагман?
MediaTek Tecno Андроид смартфонСмартфон Tecno Camon 30 Premier работает на процессоре MediaTek Dimensity 8200 Ultra. Установлена Android 14 из коробки.
Смарт-очки JBL Yinyue Fan оснащены встроенными динамиками, защитой IP54 и Bluetooth 5.2
JBLОчки JBL Yinyue Fan получили прозрачный дизайн и встроенные динамики с технологией направленного звукового поля
Эксперты (наши эксперты!) предрекали это еще на промо-туре по Windows Server 2012, три года назад. BYOD, такой BYOD. Сейчас в ВУЗе, в котором я учусь и работаю, пытаются разделить все устройства две среды: личные и корпоративные-фиксированные. Туго, но процесс идет — для избежания пересечек публичная сеть архитектурно имеет связь с непубличной только через веб-сервисы в сети Интернет.
Эксперты (наши эксперты!) предрекали это еще на промо-туре по Windows Server 2012, три года назад. BYOD, такой BYOD. Сейчас в ВУЗе, в котором я учусь и работаю, пытаются разделить все устройства две среды: личные и корпоративные-фиксированные. Туго, но процесс идет — для избежания пересечек публичная сеть архитектурно имеет связь с непубличной только через веб-сервисы в сети Интернет.