Najczęstsze błędy prowadzące do utraty danych

Firma Cisco przedstawiła wyniki przeprowadzonych ostatnio globalnych badań z dziedziny zabezpieczeń. Zwracają one uwagę na liczne ryzykowne działania pracowników, które mogą prowadzić do jednego z najpoważniejszych dla przedsiębiorstw problemów związanych z bezpieczeństwem: utraty informacji korporacyjnych. Badanie wskazuje na często popełniane przez pracowników z całego świata błędy prowadzące do wycieku danych. Wyniki zostały oparte na ankietach przeprowadzonych wśród ponad 2000 pracowników i informatyków w 10 krajach. Wykazują one, że dla różnych krajów i kultur charakterystyczne są odmienne ryzykowne zachowania pracowników. Analizując wyniki badania przedsiębiorstwa będą mogły dostosować swoje plany zarządzania ryzykiem, tak, aby zapobiegać zagrożeniom z uwzględnieniem uwarunkowań lokalnych, a jednocześnie zachować zasięg globalny.

Badania te, przeprowadzone przez InsightExpress, amerykańską firmę zajmującą się analizą rynku, zostały zlecone przez Cisco w celu zebrania informacji na temat zabezpieczeń i wycieków danych (www.cisco.com/go/dlp) oraz ich konsekwencji ponoszonych przez firmy w momencie, gdy styl życia pracowników i ich środowisko pracy podlegają gwałtownym zmianom. W miarę jak przedsiębiorstwa przechodzą od scentralizowanego do bardziej rozproszonego modelu prowadzenia działalności, w którym wykorzystywani są pracownicy zdalni, granice między życiem osobistym, a pracą zacierają się. Zmiana sposobu funkcjonowania przedsiębiorstw, podobnie jak zmiana stylu życia pracowników, stały się możliwe w dużym stopniu dzięki upowszechnieniu urządzeń i aplikacji do pracy zespołowej, wykorzystywanych do celów zawodowych i prywatnych. Należą do nich telefony komórkowe, laptopy, aplikacje Web 2.0, urządzenia wideo i inne media społeczne.

W tym zmieniającym się środowisku biznesowym przeprowadzono badanie, które objęło 1000 pracowników i 1000 informatyków działających w różnych branżach i firmach różnej wielkości w 10 krajach: Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Niemczech, Włoszech, Japonii, Chinach, Indiach, Australii i Brazylii. Wybrano właśnie te kraje, ponieważ reprezentują one zróżnicowane kultury społeczne i biznesowe oraz ustabilizowane i rozwijające się gospodarki oparte na wykorzystaniu sieci komputerowych na różnych poziomach zaawansowania.

„Nie przeprowadziliśmy tych badań po to, aby tworzyć poczucie zagrożenia” – powiedział John N. Stewart, dyrektor ds. bezpieczeństwa w Cisco. „Bezpieczeństwo jest bezwzględnie zależne od ludzkich zachowań, dlatego firmy różnych wielkości i pracownicy we wszystkich branżach muszą wiedzieć, w jaki sposób ich działania mogą zwiększać ryzyko i powodować utratę danych oraz co to w konsekwencji oznacza dla poszczególnych osób i całych przedsiębiorstw. Taka wiedza pomoże firmom wzmocnić kontakty między swoimi poszczególnymi jednostkami biznesowymi, dostosować programy informacyjne i szkoleniowe do uwarunkowań lokalnych oraz lepiej zarządzać ryzykiem. Krótko mówiąc, procedury zapewniania bezpieczeństwa mogą być bardziej skuteczne.”

Oto dziesięć najbardziej wartych podkreślenia wyników badań:
1)    Zmiana ustawień zabezpieczeń na komputerach. Jeden na pięciu pracowników zmienia ustawienia zabezpieczeń urządzeń w przedsiębiorstwie, aby obejść reguły wprowadzone przez dział informatyczny i móc korzystać z niedozwolonych w firmie witryn WWW. Przypadki takie występowały najczęściej w krajach o gospodarce rozwijającej się, jak Chiny czy Indie. Na pytanie
o powody tego postępowania ponad połowa tych pracowników (52%) odpowiedziała, że po prostu chcieli uzyskać dostęp do określonych witryn internetowych, a co trzeci oświadczył, że nikogo nie powinno interesować, jakie strony odwiedza.
2)    Wykorzystanie niedozwolonych aplikacji. Siedmiu na dziesięciu informatyków powiedziało, że pracownicy korzystający z niedozwolonych aplikacji i witryn WWW (blokowane media społeczne, oprogramowanie do pobierania plików muzycznych, sklepy internetowe) powodują nawet połowę przypadków utraty danych w firmach. Opinia ta była szczególnie rozpowszechniona w Stanach Zjednoczonych (74%) i Indiach (79%).
3)    Nieautoryzowany dostęp do sieci lub infrastruktury. W zeszłym roku dwóch na pięciu informatyków spotkało się z przypadkami korzystania przez pracowników z obszarów sieci lub infrastruktury firmowej, do których nie mieli uprawnień. Przypadki tego typu występowały najczęściej w Chinach, gdzie niemal dwie trzecie ankietowanych miało styczność z tym problemem. Dwie trzecie wszystkich respondentów, którzy potwierdzili występowanie tego zjawiska, spotkało się z nim wielokrotnie w ciągu zeszłego roku, a 14% nawet co miesiąc.
4)    Udostępnianie poufnych informacji o firmie. Po zasygnalizowaniu problemu tajności poufnych danych handlowych firmy jeden na czterech ankietowanych (24%) przyznał w rozmowie, że ujawniał takie dane osobom spoza przedsiębiorstwa, przyjaciołom, rodzinie lub nawet nieznajomym. Najczęściej udzielane odpowiedzi na pytanie o powody takiego postępowania wskazywały na potrzebę zasięgnięcia opinii, co do własnych pomysłów lub po prostu potrzebę porozmawiania,
a także zawierały przekonanie, że nie ma w nim niczego nagannego.
5)    Udostępnianie urządzeń firmowych. Na pytanie o to, czy dane nie trafiają w ręce nieuprawnionych osób, prawie połowa pracowników (44%) odpowiedziała, że udostępnia firmowe urządzenia innym osobom, w tym i takich, którzy nie są pracownikami firmy, bez nadzoru.
6)    Korzystanie z tych samych urządzeń i kanałów komunikacji do celów zawodowych i prywatnych. Niemal dwie trzecie pracowników przyznało, że nagminnie korzysta z komputerów firmowych do celów osobistych, takich jak pobieranie plików muzycznych, zakupy, operacje bankowe, prowadzenie blogów, rozmowy na czatach i inne. Połowa pracowników korzysta
z prywatnych kont poczty elektronicznej do komunikacji z klientami i współpracownikami, przy czym tylko 40% uzyskało na to zgodę działu informatycznego.
7)    Brak zabezpieczeń urządzeń. Przynajmniej jednemu na trzech pracowników zdarza się odejść od biurka, pozostawiając niezabezpieczony komputer po zalogowaniu. Ci sami pracownicy pozostawiają też na noc na swoich biurkach laptopy, często bez wylogowania się, zwiększając ryzyko kradzieży urządzeń i nieautoryzowanego dostępu do danych przedsiębiorstwa i danych osobistych.
8)    Zapisywanie nazw użytkownika i haseł. Jeden na pięciu pracowników zapisuje nazwy użytkownika systemu i hasła na własnym komputerze lub pozostawia takie notatki na swoim biurku, w otwartych szafkach, a nawet na kartkach przyklejonych do komputerów. W krajach takich jak Chiny (28%) pracownicy zapisują dane logowania do osobistych kont finansowych na urządzeniach firmowych, narażając się tym samym na straty. Fakt, że zostawiają te urządzenia bez dozoru, jeszcze bardziej podnosi współczynnik ryzyka.
9)    Utrata przenośnych urządzeń pamięci masowej. Prawie co czwarty (22%) pracownik wynosi dane firmowe przy użyciu urządzeń pamięci masowej poza teren przedsiębiorstwa. Najczęściej zdarza się to w Chinach (41%). Powstaje wtedy ryzyko zgubienia lub kradzieży tych urządzeń.
10)    Dopuszczanie osób postronnych do pomieszczeń firmowych. Ponad jedna piąta (22%) pracowników w Niemczech pozwala, aby osoby spoza przedsiębiorstwa przebywały bez dozoru w pomieszczeniach firmy. Średni wynik w tym badaniu to 13%. Natomiast 18%, wchodząc na teren przedsiębiorstwa, wpuszczało ze sobą nieznane osoby.

„Przedsiębiorstwa w coraz większym stopniu umożliwiają swoim pracownikom pracę zespołową oraz funkcjonowanie mobilne” – powiedział Stewart. „Bez nowoczesnych technologii zabezpieczających, reguł, wiedzy i świadomości dane firm są wystawione na większe ryzyko. Obecnie dane są przenoszone, wykorzystywane, zapisywane w programach, przechowywane na urządzeniach, poza tradycyjnym środowiskiem firmowym, na przykład w domach, w podróży, w miejscach publicznych, w samolotach
i pociągach. Ta tendencja będzie się utrzymywać. Aby skutecznie chronić dane, konieczna jest na początek wiedza na temat zagrożeń typowych dla danej branży, a następnie zastosowanie na tej podstawie odpowiednich technologii, reguł i programów podnoszenia świadomości.”

Stewart powiedział również, że wnioski na temat zachowań płynące z przeprowadzonych badań mogą pomóc firmom opracowywać programy edukacyjne dla pracowników na poziomie regionalnym i dostosowywać globalne plany zarządzania ryzykiem. Przedstawił też następującą listę zalecanych procedur zapobiegania utracie danych:

–    Wiedz wszystko o swoich danych i sprawnie nimi zarządzaj: Wiedz, gdzie i jak są one przechowywane, udostępniane i wykorzystywane.
–    Traktuj i chroń dane tak, jakby były to twoje własne pieniądze: Uświadamiaj pracownikom, w jaki sposób ochrona danych przekłada się na zyski i straty finansowe.
–    Stosuj formalne standardy bezpiecznego postępowania: Określ globalne cele strategiczne i twórz lokalne programy edukacyjne dostosowane do kultury danego kraju i dominujących w nim zagrożeń.
–    Twórz kulturę zaufania: „Pracownicy, którzy czują się pewnie, informują o groźnych zdarzeniach, dzięki czemu dział informatyczny może szybciej rozwiązywać problemy” – powiedział Stewart.
–    Dbaj o świadomość w kwestiach bezpieczeństwa, edukację i szkolenia: Myśl globalnie, ale konkretne programy dostosowuj do uwarunkowań lokalnych, biorąc pod uwagę kulturę i charakterystyczne dla niej zagrożenia.

„Ochrona danych wymaga pracy zespołowej w całej firmie. Odpowiedzialność nie spoczywa już tylko na działach informatycznych” – podsumował John N. Stewart, dyrektor ds. bezpieczeństwa w Cisco.