Женщины чаще мужчин нарушают ИБ-политики, но действуют из лучших побуждений

Екатерина Быстрова 25 Июля 2024 - 14:34

Малый и средний бизнес

Корпорации

ГК «Солар»

Solar Dozor

Системы защиты от утечек конфиденциальной информации (DLP)

Нарушение целостности информации

...

Женщины чаще мужчин нарушают ИБ-политики, но действуют из лучших побуждений

Более двух третей всех случаев нарушения политик информационной безопасности происходят по вине сотрудников женского пола. Такую статистику привели специалисты ГК «Солар», проанализировавшие 70 киберинцидентов.

Данные удалось собрать при пилотировании DLP-системы Solar Dozor в организациях крупного и среднего бизнеса.

Несмотря на то что слабый пол был чаще замечен за нарушениями ИБ-политик, женщины-сотрудники действуют, как правило, из благих намерений и в интересах руководства. Например, часто они просто хотят оптимизировать рабочие процессы.

Анализ движения данных, который система Solar Dozor на протяжении нескольких месяцев проводила при пилотировании, показал, что женщины стоят за 71% случаев нарушения ИБ-политик. 29% лежат на мужчинах.

Интересно, что причины таких нарушений сильно отличаются между мужчинами и женщинами. Например, слабый пол действует в рабочих интересах, а вот мужчины часто преследуют собственные.

Стоит также учитывать, подчёркивают в ГК «Солар», что женщины работают в целом больше (взять хотя бы данные Минтруда), отсюда, вероятно, такая разница.

Если подробнее рассматривать причины нарушения ИБ-политик женщинами, вырисовывается следующая картина:

в 24% случаев сотрудницы отправляли рабочие документы себе в мессенджеры и на почту, чтобы иметь возможность поработать дома, так как не успевают всё закончить в рабочее время;
в 20% случаев регламент нарушался для того, чтобы быстрее решить задачу (ГК «Солар» приводит случай, когда сотрудница загрузила документацию в файлообменник без пароля, чтобы скорее согласовать с контрагентами);
16% случаев, к сожалению, происходят из-за невнимательности и халатности;
7% работников нарушали трудовую дисциплину, поскольку позволяли себе решать личные вопросы в рабочее время;
4% случаев были связаны с подработкой и выполнением задач для сторонних заказчиков.

В действиях сотрудников-мужчин специалисты ГК «Солар» отмечают больше злого умысла: в 23% случаев именно он стал причиной нарушения политик информационной безопасности.

Следующая главная новость »

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!

Екатерина Быстрова 25 Февраля 2026 - 10:29

Уязвимости сайтов Домашние пользователи Корпорации Mozilla

Firefox 148 первым внедрил встроенную защиту от XSS

Mozilla сделала важный шаг в борьбе с одной из самых живучих веб-уязвимостей — XSS (межсайтовый скриптинг). В Firefox 148 компания первой внедрила стандартизированный Sanitizer API, встроенный инструмент для очистки небезопасного HTML прямо на уровне браузера.

XSS десятилетиями остаётся в топе самых распространённых проблем веб-безопасности.

Суть проста: если сайт позволяет злоумышленнику вставить вредоносный HTML или JavaScript через пользовательский контент, атакующий может перехватывать действия пользователя, красть данные и управлять сессией до тех пор, пока уязвимость не будет закрыта. Несмотря на множество защитных механизмов, XSS стабильно держится в числе лидеров рейтингов вроде CWE-79.

Раньше разработчики полагались, например, на Content Security Policy (CSP), но её внедрение часто требовало серьёзной переработки архитектуры и постоянного контроля со стороны специалистов по безопасности. Для небольших проектов это оказывалось слишком сложно.

Sanitizer API призван упростить задачу. Он позволяет очищать небезопасный HTML перед тем, как вставлять его в DOM. Главная цель — заменить рискованное использование свойства innerHTML, которое «слепо» вставляет и исполняет всё, что ему передали.

Вместо этого предлагается метод setHTML(). Если злоумышленник попытается внедрить что-то вроде <img src=x onerror=alert(1)>, новый механизм автоматически удалит опасный атрибут onerror. В итоге пользователь увидит безопасный HTML без выполнения вредоносного кода.

По умолчанию API работает в безопасной конфигурации, но разработчики могут настраивать его под свои задачи — определять, какие теги и атрибуты разрешены, а какие нужно удалять. Для более строгого контроля Sanitizer API можно использовать вместе с Trusted Types, что позволит централизованно управлять вставкой HTML и блокировать небезопасные методы.

Появление Sanitizer API в Firefox 148 фактически открывает новую главу в браузерной защите от XSS. Ожидается, что другие крупные браузеры тоже внедрят этот стандарт.

Если setHTML() действительно начнёт массово вытеснять innerHTML, у разработчиков наконец появится простой и встроенный инструмент против одной из самых старых и упорных уязвимостей интернета.

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!