Каждая четвертая компания не знакома с правилами ИБ

Каждая четвертая компания не знакома с правилами ИБ

Компания Cisco выпустила второй отчет по результатам глобального исследования утечек данных, в ходе которого было опрошено более 2000 сотрудников и ИТ-специалистов из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии. В новом отчете оценивается эффективность корпоративных правил информационной безопасности и называются причины, по которым сотрудники игнорируют эти правила.

Как показало исследование, правила (политики) безопасности разработаны в большинстве компаний (77%). Вместе с тем в каждой четвертой компании таких правил нет. Отсутствие правил ИБ особенно часто встречается в Японии (39% опрошенных) и Великобритании (29%).

Впрочем, даже если в компании соответствующие правила существуют, это вовсе не означает, что все сотрудники скрупулезно их выполняют. Более половины опрошенных признались, что не всегда придерживаются корпоративных правил безопасности. Больше всего таких сотрудников во Франции: там 84% респондентов указали, что иногда, а то и на регулярной основе, игнорируют принятые правила защиты данных. В Индии же лишь каждый десятый сотрудник (11%) никогда или почти никогда не нарушает этих правил.

Исследование, организованное компанией Cisco, дает основание для вывода о том, что соблюдение или, наоборот, нарушение корпоративных правил информационной безопасности зависят от следующих факторов: степень осведомленности; коммуникация; обновления; чрезмерные строгости; несоблюдение правил.

Так, в зависимости от страны, число ИТ- специалистов, знающих правила безопасности, на 20-30% превышает количество обычных сотрудников, знакомых с этими правилами. Наибольший разрыв (31%) зафиксирован в США, Бразилии и Италии.

11% опрошенных сотрудников заявили, что ИТ-отдел никогда не сообщает им о правилах безопасности и не проводит соответствующего обучения. Особенно часто подобные заявления делались в Великобритании (25% респондентов) и Франции (20%). Там же, где ИТ-специалисты оповещают сотрудников о правилах защиты информации, они зачастую делают это в неофициальной форме: устно, по электронной почте, с помощью всплывающих подсказок во время загрузки систем, через голосовую почту.

Трое из каждых четырех ИТ-специалистов (77%) считают, что правила безопасности нужно обновлять чаще, чем это делается ныне. Это мнение разделяет почти половина (47%) сотрудников других отделов. Особенно часто это требование высказывалось в Китае (91% респондентов) и Индии (89%). Если сравнить эти показатели с данными предыдущих исследований, то обнаружится, что необходимость строгих корпоративных правил ИБ особенно остро ощущается в странах с быстроразвивающейся экономикой, где полно молодых специалистов, впервые подключающихся к интернету и другим сетям.

Большинство опрошенных сотрудников считает, что действующие в их компаниях правила носят чересчур запретительный характер. Это мнение доминирует в восьми странах из десяти, где проводилось исследование, и только в Германии и США пользователи придерживаются другого мнения. Так или иначе, в современном мире, где широко распространяются средства совместной работы, интерактивные приложения Web 2.0, видеотехнологии и мобильные устройства, компании должны защищать своих сотрудников и в то же время предоставлять им возможность пользоваться новыми технологиями, не раздражая специалистов слишком строгими запретами.

Еще один важный результат исследования - различия во взглядах обычных сотрудников и информационно-технологических специалистов на причины несоблюдения правил ИБ. По мнению ИТ-специалистов, сотрудники не соблюдают эти правила по самым разным причинам - от неспособности понять тяжесть последствий до общей апатии и безразличия. По мнению же самих сотрудников, главная причина несоблюдения правил кроется в том, что эти правила нереалистичны и мешают выполнять повседневные должностные обязанности. Такого мнения придерживаются двое из каждых пяти опрошенных сотрудников (42%). Примечательно, что в Германии, где большинство сотрудников считает корпоративные правила безопасности справедливыми, 55% респондентов заявили о своей готовности их нарушить, если правила станут помехой для работы.

Исследование также показало, что нарушения правил безопасности наносят вред не только самим компаниям: в каждом пятом случае утечки информации по вине того или иного сотрудника в руки злоумышленников попадали данные клиентов.

«В России многие компании и организации тоже разрабатывают концепции и политики безопасности, которые трудноприменимы на практике, а зачастую и просто несут на себе печать секретности, что не позволяет знакомить с основополагающими документами в области корпоративной безопасности сотрудников, от понимая и умения которых и зависит уровень защищенности бизнеса от различных угроз, включая утечки информации, - прокомментировал второй отчет Cisco по результатам глобального исследования утечек данных директор по развитию бизнеса Cisco в России Михаил Кристев. - Кроме того, существующие в нашей стране правила зачастую игнорируют такие аспекты информационной безопасности, как управление мобильными и портативными устройствами (смартфоны, флешки, iPod’ы и т.п.), управление удаленным доступом (в том числе и к сегментам АСУ ТП), управление защищенной удаленной поддержкой и аутсорсингом, управление модемными подключениями и т.д. А ведь известно, что защищенность любой организации равна защищенности самого слабого ее звена. Упущения в политике безопасности приводят к тому, что компании теряют свою информацию, а с ней и доходы, репутацию, доверие клиентов».

Отметим, что исследование по заказу Cisco было проведено американской аналитической фирмой InsightExpress в условиях, когда потеря данных стала одной из самых острых проблем для современных предприятий.

Источник 

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru