Каждая четвертая компания не знакома с правилами ИБ

Каждая четвертая компания не знакома с правилами ИБ

Компания Cisco выпустила второй отчет по результатам глобального исследования утечек данных, в ходе которого было опрошено более 2000 сотрудников и ИТ-специалистов из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии. В новом отчете оценивается эффективность корпоративных правил информационной безопасности и называются причины, по которым сотрудники игнорируют эти правила.

Как показало исследование, правила (политики) безопасности разработаны в большинстве компаний (77%). Вместе с тем в каждой четвертой компании таких правил нет. Отсутствие правил ИБ особенно часто встречается в Японии (39% опрошенных) и Великобритании (29%).

Впрочем, даже если в компании соответствующие правила существуют, это вовсе не означает, что все сотрудники скрупулезно их выполняют. Более половины опрошенных признались, что не всегда придерживаются корпоративных правил безопасности. Больше всего таких сотрудников во Франции: там 84% респондентов указали, что иногда, а то и на регулярной основе, игнорируют принятые правила защиты данных. В Индии же лишь каждый десятый сотрудник (11%) никогда или почти никогда не нарушает этих правил.

Исследование, организованное компанией Cisco, дает основание для вывода о том, что соблюдение или, наоборот, нарушение корпоративных правил информационной безопасности зависят от следующих факторов: степень осведомленности; коммуникация; обновления; чрезмерные строгости; несоблюдение правил.

Так, в зависимости от страны, число ИТ- специалистов, знающих правила безопасности, на 20-30% превышает количество обычных сотрудников, знакомых с этими правилами. Наибольший разрыв (31%) зафиксирован в США, Бразилии и Италии.

11% опрошенных сотрудников заявили, что ИТ-отдел никогда не сообщает им о правилах безопасности и не проводит соответствующего обучения. Особенно часто подобные заявления делались в Великобритании (25% респондентов) и Франции (20%). Там же, где ИТ-специалисты оповещают сотрудников о правилах защиты информации, они зачастую делают это в неофициальной форме: устно, по электронной почте, с помощью всплывающих подсказок во время загрузки систем, через голосовую почту.

Трое из каждых четырех ИТ-специалистов (77%) считают, что правила безопасности нужно обновлять чаще, чем это делается ныне. Это мнение разделяет почти половина (47%) сотрудников других отделов. Особенно часто это требование высказывалось в Китае (91% респондентов) и Индии (89%). Если сравнить эти показатели с данными предыдущих исследований, то обнаружится, что необходимость строгих корпоративных правил ИБ особенно остро ощущается в странах с быстроразвивающейся экономикой, где полно молодых специалистов, впервые подключающихся к интернету и другим сетям.

Большинство опрошенных сотрудников считает, что действующие в их компаниях правила носят чересчур запретительный характер. Это мнение доминирует в восьми странах из десяти, где проводилось исследование, и только в Германии и США пользователи придерживаются другого мнения. Так или иначе, в современном мире, где широко распространяются средства совместной работы, интерактивные приложения Web 2.0, видеотехнологии и мобильные устройства, компании должны защищать своих сотрудников и в то же время предоставлять им возможность пользоваться новыми технологиями, не раздражая специалистов слишком строгими запретами.

Еще один важный результат исследования - различия во взглядах обычных сотрудников и информационно-технологических специалистов на причины несоблюдения правил ИБ. По мнению ИТ-специалистов, сотрудники не соблюдают эти правила по самым разным причинам - от неспособности понять тяжесть последствий до общей апатии и безразличия. По мнению же самих сотрудников, главная причина несоблюдения правил кроется в том, что эти правила нереалистичны и мешают выполнять повседневные должностные обязанности. Такого мнения придерживаются двое из каждых пяти опрошенных сотрудников (42%). Примечательно, что в Германии, где большинство сотрудников считает корпоративные правила безопасности справедливыми, 55% респондентов заявили о своей готовности их нарушить, если правила станут помехой для работы.

Исследование также показало, что нарушения правил безопасности наносят вред не только самим компаниям: в каждом пятом случае утечки информации по вине того или иного сотрудника в руки злоумышленников попадали данные клиентов.

«В России многие компании и организации тоже разрабатывают концепции и политики безопасности, которые трудноприменимы на практике, а зачастую и просто несут на себе печать секретности, что не позволяет знакомить с основополагающими документами в области корпоративной безопасности сотрудников, от понимая и умения которых и зависит уровень защищенности бизнеса от различных угроз, включая утечки информации, - прокомментировал второй отчет Cisco по результатам глобального исследования утечек данных директор по развитию бизнеса Cisco в России Михаил Кристев. - Кроме того, существующие в нашей стране правила зачастую игнорируют такие аспекты информационной безопасности, как управление мобильными и портативными устройствами (смартфоны, флешки, iPod’ы и т.п.), управление удаленным доступом (в том числе и к сегментам АСУ ТП), управление защищенной удаленной поддержкой и аутсорсингом, управление модемными подключениями и т.д. А ведь известно, что защищенность любой организации равна защищенности самого слабого ее звена. Упущения в политике безопасности приводят к тому, что компании теряют свою информацию, а с ней и доходы, репутацию, доверие клиентов».

Отметим, что исследование по заказу Cisco было проведено американской аналитической фирмой InsightExpress в условиях, когда потеря данных стала одной из самых острых проблем для современных предприятий.

Источник 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники начали атаковать абитуриентов, поступающих на платные отделения

Мошенники начали активно использовать сезон поступления в вузы, предлагая абитуриентам, претендующим на платные места, заранее внести оплату за обучение. Под предлогом «гарантированного поступления» злоумышленники выманивают деньги у поступающих, вводя их в заблуждение и обещая помощь в зачислении.

О появлении такой схемы сообщили эксперты, опрошенные «Известиями». Главный эксперт Московского антикоррупционного комитета, доцент кафедры политического анализа и социально-психологических процессов РЭУ им. Г. В. Плеханова Александр Перенджиев связал эту активность с сокращением числа платных мест во многих вузах и ростом конкуренции среди абитуриентов.

Существование подобной схемы подтвердили изданию основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян и эксперт проекта «За права заемщиков» и платформы «Мошеловка» Александра Пожарская. Она отметила, что мошенники давно используют схожие схемы, включая продажу дипломов, сертификатов и «услуг» по гарантированному поступлению. Также применяются различные методы социальной инженерии, в том числе фишинг и телефонные звонки с целью сбора личных данных.

По словам Пожарской, злоумышленники могут даже показывать поддельные приказы о зачислении или предлагать внести плату за якобы дополнительный набор. Такая практика используется и при «продаже» бюджетных мест.

В свою очередь, Александр Перенджиев напомнил, что оплата обучения осуществляется исключительно после подписания официального договора и только по реквизитам, указанным на сайте университета. Это — необходимое условие для возврата средств в случае расторжения договора.

«Все решения в вузах принимаются открыто, а любые попытки «ускорить процесс» за деньги — это обман», — подчеркнула Александра Пожарская.

Как отметил Ашот Оганесян, чаще всего жертвами мошенников становятся абитуриенты тех вузов, где списки поступающих публикуются с открытыми ФИО. Там, где используются обезличенные идентификаторы, злоумышленникам сложнее получить доступ к данным, и активность снижается.

Тем не менее, как предупредил руководитель направления по детской онлайн-безопасности в «Лаборатории Касперского» Андрей Сиденко, в зоне риска остаются и уже зачисленные студенты. Под видом сотрудников деканата или бухгалтерии злоумышленники могут требовать оплату «дополнительных сборов» или приглашать в фейковые группы в мессенджерах.

Чтобы избежать обмана, эксперты рекомендуют всегда сверять информацию на официальных сайтах вузов — особенно когда речь идёт о платежных реквизитах и сроках оплаты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru