Человеческий фактор угрожает ИТ безопасности
Мы, конечно, не хотим сказать, что компании могут резко урезать свои ассигнования на безопасность ИТ или что ранее произведенные инвестиции были напрасны. Технологии ИТ безопасности необходимы в настоящее время даже для самой маленькой фирмы. Тем не менее, мы получаем все больше доказательств, что человеческая ошибка является причиной гораздо большего числа ИТ неудач компаний, и об этом стоит говорить.
«В то время как сложные программы и системы мониторинга стали более широко распространенными, наши данные показывают, что многие нарушения безопасности по-прежнему являются результатом низкотехнологичных оплошностей,» - заявил Джеральд Фергюсон, сопредседатель команды BakerHostetler по вопросам конфиденциальности и защиты данных, в одном из своих докладов.
«Руководители отделов информационной безопасности должны сочетать мероприятия по повышению осведомленности пользователей в вопросах безопасности с передовыми архитектурами безопасности данных, чтобы свести уязвимости к минимуму.»
Но сначала давайте взглянем на цифры. Вот пример того, что мы узнали совсем недавно:
BakerHostetler сообщил, что в инцидентах, над которыми фирма работала в течение последнего года, небрежность сотрудников была причиной в 36 процентах случаев. Подобные происшествия характеризовались кражей данных посторонними (22 процента), кражами инсайдерами (16 процентов), вредоносными программами (16 процентов) и фишинг-атаками (14 процентов).
Компания Perspecsys отмечает, что 22 процента профессионалов кибер безопасности, опрошенных ими на недавней конференции RSA 2015, считают «человеческую ошибку» величайшей угрозой для их организаций.
Компания CompTIA отметила, что 52 процента американских руководителей считают, что процент инцидентов, причиной которых был человеческий фактор, продолжает расти.
Такое наблюдается не только в США. Несколько месяцев назад в Лондоне Egress Software Technologies опубликовала свои выводы: если вкратце, все более тревожным становится увеличение утечки данных в результате человеческой ошибки.
Одна из причин, по которой растет внимание к этой проблеме, была выделена в докладе BakerHostetler: компания установила, что инциденты были самостоятельно обнаружены в 64 процентов случаев. К сожалению, они не были обнаружены достаточно своевременно. В докладе отмечается, что в среднем количество времени, которое прошло от появления проблемы до ее обнаружения, составило 134 дня.
Своевременное реагирование имеет решающее значение по целому ряду причин, в том числе из-за возможности смягчения ущерба и восстановления и защиты данных как можно быстрее, способности к восстановлению улик, которые могли бы исчезнуть после определенного периода времени, и принятию своевременных мер, прежде чем эти данные были обнародованы третьей стороной.
Необходимость быстрого обнаружения подчеркивается и в докладе Egress Software: программы подготовки и растущее осознание ИТ-угроз в целом оказывает незначительное влияние на работников. Так как скорость возникновения человеческой ошибки по нарушению безопасности на самом деле растет, компании должны автоматизировать такое количество процессов, какое только возможно.
«Конечно, мы никогда не будем в состоянии полностью исключить людей, делающих ошибки, но прозрачные гарантии безопасности нам необходимы уже сейчас,» - заявил специалист Egress Software Technologies Тони Пеппер.
«Путаница часто может подвергать конфиденциальные данные риску, когда пользователи не уверены, когда и как необходимо прибегать к шифрованию данных,» - сказал он, добавив, что продолжающаяся зависимость компаний от факса и почты, о которых также говорится в его докладе, «демонстрирует тревожное отсутствие заботы и контроля за использованием конфиденциальной информации.»
Компании должны залатать оставшиеся дыры в их социальной компоненте безопасности, поскольку именно они связаны с персоналом. CompTIA обнаружила, что увеличение использования социальных медиа сотрудниками было одной из причин антропогенных ошибок безопасности, как это было с требованием сотрудников получить большую скорость работы (вместе с новыми угрозами), с такими технологиями как мобильность и облака.
Мы не хотим сказать, что вся вина лежит на плечах сотрудников: CompTIA также обнаружила, что нехватка ресурсов - то есть, нехватка ИТ-персонала для управления угрозами безопасности – была причиной 20 процентов нарушений безопасности в США, которые были связаны с человеческой ошибкой.