Wyniki badań dotyczących wewnętrznego zagrożenia dla bezpieczeństwa przedsiębiorstw

przez | 08/01/2009

Wewnętrzne zagrożenia dla bezpieczeństwa w przedsiębiorstwach
z branży usług informatycznych i finansowych: badania wykazały, że codziennie zachowania pracowników narażają na ryzyko poufne informacje firmy
Nowe badanie przeprowadzone przez RSA — dział zabezpieczeń firmy EMC — wykazało istnienie dylematów pracowników w zakresie procedur bezpieczeństwa, dostępu zdalnego i opartego na rolach, a także mobilności.

Ponad 50% pracowników obchodzi reguły zabezpieczeń systemów informatycznych, aby wykonać swoje zadania.

RSA, dział zabezpieczeń firmy EMC, poinformował o wynikach najnowszych badań dotyczących wewnętrznego zagrożenia dla bezpieczeństwa, które zostały przeprowadzone wśród uczestników wydarzeń branżowych w Ameryce Północnej i Ameryce Łacińskiej wiosną i latem 2008 r.

W badaniu wzięło udział 417 uczestników — w tym delegaci na wystawie RSA Conference — którzy odpowiadali na pytania związane z zachowaniami oraz stosunkiem do procedur zabezpieczeń w pracy. Respondenci byli przedstawicielami wielu sektorów, ze szczególnym uwzględnieniem branży finansowej i technologicznej. Niemal połowa obowiązków zawodowych ankietowanych wymagała obsługi rozwiązań informatycznych. Pomimo tego, że nieuprawniony dostęp do danych jest obecnie szeroko nagłaśniany, wyniki badań wskazują, że nawet osoby, które powinny posiadać odpowiednią wiedzę wykazują codzienne zachowania mogące narazić na szwank poufne informacje firmy.

Wśród respondentów:

  • 46% pracuje w sektorze usług finansowych,
  • 20% pracuje w sektorze technologicznym,
  • 46% jest informatykami,
  • 11% zajmuje stanowiska kierownicze,
  • 54% pracuje w przedsiębiorstwach zatrudniających ponad 5 000 osób.

Pracownicy postępują jak chcą niezależnie od tego, czy znają procedury dotyczące bezpieczeństwa

Wyniki ankiety wskazują, że pracownicy znają ograniczenia nałożone przez działy informatyczne przedsiębiorstw. Jednakże wielu z nich często je obchodzi, aby mieć możliwość wygodnego i szybkiego wykonania swoich zadań.

Wśród respondentów:

  • 94% zna reguły zabezpieczeń systemów informatycznych obowiązujące w przedsiębiorstwie, lecz 53% odczuwało potrzebę obchodzenia procedur bezpieczeństwa w celu wykonania swoich zadań.
  • Odpowiadając na inne pytanie 64% ankietowanych przyznało się do częstego lub okazjonalnego wysyłania dokumentów z pracy na prywatne adresy e-mail, aby mieć możliwość dostępu do nich i pracy w domu.
  • W USA wartość ta zmniejszyła się do 50%, lecz zwiększyła się do 62% w Meksyku oraz 71% w Brazylii.
  • 15% przytrzymywało w pracy otwarte drzwi osobie, której nie znają.
  • W Brazylii zanotowano najlepszy wynik wynoszący 7%, następnie 16% w Meksyku.

W przeciwieństwie do powyższych, wyniki uzyskane w USA wskazują, że niemal co trzeci pracownik (31%) wpuszcza obce osoby na teren firmy.

Gdy zaufani pracownicy omijają reguły zabezpieczeń, istnieje możliwość ujawnienia poufnych danych. Taka praktyka naraża przedsiębiorstwa i ich klientów — często osoby indywidualne — na niepotrzebne ryzyko. Organizacje mogą w znacznym stopniu ograniczyć tego rodzaju ryzyko poprzez opracowanie procedur bezpieczeństwa zorientowanych na informacje, które są odpowiednio dostosowane do wymagań i warunków pracy w firmie. W ten sposób można zagwarantować integralność i poufność informacji na każdym etapie jej wykorzystania — bez względu na to, gdzie dane są przenoszone, kto ma do nich dostęp oraz w jaki sposób z nich korzysta. Równocześnie przedsiębiorstwa powinny posiadać wygodniejsze, niewidoczne oraz podzielone na warstwy technologie zabezpieczeń, które są w stanie ograniczyć czynniki powodujące łamanie przez pracowników reguł i pokonywanie przez nich systemów zabezpieczeń własnej firmy.

Zdalny dostęp do poufnych informacji: swobodny i niechroniony

Przeprowadzone badania potwierdzają, że w mobilnym świecie pracownicy wykorzystują zdalny dostęp do informacji korporacyjnych, gdy przebywają poza biurem — w domu lub w miejscach publicznych.

Wśród respondentów:

  • 89% często lub okazjonalnie prowadzi działania biznesowe zdalnie, za pośrednictwem wirtualnej sieci prywatnej (VPN) lub poczty elektronicznej.
  • 58% często lub okazjonalnie sprawdza służbową pocztę elektroniczną na komputerach publicznych, a 65% często lub okazjonalnie sprawdza służbową pocztę elektroniczną korzystając z publicznych punktów dostępowych.

Zdalny dostęp do poufnych danych wymaga silniejszych form uwierzytelniania, niż proste, statyczne i wystawione na większe ryzyko kombinacje nazwy użytkownika i hasła. Aby pomóc w rozwiązaniu tego problemu, organizacje mogą zapewnić system haseł jednorazowych i w ten sposób utrzymać elastyczność i wygodę związaną ze zdalnym dostępem do sieci VPN oraz poczty elektronicznej. Hasła mogą być udostępniane za pomocą tokena sprzętowego lub programowego, który jest łatwo dostępny z urządzeń mobilnych, takich jak inteligentne telefony BlackBerry®.

Informacje mogą być ruchomym celem, a dane są zwykle przenoszone nieprawidłowo

Wyniki badań wskazują, że w celu zwiększenia produktywności użytkowników, należy zapewnić możliwość przenoszenia informacji. Jednakże mobilność pracownika zwiększa zbiorową odpowiedzialność za ochronę danych, które są wynoszone poza teren firmy.

Wśród respondentów:

  • Jedna osoba na 10 zgubiła notebooka, telefon inteligentny i/lub pamięć USB z informacjami firmowymi.
  • W Meksyku zanotowano najwyższy odsetek zdarzeń, w których zostały ujawnione dane należące do przedsiębiorstwa — aż 29% respondentów przyznało się do zgubienia notebooka, telefonu inteligentnego i/lub pamięci USB; najniższy odsetek zanotowano w USA — 5%.
  • 79% często lub okazjonalnie opuszcza miejsce pracy z urządzeniem mobilnym zawierającym poufne informacje związane z wykonywanymi zadaniami. Takie urządzenia to między innymi notebooki, telefony inteligentne i pamięci USB.

Mobilność zapewnia sprawne działanie, jednak niechronione informacje — bez względu na miejsce ich przechowywania — zwiększają ryzyko. System zabezpieczania danych oparty na regułach umożliwia organizacjom klasyfikację poufnych danych, wykrywanie takich danych w całym przedsiębiorstwie, egzekwowanie reguł, a także kontrolowania i tworzenia raportów w celu zapewnienia zgodności z procedurami.

„Ochrona przed utratą danych jest głównym zmartwieniem osób odpowiedzialnych za sieci firmowe i zasoby informacyjne. Jednakże biorąc pod uwagę takie możliwości przenoszenia informacji, jakimi obecnie dysponujemy bardzo istotne jest, aby dane były zarządzane nie w oparciu o kaprysy i codzienne działania pracowników, lecz o z góry określone reguły i towarzyszące im kontrole” — powiedział Tom Corn, wiceprezes grupy ds. bezpieczeństwa danych w RSA. „W ten sposób organizacje mogą przede wszystkim uniemożliwić zapisywanie poufnych informacji na dyskach USB, lub co najmniej wprowadzić konieczność ich szyfrowania.”

Zapewnienie odpowiednim użytkownikom dostępu do właściwych informacji

Przedsiębiorstwa działają dynamiczne, a role poszczególnych pracowników często się zmieniają — może to być przeniesienie pracownika na inne stanowisko wewnątrz firmy lub przydzielenie kolejnego zadania konsultantowi zewnętrznemu, który zakończył pracę nad bieżącym projektem. Jednakże możliwości zarządzania siecią przedsiębiorstwa nie zawsze nadążają za tymi ruchami.

Wśród respondentów:

  • 43% zmieniło stanowisko wewnątrz firmy, a w dalszym ciągu ma dostęp do kont/zasobów, które nie są im już potrzebne.
  • W Meksyku zanotowano najwyższy wynik wynoszący 30%, następnie 42% w Brazylii. Jednakże w USA co drugi ankietowany (50%) posiada w dalszym ciągu dostęp do niepotrzebnych funkcji systemów firmowych.
  • 79% przyznało, że ich przedsiębiorstwo zatrudnia pracowników tymczasowych lub podwykonawców, którzy wymagają dostępu do systemów i danych firmowych o znaczeniu krytycznym.
  • 37% natknęło się na obszary sieci przedsiębiorstwa, do których ich zdaniem nie powinni mieć dostępu.

Dostęp do tajnych danych powinien być przyznawany wyłącznie osobom, które tego potrzebują.
W przypadku niektórych stanowisk potrzebny jest dostęp jedynie do ściśle określonych obszarów wewnątrz infrastruktury informacyjnej. Organizacje mogą zarządzać dużą liczbą użytkowników, a jednocześnie egzekwować scentralizowane, oparte na rolach reguły zabezpieczeń, które zapewniają zgodność z przepisami, chronią zasoby przedsiębiorstwa przed nieautoryzowanym dostępem oraz ułatwiają wykonywanie zadań uprawnionym użytkownikom.

„Badanie ujawnia, że równie ważnym czynnikiem dla przedsiębiorstw jest skrupulatne egzekwowanie reguł oraz środków kontroli zabezpieczeń informacji, których celem jest ochrona codziennych czynności wykonywanych w dobrej wierze przez niewinnych użytkowników, jak egzekwowanie przestrzegania zasad ustanowionych w celu ochrony przed osobami działającymi w złym zamiarze” — powiedział Christopher Young, wiceprezes działu RSA. „Niewątpliwie firmy muszą przyjąć warstwowe podejście do zabezpieczeń w celu ograniczenia zagrożeń wewnętrznych oraz zapewnienia bezpieczeństwa danych.
W związku z tym ważne jest, aby każda organizacja wiedziała, jakie osoby mają dostęp do danych; kontrolowała dostęp do nich z użyciem reguł; monitorowała podejrzane działania w celu weryfikacji tożsamości użytkowników; tworzyła i egzekwowała środki kontroli oraz reguły bezpieczeństwa danych; a także zmieniała możliwość obsługi danych w czasie rzeczywistym w praktyczną zgodność z przepisami oraz inteligentne zabezpieczenia.”

Raport na rok 2008 zawierający pełną listę wyników oraz zaleceń jest dostępny w analizie „The 2008 Insider Threat Survey: Workers Admit to Everyday Behavior That Puts Sensitive Information at Risk („Badanie dotyczące wewnętrznego zagrożenia dla bezpieczeństwa a roku 2008: Pracownicy przyznają się do codziennych zachowań narażających na ryzyko poufne informacje firmy”)

Metodologia

Badanie „2008 Insider Threat Survey” przeprowadzone przez RSA, dział zabezpieczeń firmy EMC, objęło 417 osób podczas trzech wydarzeń branżowych, które odbyły się w trzech krajach na terenie Ameryki Północnej i Ameryki Łacińskiej:

  • Wystawa RSA Conference, USA (7-11 kwietnia; 134 respondentów)
  • Konferencja „Demystifying the Payment Card Industry Standard: Routes to PCI Compliance,” miasto Meksyk (28 maja; 44 respondentów)
  • Konferencja CIAB 2008, Brazylia (11-13 czerwca; 239 respondentów)

Respondenci ankietowani przez RSA w listopadzie 2007 na potrzeby badania „2007 Insider Threat Survey” byli pracownikami rządowymi lub biurowymi. Ankieta została przeprowadzona na ulicach miast Boston i Washington. W latach 2007 oraz 2008 w badaniach wzięły udział osoby będące pracownikami, podwykonawcami, partnerami, gośćmi oraz konsultantami, którzy posiadali fizyczny i/lub logiczny dostęp do przedsiębiorstwa. W obu badaniach zastosowano identyczne pytania.