Ryzyko utraty danych o krytycznym znaczeniu dla działania firm jest w Polsce coraz wyższe – to główny wniosek płynący z raportu opublikowanego przez Cisco na zakończonej wczoraj konferencji Cisco Secure. Wynika to z faktu, iż polskie firmy i organizacje opracowując polityki bezpieczeństwa i budując systemy zabezpieczeń koncentrują się głównie na zewnętrznych zagrożeniach związanych z działaniem hakerów i cyberprzestępców, nie poświęcając dostatecznej uwagi zagrożeniom wewnętrznym.
Na podstawie wyników badań, analitycy Cisco zdefiniowali cztery podstawowe profile zachowań polskich pracowników, które mogą mieć wpływ na bezpieczeństwo firmowych danych.
– 83% ankietowanych nie zdaje sobie sprawy z istnienia nowych, poważnych zagrożeń dla bezpieczeństwa (takich jak luka Heartbleed).
– 55% uważa, że sposób zachowania się pracowników jest jednym z dwóch największych zagrożeń dla bezpieczeństwa danych i ustępuje tylko zagrożeniom ze strony zorganizowanych grup cyberprzestępczych (62%).
– 55% sądzi, że w ich firmie funkcjonuje polityka bezpieczeństwa, ale aż 30% przyznaje, że nic nie wie na ten temat.
– 57% deklaruje przestrzeganie firmowych reguł polityki bezpieczeństwa na niskim lub umiarkowanym poziomie, ale jeden na ośmiu ankietowanych przyznaje się do ich aktywnego omijania.
– 34% uważa, że system bezpieczeństwa IT w ich firmie hamuje innowacyjność, przeszkadza we współpracy i powoduje, iż wykonywanie pracy jest trudniejsze.
Nowe podejście do bezpieczeństwa IT musi uwzględniać realne zachowania pracowników
Z badania Cisco wynika, że istnieje pilna konieczność modyfikacji stosowanych w firmach polityk bezpieczeństwa tak, by w dalszym ciągu zapewniały najlepszą możliwą ochronę przed zewnętrznymi atakami, ale jednocześnie zostały przystosowane do realnych zachowań pracowników. Z badania wynika też, że stosowane obecnie strategie bezpieczeństwa IT nie uwzględniają preferowanych sposobów efektywnej pracy. Zdaniem ankietowanych pracowników, istniejące polityki bezpieczeństwa muszą ulec modyfikacji jeśli dotychczasowe wsparcie dla innowacyjności i efektywnej współpracy ma w przedsiębiorstwach zostać utrzymane przy jednoczesnym zapewnieniu odpowiedniej ochrony firmowej sieci, urządzeń i systemów chmurowych przed zewnętrznymi zagrożeniami.
Największe wewnętrzne zagrożenia wynikają z pewnego rodzaju samozadowolenia pracowników, którzy zakładają, że firmowy system bezpieczeństwa będzie ich efektywnie chronił podczas przeglądania internetu i innych aktywności online. Z badania wynika, że 29% pracowników spodziewa się, iż firmowy system zabezpieczeń ochroni ich przed każdym zagrożeniem, zaś 56% uważa, że są dobrze odizolowani od potencjalnych, zewnętrznych zagrożeń, a ich zachowania mają mały lub co najwyżej umiarkowany wpływ na bezpieczeństwo firmowego systemu IT.
Szczególnie ryzykowne mogą być działania tych pracowników, którzy mając dużą wiedzę o działaniu oprogramowania i systemów IT, potrafią ominąć zasady narzucone przez politykę bezpieczeństwa.
Kultura samozadowolenia i ignorancji
Aż 57% ankietowanych przyznaje, że przestrzega zasad firmowej polityki zaledwie w stopniu małym lub umiarkowanym. Jednocześnie warto zauważyć, iż więcej pracowników deklaruje bardziej rygorystyczne podejście do reguł bezpieczeństwa w domu (25%) niż w pracy (19%). Co więcej, zaskakująca liczba ankietowanych, bo aż 83% nie zdaje sobie sprawy z istnienia takich poważnych, nowych zagrożeń jak Heartbleed. W efekcie 27% respondentów w ogóle nie zmieniło swoich zachowań dotyczących bezpieczeństwa, a 60% wciąż nie wprowadziło zasady definiowania różnych haseł dla każdego z wykorzystywanych serwisów lub aplikacji.
Przestarzałe podejście do bezpieczeństwa hamuje efektywną współpracę i krępuje innowacyjność
Pracownicy polskich firm w coraz większym stopniu zaczynają postrzegać mechanizmy bezpieczeństwa IT jako barierę hamującą działania biznesowe. 34% uważa, że system bezpieczeństwa IT w ich firmie hamuje innowacyjność, przeszkadza we współpracy i powoduje, iż wykonywanie pracy jest trudniejsze. Natomiast 22% jest przekonanych, iż wartość utraconych zysków powodowana przez rygorystyczny system zabezpieczeń przewyższa koszty związane z potencjalnymi skutkami udanego ataku na firmowy system IT.
Polityki bezpieczeństwa koncentrujące się na użytkownikach
W ramach badania, analitycy Cisco określili też cztery główne profile zachowań polskich pracowników w kontekście bezpieczeństwa IT. Mogą one być dobrą podstawą do opracowania praktycznych strategii biorących pod uwagę różne typy zachowań pracowników. Każdy profil prezentuje inny poziom zagrożenia dla bezpieczeństwa firmowych danych i wymaga innego rozwiązania, które z jednej strony ograniczy ryzyko, ale z drugiej zapewni możliwość uzyskania optymalnej wydajności i efektywności pracy.
– Pracownicy „świadomi zagrożeń” – wiedzą jakie jest ryzyko i starają się ściśle przestrzegać zasad bezpieczeństwa IT podczas pracy.
– Pracownicy „mający dobre intencje” – starają się przestrzegać reguł polityki bezpieczeństwa, ale w rzeczywistości stosują je na zasadzie „chybił – trafił”.
– Pracownicy „zadowoleni z siebie” – są przekonani, że firmowy system bezpieczeństwa zrobi wszystko za nich. Uważają, że nie są indywidualnie odpowiedzialni za bezpieczeństwo firmowych danych, a jego zapewnienie nie wymaga od nich żadnej aktywności.
– Pracownicy „znudzeni i cyniczni” – uważają, że opinie o wysokim poziomie zagrożeń są przesadzone, a firmowy system zabezpieczeń ogranicza ich wydajność, więc są gotowi do omijania reguł firmowej polityki bezpieczeństwa.
Choć edukacja i lepsza komunikacja mogą pomóc, to z pewnością nie rozwiążą problemu z postawą „samozadowolenia” prezentowaną przez wielu pracowników, którą ujawnia najnowszy raport Cisco. Liderzy IT będą zmuszeni do opracowywania bardziej przyjaznych użytkownikom polityk bezpieczeństwa, które będą wykorzystywały indywidualne wzorce zachowań, aby zmniejszyć ryzyko jego naruszenia w skali całej firmy – mówi Gaweł Mikołajczyk. Jeśli pracownicy będą w dalszym ciągu przekonani, że system bezpieczeństwa IT utrudnia im pracę lub też nie będą zdawać sobie sprawy z tego jakie zagrożenia dla biznesu mogą wynikać z ich niewłaściwego zachowania, firmy będą kontynuowały ryzykowną grę, która może doprowadzić do bardzo kosztownych przypadków naruszenia bezpieczeństwa danych – dodaje ekspert Cisco.
Raport został opracowany na podstawie badań, które objęły ponad 1000 pracowników firm w Polsce.
