Firma Cisco przedstawiła wyniki przeprowadzonych ostatnio globalnych badań z dziedziny zabezpieczeń. Zwracają one uwagę na liczne ryzykowne działania pracowników, które mogą prowadzić do jednego z najpoważniejszych dla przedsiębiorstw problemów związanych z bezpieczeństwem: utraty informacji korporacyjnych.
Badanie wskazuje na błędy prowadzące do wycieku danych często popełniane przez pracowników. Wyniki zostały opracowane na podstawie ankiet przeprowadzonych wśród ponad 2000 pracowników i informatyków w 10 krajach. Wykazują one, że dla różnych krajów i kultur charakterystyczne są odmienne ryzykowne zachowania pracowników. Analizując wyniki badania, przedsiębiorstwa powinny dostosować swoje plany zarządzania ryzykiem, tak, aby zapobiegać zagrożeniom z uwzględnieniem uwarunkowań lokalnych, a jednocześnie zachować zasięg globalny.
Badania te, przeprowadzone przez InsightExpress, amerykańską firmę zajmującą się analizą rynku, zostały zlecone przez Cisco w celu zebrania informacji na temat zabezpieczeń i wycieków danych (www.cisco.com/go/dlp) oraz ich konsekwencji ponoszonych przez firmy w momencie, gdy styl życia pracowników i ich środowisko pracy podlegają gwałtownym zmianom. W miarę jak przedsiębiorstwa przechodzą od scentralizowanego do bardziej rozproszonego modelu prowadzenia działalności, w którym wykorzystywani są pracownicy zdalni, granice między życiem osobistym, a pracą zacierają się. Zmiana sposobu funkcjonowania przedsiębiorstw, podobnie jak zmiana stylu życia pracowników, stały się możliwe w dużym stopniu dzięki upowszechnieniu urządzeń i aplikacji do pracy zespołowej, wykorzystywanych do celów zawodowych i prywatnych. Należą do nich telefony komórkowe, laptopy, aplikacje Web 2.0, urządzenia wideo i inne media społeczne.
W tym zmieniającym się środowisku biznesowym przeprowadzono badanie, które objęło 1000 pracowników i 1000 informatyków działających w różnych branżach i firmach różnej wielkości w 10 krajach: Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Niemczech, Włoszech, Japonii, Chinach, Indiach, Australii i Brazylii. Wybrano właśnie te kraje, ponieważ reprezentują one zróżnicowane kultury społeczne i biznesowe oraz ustabilizowane i rozwijające się gospodarki oparte na wykorzystaniu sieci komputerowych na różnych poziomach zaawansowania.
Oto dziesięć wyników badań, najbardziej wartych podkreślenia:
1. Zmiana ustawień zabezpieczeń na komputerach. Jeden na pięciu pracowników zmienia ustawienia zabezpieczeń urządzeń w przedsiębiorstwie, aby obejść reguły wprowadzone przez dział IT i móc korzystać z niedozwolonych w firmie witryn WWW. Przypadki takie występowały najczęściej w krajach o gospodarce rozwijającej się, jak Chiny czy Indie. Na pytanie o powody tego postępowania ponad połowa tych pracowników (52%) odpowiedziała, że po prostu chcieli uzyskać dostęp do określonych witryn internetowych, a co trzeci oświadczył, że nikogo nie powinno interesować, jakie strony odwiedza.
2. Wykorzystanie niedozwolonych aplikacji. Siedmiu na dziesięciu informatyków powiedziało, że pracownicy korzystający z niedozwolonych aplikacji i witryn WWW (blokowane witryny społecznościowe, oprogramowanie do pobierania plików muzycznych, sklepy internetowe) powodują nawet połowę przypadków utraty danych w firmach. Opinia ta była szczególnie rozpowszechniona w Stanach Zjednoczonych (74%) i Indiach (79%).
3. Nieautoryzowany dostęp do sieci lub infrastruktury. W zeszłym roku dwóch na pięciu informatyków spotkało się z przypadkami korzystania przez pracowników z obszarów sieci lub infrastruktury firmowej, do których nie mieli uprawnień. Przypadki tego typu występowały najczęściej w Chinach, gdzie niemal dwie trzecie ankietowanych miało styczność z tym problemem. Dwie trzecie wszystkich respondentów, którzy potwierdzili występowanie tego zjawiska, spotkało się z nim wielokrotnie w ciągu zeszłego roku, a 14% nawet co miesiąc.
4. Udostępnianie poufnych informacji o firmie. Po zasygnalizowaniu problemu tajności poufnych danych handlowych firmy, jeden na czterech ankietowanych (24%) przyznał w rozmowie, że ujawniał takie dane osobom spoza przedsiębiorstwa, przyjaciołom, rodzinie lub nawet nieznajomym. Najczęściej udzielane odpowiedzi na pytanie o powody takiego postępowania wskazywały na potrzebę zasięgnięcia opinii, co do własnych pomysłów lub po prostu potrzebę porozmawiania,
a także zawierały przekonanie, że nie ma w nim niczego nagannego.
5. Udostępnianie urządzeń firmowych. Na pytanie o to, czy dane nie trafiają w ręce nieuprawnionych osób, prawie połowa pracowników (44%) odpowiedziała, że udostępnia firmowe urządzenia innym osobom, w tym i takich, którzy nie są pracownikami firmy, bez nadzoru.
6. Korzystanie z tych samych urządzeń i kanałów komunikacji do celów zawodowych
i prywatnych. Niemal dwie trzecie pracowników przyznało, że nagminnie korzysta z komputerów firmowych do celów osobistych, takich jak pobieranie plików muzycznych, zakupy, operacje bankowe, prowadzenie blogów, rozmowy na czatach i inne. Połowa pracowników korzysta
z prywatnych kont poczty elektronicznej do komunikacji z klientami i współpracownikami, przy czym tylko 40% uzyskało na to zgodę działu IT.
7. Brak zabezpieczeń urządzeń. Przynajmniej jednemu na trzech pracowników zdarza się odejść od biurka, pozostawiając niezabezpieczony komputer po zalogowaniu. Ci sami pracownicy pozostawiają też na noc na swoich biurkach laptopy, często bez wylogowania się, zwiększając ryzyko kradzieży urządzeń i nieautoryzowanego dostępu do danych przedsiębiorstwa i danych osobistych.
8. Zapisywanie nazw użytkownika i haseł. Jeden na pięciu pracowników zapisuje nazwy użytkownika systemu i hasła na własnym komputerze lub pozostawia takie notatki na swoim biurku, w otwartych szafkach, a nawet na kartkach przyklejonych do komputerów. W krajach takich jak Chiny (28%) pracownicy zapisują dane logowania do osobistych kont finansowych na urządzeniach firmowych, narażając się tym samym na straty. Fakt, że zostawiają te urządzenia bez dozoru, jeszcze bardziej podnosi współczynnik ryzyka.
9. Utrata przenośnych urządzeń pamięci masowej. Prawie co czwarty (22%) pracownik wynosi dane firmowe przy użyciu urządzeń pamięci masowej poza teren przedsiębiorstwa. Najczęściej zdarza się to w Chinach (41%). Powstaje wtedy ryzyko zgubienia lub kradzieży tych urządzeń.
10. Dopuszczanie osób postronnych do pomieszczeń firmowych. Ponad jedna piąta (22%) pracowników w Niemczech pozwala, aby osoby spoza przedsiębiorstwa przebywały bez dozoru w pomieszczeniach firmy. Średni wynik w tym badaniu to 13%. Natomiast 18%, wchodząc na teren przedsiębiorstwa, wpuszczało ze sobą nieznane osoby.
