Interní hrozby zabezpečení v IT a finančních službách

RSA, bezpečnostní divize společnosti EMC, dnes představila výsledky svého nejnovějšího průzkumu interních hrozeb zabezpečení, během kterého bylo dotázáno 417 respondentů, kteří popisovali své jednání a postoje v oblasti zabezpečení při práci.

Účastníci průzkumu působí v celé řadě oborů (46% z finančního sektoru, 20% z sektoru technologie, 46% z sektoru IT, 11% z firemního managementu, a 54% pracuje ve společnostech s více než 5.000 zaměstnanci). Téměř polovina respondentů pracuje na pozicích spojených s informačními technologiemi. Přesto, že dnes máme důkladně zdokumentovány příklady narušení zabezpečení dat, ukazují výsledky, že dokonce i ti, kteří by měli dobře znát rizika, se při každodenní práci nevyhýbají jednání, které může způsobit podstatné ohrožení citlivých firemních informací. Hlavní závěry průzkumu:

Lidé jednají podle sebe bez ohledu na povědomí o doporučených postupech pro zabezpečení. Zaměstnanci jsou si dobře vědomi omezení stanovených firemními IT odděleními, přesto mnozí z nich často tato kontrolní opatření obcházejí, aby zvládli své úkoly pohodlně a včas (94 % zná zásady zabezpečení IT ve svých organizacích, 53 % přesto cítilo potřebu tyto zásady při plnění svých úkolů obejít; 15 % respondentů někdy v práci pustilo do dveří někoho, koho neznali; V odpovědi na samostatnou otázku 64 % respondentů uvedlo, že často nebo někdy odesílají pracovní dokumenty na svou osobní e-mailovou adresu, aby k nim získali přístup a mohli s nimi pracovat z domova).

Vzdálený přístup k citlivým informacím – náhodný a nechráněný. Průzkum potvrzuje, že v mobilním světě jsou zaměstnanci závislí na vzdáleném přístupu k firemním informacím v době, kdy jsou mimo kancelář, ať už doma či na veřejných místech (89 % často nebo někdy plní pracovní úkoly prostřednictvím virtuální privátní sítě (VPN) nebo webového e-mailu; 58 % často nebo někdy využívá přístup k pracovní elektronické poště z veřejného počítače; 65 % k tomu často nebo někdy využívá veřejný bod bezdrátového přístupu).

Informace se mohou stát pohyblivým terčem – s přenášenými daty se často zachází nevhodně. Výsledky průzkumu ukazují, že k zajištění maximální produktivity zaměstnanců je třeba umožnit volné přenášení informací. Mobilita zaměstnanců ovšem zvyšuje kolektivní odpovědnost za ochranu informací, s kterými se pracuje mimo firmu. (Jeden z deseti respondentů ztratil přenosný počítač, smartphone nebo přenosný USB flash disk s firemními informacemi; 79 % respondentů často nebo někdy opouští pracoviště s mobilním zařízením obsahujícím citlivé informace související s jejich prací, jako je přenosný počítač, smartphone nebo přenosný USB flash disk).

Zajištění přístupu příslušných uživatelů k potřebným informacím. Organizace jsou dynamické a role jednotlivců v nich se často mění, ať už jde o přesun zaměstnance na jinou pracovní pozice nebo odchod externího konzultanta, který dokončil svou práci. Správa firemní sítě však není s takovými kroky vždy v souladu (43 % respondentů se přesunulo na jinou pozici v rámci firmy a zachovali si při tom přístup k účtům nebo prostředkům, které nadále nepotřebovali; 79 % uvedlo, že jejich společnost zaměstnává pracovníky na dočasných pozicích nebo smluvní partnery, kteří vyžadují přístup k důležitým firemním informacím a systémům; 37 % se ve firemní síti dostalo do oblasti, ke které by podle svého přesvědčení neměli mít přístup).

„Průzkum ukazuje, že pro firmy je důležité důsledně naplňovat kontrolní opatření a zásady v oblasti informační bezpečnosti a zaměřit se přitom na ochranu každodenního jednání interních uživatelů bez zlých úmyslů. Tak zároveň posílí účinnost opatření cílených na útočníky se škodlivými záměry,“ řekl Christopher Young, senior viceprezident divize RSA. „Zřejmé je, že firmy potřebují bezpečnost zajistit ve vrstvách, což jim pomůže omezit ohrožení zevnitř a zachovat data v bezpečí. Proto je pro každou organizaci zásadní vědět, kdo má k informacím přístup, řídit přístup prostřednictvím zásad, monitorovat podezřelé chování a ověřit identitu uživatelů, vytvořit a uplatňovat zásady a kontrolní opatření pro zabezpečení dat a proměnit data o událostech v reálném čase v přehledný systém zabezpečení a dodržování norem.

Zprávu s úplnými výsledky za rok 2008 a doporučeními najdete v dokumentu Průzkum interních hrozeb: Zaměstnanci připouštějí každodenní chování vystavující riziku citlivé informace.