Человеческий фактор – главная причина инцидентов, связанных с нарушениями информационной безопасности. Об этом говорят данные опроса, проведенного исследовательской компанией Arlington Research. Его участниками стали 1260 инженеров по информационным технологиям и информационной безопасности. Аналитическое исследование, основанное на результатах опроса, опубликовала в декабре 2023 года «Лаборатория Касперского».
География опроса охватывала 19 стран. В их числе: Бразилия, Великобритания, Германия, Индия, Индонезия, Испания, Казахстан, Китай, Колумбия, Мексика, Объединенные Арабские Эмираты, Россия, Саудовская Аравия, США, Турция, Франция, Чили, ЮАР и Япония. Респондентами стали представители самых разных компаний – от малого и среднего бизнеса до предприятий, в штате которых более 1000 человек.
Главная проблема – ошибки персонала
Как показал опрос, 64 % всех киберинцидентов, случившихся в этих компаниях за последние 2 года, произошли из-за ошибок персонала. В одних случаях (38 %) эти ошибки были случайными, в других (26 %) – сотрудники сознательно пренебрегали политикой информационной безопасности.
Эксперты «Лаборатории Касперского» отмечают, что сетевые злоумышленники постоянно обновляют инструментарий и тактику своих атак, основанных на социальной инженерии. И это закономерно, ведь именно через персонал компаний им легче всего получить доступ к конфиденциальным данным.
Отработать навыки безопасного сетевого поведения в игровой форме и на основе реальных ситуаций позволяет обучающий курс «Базовые основы информационной безопасности», работающий под управлением системы «ОЛИМПОКС».
Итак, самым слабым звеном информационной защиты является не инструментарий, а человек. Почему это так?
Причина первая. Недооценка внешних сетевых угроз
Малые и средние предприятия, в отличие от крупных компаний, не особенно заботятся о защите своей конфиденциальной цифровой информации. Между тем они могут в любой момент стать жертвами хакеров, атаки которых чаще всего являются не целевыми, а сканирующими.
Злоумышленники ведут в сети постоянный поиск потенциальных объектов для взлома. Этой цели служит, например, рассылка электронных писем, содержащих вредоносные вложения. Если в компании отсутствует корпоративный регламент информационной безопасности или он разработан, но никто ему не следует, любая цифровая атака извне может увенчаться успехом.
Руководство компаний должно не только регулярно информировать персонал о возможных угрозах, но и иметь четкий план реагирования на возможные инциденты, связанные с нарушением информационной безопасности.
Причина вторая. Непонимание ценности корпоративных данных
Все сотрудники компании, даже если они по роду своих занятий не имеют никакого отношения к вопросам защиты информации, должны быть надлежащим образом проинструктированы, чтобы четко понимать: информация, с которой они работают, имеет высокую ценность. Получение несанкционированного доступа к этой информации может обернуться для компании серьезными издержками – как материальными, так и имиджевыми.
Различное понимание сотрудниками этого вопроса и, как следствие, разные алгоритмы обращения с корпоративными данными повышают уязвимость всей сетевой инфраструктуры. Работник, не осознающий возможных последствий нарушения правил информационной безопасности, в любой момент может непреднамеренно нанести компании вред, например: запустить на рабочем компьютере непроверенную флешку, открыть подозрительное письмо или забыть вовремя выйти из своего служебного аккаунта.
Причина третья. Невнимание к вопросам обучения персонала
Недостаточно сформировать квалифицированный отдел информационной безопасности, установить файрволы и антивирусы – необходимо организовать ликбез для всех сотрудников компании. Сколь бы совершенны ни были разработанные правила и регламенты, сами по себе они не заработают.
Фокусируясь на текущей задаче, работник забывает о необходимости соблюдения правил цифровой безопасности, если ему периодически о них не напоминать. Специалист может быть непревзойденным знатоком в своей сфере, но это не значит, что при возникновении какого-либо киберинцидента он примет правильное решение.
Решить проблему поможет периодическое обучение по информационной безопасности с обязательной итоговой проверкой знаний. Закрепляя в памяти правила работы с данными, работники повышают общий уровень деловой культуры.
Причина четвертая. Низкий уровень защиты от внутренних угроз
Злоумышленник может находиться не только снаружи, но и внутри компании, т. е. быть одним из ее сотрудников. Степень ущерба, который работник может при этом нанести, непосредственно зависит от того, какими правами он наделен при работе с данными. Права работников не должны превышать объективно необходимые для выполнения их служебных задач.
Важно, чтобы все сетевое оборудование было настроено правильно, регулярно осуществлялось резервное копирование, функционировала система мониторинга и предупреждения сетевых угроз. Это позволит минимизировать возможный ущерб от действий нелояльного сотрудника.
Обучайте персонал в игровой форме
Курс «Базовые основы информационной безопасности», работающий под управлением системы «ОЛИМПОКС», предназначен для ознакомления персонала с основами информационной безопасности при работе с электронными и бумажными документами. Курс оформлен в виде диалога виртуальных персонажей и построен на принципах микрообучения. Подобный формат позволяет добиться максимальной вовлеченности пользователя в учебный процесс.
Система «ОЛИМПОКС» предназначена для автоматизации обучения в области охраны труда и безопасности на производстве. Она позволяет управлять процессом на всех этапах жизненного цикла работника: от проведения вводного инструктажа при приеме на работу до периодического обучения и проверок знаний в рамках осуществления основной трудовой деятельности. Система «ОЛИМПОКС» предоставляется по подписке на 12 месяцев.
