Jó szándékú dolgozók is tönkretehetik a céget

Az általános vélekedéssel ellentétben az adatszivárgásra visszavezethető leggyakoribb és legköltségesebb károkat nem a külső támadók, hanem a munkavállalók okozzák a cégnek. Az informatikai biztonságért felelős vezetőkre a belső adatszivárgás megelőzésénél kettős feladat hárul. A tökéletes IT-megoldások kiépítése mellett HR-szakemberként is kell gondolkozniuk, hogy megértsék az egyes munkavállalók viselkedését - olvasható a Compliance Data Systems Kft. (CDSYS) közleményében

Az adatszivárgást okozó munkavállalók között többségben vannak a jó szándékú és a hanyag kollégák, de előfordulnak rosszindulatúak is. Amíg az első csoport a vállalat érdekeit szem előtt tartva jóhiszeműen vagy gondatlanul szegi meg a biztonsági előírásokat, addig a rosszindulatú munkavállalók csak a saját érdekükben cselekszenek. Mindkét csoport fenyegetést jelent a vállalatok biztonságára, és csak kevesen veszik észre, mennyire fontos, hogy mindkét csoport által jelentett kockázatot mérsékelni tudják. Egerszegi Krisztián, a CDSYS ügyvezető igazgatója úgy véli: a képzés és a megfelelő biztonsági kultúra kialakítása, illetve a tökéletesített és automatizált IT megoldás segíthet csökkenteni a kockázatokat és fenntartani a hatékonyságot.

A Symantec  frissen közzé tett „Organizational Security and the Insider Threat: Malicious, Negligent and Well-Meaning Insiders” című tanulmányában több nemzetközi kutatásra alapozva elemezte a belső adatvesztés okait.  Az anyagban szereplő – többek között hazai munkavállalók részvételével is végzett – felmérés szerint a válaszadók majdnem fele (48%) dolgozik távoli elérést is használva, az esetek 18%-ában nem biztonságos rendszer igénybe vételével. A dolgozók majdnem háromnegyede (71%) küld bizalmas anyagot a privát email-címére, hogy a vállalaton kívül dolgozzon vele, illetve 42% védelem nélküli USB-re másol anyagokat. Az esetek 90%-ban a vállalatok rendelkeztek IT biztonsági szabályzattal, de ez nem akadályozta meg a munkavállalókat a fentiekben. A munkavállalók 78%-a gondolta, hogy az információk bizalmas kezelése egyedül az IT-osztály felelőssége.

Ahhoz, hogy vállalatunk védve legyen az ilyen téves felfogás miatt kialakuló fenyegetésektől, azonosítani kell, kik és milyen formában kezelnek adatokat. Nem minden munkavállaló kockázati profilja azonos, így a biztonsági intézkedéseket pontosan az egyes karakterekhez kell igazítani - hívja fel a figyelmeztet a CDSYS közleménye.

A kockázati csoportok

A felmérés alapján a tanulmány több személyiségtípust, illetve kockázati profilt azonosított be.

Az aláásók a saját munkájuk megkönnyítése érdekében nem foglalkoznak a biztonsági szabályokkal. Könnyen megjegyezhető jelszavakat adnak, néha meg is osztják ezeket.

A túlteljesítők szándékosan megkerülik a biztonsági előírásokat, azt gondolva, hogy ezzel hatékonyabban tudják szolgálni a vállalat érdekeit és saját karrierjüket. Példa erre a munkát lassító és hatékonyságot csökkentő titkosítások elhagyása.

A manipuláltak azok az alacsonyabb pozícióban lévő munkatársak, akik személyes kapcsolatban állnak a vásárlókkal, ezért lehetnek a bizalmukkal visszaélő rosszindulatú külső behatolók célpontjai (social engineering). Általában segítő szándékkal adják ki a kódokat, információkat, a „mindent az ügyfélért” elv alapján, abban a hitben, hogy a cég érdekében cselekednek.

Az egyre növekvő számú szivárogtatók különféle etikai megfontolások alapján adják ki a bizalmas adatokat a nyilvánosság számára, azt gondolva, hogy az embereknek tudomást kell szerezni ezekről az információkról. A szivárogtatások általában valamilyen közösségi szolgáltatáson keresztül zajlanak. Ezek az akciók a vállalat érdekeivel ellentétesen történnek, és a legtöbbször illegálisak, mégsem nevezhetjük egyszerűen rosszindulatúnak, ha a közvélemény tájékoztatása a cél. Erre kiváló példa a WikiLeaks ügye.

Az "adatömlesztők" olyan munkavállalók, akiknek legális hozzáférése van az információkhoz, és hajlamosak az adatvesztésre, mivel az egyébként is laza IT szabályok nem ellenőrzik megfelelően a berögzült vállalati gyakorlatokat. Az adatvesztők elhagyják az adathordozókat, nem törlik a "kint" használt gépekről a kivitt információkat, adatokat hagynak leselejtezett számítógépeiken, védelem nélkül küldik adataikat, illetve elavult levelezési vagy címlistákra küldenek adatokat, amelyeken időközben illetéktelenné vált személyek is szerepelhetnek - hívja fel a figyelmet a CDSYS közleménye.

Privátbankár