Как я уже неоднократно заявлял, самым слабым звеном информационной безопасности является пользователь. Увы, но не редкость ситуация, когда пользователь, относящийся к руководящему составу компании, требует для себя особых привилегий. Мало того, искренне считает, что ему просто обязаны их предоставить лишь на том основании, что он VIP-сотрудник.
Коренное отличие компаний, владельцами и менеджерами которых являются выходцы из СНГ, состоит именно в наплевательском отношении к политикам и правилам ИБ. Увы, но глядя на это, так же поступает и остальной персонал компании. Ведь все прекрасно знают, что пароль руководителя департамента знает его секретарь.
Более того, часто руководители выделяются в отдельную группу доменных пользователей с совершенно особыми правами.
Увы, но то же самое относится к подразделению ИТ. Да-да. Его сотрудники, как правило, также считают себя непогрешимыми и неприкасаемыми. И, соответственно, нормы, принятые в документах по безопасности, не распространяются на подразделение ИТ. И, уж тем более, на ИБ.
Интересно, что сейчас подумают в мой адрес коллеги из ИБ-департаментов?
Отдельной строкой в ИТ и ИБ стоит применение не рекомендованного ПО. Каждый сотрудник этих подразделений, как правило, имеет права локального, а то и не только локального администратора. Ну а подчиняться каким-то там правилам — это дело обычных пользователей.
К чему это приводит?
Менеджеры начинают запасаться базой данных клиентов практически с первых дней работы, сисадмины стараются обезопасить себя тем, что не документируют свои действия, не гнушаются установкой ПО, запускающего вредоносные действия по наступлению определенного события.
При этом стоит отметить, что большинство сотрудников, уличенных в неблаговидных действиях, не являются людьми с криминальными наклонностями. До 70% персонала считают воровство допустимым, так как им «недоплачивают».
Согласно новому отчету Crowd Research Partners, 62% ИТ-профессионалов утверждают, что количество внутренних угроз выросло за последние 12 месяцев. Главными причинами роста внутренних угроз считают недостаточную защиту данных (53%), выросший обмен данными с внешними источниками (50%) и возросшее количество уязвимых устройств (50%).
Вместе с тем только 11% опрошенных считают, что продолжительность утечки составляет менее 6 месяцев. Более 45% не могут сосчитать сколько всего утечек произошло по вине инсайдеров произошло за последний год.
Однако вместе с тем хотелось бы отметить, что 30% опрошенных заявили, что у них нет соответствующих средств для предотвращения атак изнутри, и 23% не уверены, что у них есть соответствующие средства управления.
Но хотелось бы огорчить тех, кто считает, что внедрение DLP решит все их проблемы. Увы, нет!
Внедрению соответствующих технических средств должна предшествовать огромная организационная работа, в том числе назначение владельцев информации, определение требований к конфиденциальности и градации информации.
Вывод, который можно сделать — в организации должен быть наведен порядок!
Пользователей нужно учить. Неприкосновенные в организации ведут к тому, что документы в области безопасности выполняться не будут. То есть либо политикам и приказам подчиняются все, либо никто. Надеюсь вы сделаете соответствующие выводы?
Автор статьи — Microsoft Most Valuable Professional, Microsoft Security Trusted Advisor.