Niewiniątka, nieostrożni i złośliwi – którym typem pracownika jesteś?

Coraz więcej firm zdaje sobie sprawę, że nie znający zasad bezpiecznego korzystania z komputera czy poczty służbowej pracownicy mogą stanowić prawdziwe zagrożenie dla bezpieczeństwa zasobów firmowych. Ekspert z firmy STORMSHIELD przedstawia trzy typy pracowników, którzy mogą przyczynić się do ataku na infrastrukturę IT i stanowić ryzyko utraty danych firmowych.

Według raportu firmy IBM 2016 Cyber Security Intelligence Index, 60 procent ataków na infrastrukturę IT zostało przeprowadzonych z jej wnętrza.Chociaż niektóre ataki i naruszenia są spowodowane przez pracowników, którzy żywią urazę do pracodawcy, wiele z nich spowodowanych jest poprzez zaniedbania pracowników – niektórzy ignorują ostrzeżenia bezpieczeństwa, inni nie przestrzegają procedur. Piotr Kałuża, Team Leader STORMSHIELD w firmie DAGMA zidentyfikował trzy typy pracowników, którzy mogą przyczynić się do naruszenia bezpieczeństwa danych w firmie.

1. Niewiniątka

Jeśli chodzi o naruszenie danych, „niewiniątka” mogą powodować takie same szkody, co złośliwi hakerzy. Lekcja, którą odrobiły już lokalne władze w Norfolk, Suffolk i Cambridgeshire w Wielkiej Brytanii, to odnotowanie ponad 160 przypadków naruszenia danych w latach 2014-2015. Większość z nich spowodowana była błędem ludzkim (w tym zagubieniem telefonów komórkowych, źle zaadresowanymi listami czy niezabezpieczonymi szafkami pełnymi akt zawierających poufne dane). Kolejny przykład naruszenia danych dotyczy Federal Deposit Insurance Corp. (FDIC). W tym przypadku niewinny pracownik „przypadkowo i bez złośliwego zamiaru" pobrał poufne dane na prywatne urządzenie.

2. Nieostrożni

Kojarzysz ostrzeżenia bezpieczeństwa, które pojawiają się na ekranie komputera? Czy zawsze od razu podejmujesz zalecane działania? Badanie przeprowadzone przez firmę Google w 2013 roku wykazało, że 25 milionów przeanalizowanych ostrzeżeń z przeglądarki Chrome było ignorowanych przez 70 procent czasu jaki pojawiało się na ekranie komputera. Jak się okazało, wynikało to częściowo z braku wiedzy technicznej użytkownika, dlatego Google postanowił uprościć język, który używany jest w ostrzeżeniach bezpieczeństwa.

3. Złośliwi

Niestety, nie tylko ludzki błąd jest przyczyną utraty firmowych danych. Złośliwe działania pracowników mają również udział w naruszeniach poufnych danych. Taki przypadek ilustruje historia OFCOM, który odkrył w 2016 roku, że były pracownik nielegalnie zbierał dane firm trzecich. Najbardziej szokujące jest to, że złośliwa działalność trwała przez sześć lat.

Natomiast supermarket Morrisons w Wielkiej Brytanii padł ofiarą niezadowolonego pracownika, który opublikował w Internecie dane osobowe prawie 100 000 pracowników. Choć incydent miał miejsce w 2014 r., firma nadal stoi w obliczu możliwości podjęcia przez pracowników dalszych działań prawnych w związku z naruszeniem ich danych.

Co można zrobić?

Wyciek danych to nie tylko straty finansowe dla przedsiębiorstwa, lecz także szkoda dla reputacji organizacji. Dlatego, jak radzi Piotr Kałuża, Team Leader STORMSHIELD w firmie DAGMA, ważne jest zadbanie o odpowiednie zabezpieczenia, szkolenia pracowników i sposoby łagodzenia skutków takiego naruszenia danych:

- Najprostszym sposobem na podniesienie bezpieczeństwa firmowej sieci jest zadbanie o odpowiednią edukację pracowników. Użytkownicy powinni być świadomi potencjalnego wpływu ich zachowania na ryzyko utraty danych firmowych. Ważne jest również zaangażowanie wszystkich pracowników w odpowiednie szkolenie, a nie tylko osoby zaangażowane bezpośrednio w IT – mówi Piotr Kałuża. – Warto także obserwować działania użytkowników na komputerach. Dzięki temu możemy poznać jakie ryzykowne działania podejmują nasi pracownicy i możemy im zapobiegać w odpowiednim czasie.

Dodatkowo jedną z najprostszych metod zabezpieczania danych jest szyfrowanie, które chroni je przed przypadkowym lub celowym wpadnięciem w niepowołane ręce. Nawet jeśli dojdzie do wycieku poufnych informacji, dane zapisane w formie zaszyfrowanej będą niemożliwe do odczytania. Dzięki temu firma nie musi się obawiać konsekwencji związanych z upublicznieniem, np. danych osobowych swoich klientów.