Az adatszivárgást főként emberi hiba okozza

Írta: IT café
Forrás: IT café
2011-02-17 11:55

Az adatszivárgásra visszavezethető leggyakoribb és legköltségesebb károkat nem a külső támadók, hanem a munkavállalók okozzák a cégnek. Az informatikai biztonságért felelős vezetőkre a belső adatszivárgás megelőzésénél kettős feladat hárul. A tökéletes IT-megoldások kiépítése mellett HR-szakemberként is kell gondolkozniuk, hogy megértsék az egyes munkavállalók viselkedését – figyelmeztet a problémára a Symantec legújabb felmérésére hivatkozva Egerszegi Krisztián, a CDSYS ügyvezető igazgatója.

Az adatszivárgást okozó munkavállalók között többségben vannak a jó szándékú és a hanyag kollégák, de előfordulnak rosszindulatúak is. Amíg az első csoport a vállalat érdekeit szem előtt tartva jóhiszeműen vagy gondatlanul szegi meg a biztonsági előírásokat, addig a rosszindulatú munkavállalók csak a saját érdekükben cselekszenek. Mindkét csoport fenyegetést jelent a vállalatok biztonságára, és csak kevesen veszik észre, mennyire fontos, hogy a mindkét csoport által jelentett kockázatot mérsékelni tudják.

A Symantec frissen közzétett „Organizational Security and the Insider Threat: Malicious, Negligent and Well-Meaning Insiders” című tanulmányában több nemzetközi kutatásra alapozva elemezte a belső adatvesztés okait. Az anyagban szereplő – többek között hazai munkavállalók részvételével is végzett – felmérés szerint a válaszadók majdnem fele (48%) dolgozik távoli elérést is használva, az esetek 18%-ában nem biztonságos rendszer igénybevételével. A dolgozók majdnem háromnegyede (71%) küld bizalmas anyagot a privát email-címére, hogy a vállalaton kívül dolgozzon vele, illetve 42% védelem nélküli USB-re másol anyagokat. Az esetek 90%-ban a vállalatok rendelkeztek IT-biztonsági szabályzattal, de ez nem akadályozta meg a munkavállalókat a fentiekben. A munkavállalók 78%-a gondolta, hogy az információk bizalmas kezelése egyedül az IT-osztály felelőssége.

Nem minden munkavállaló kockázati profilja azonos, így a biztonsági intézkedéseket pontosan az egyes karakterekhez kell igazítani.

A kockázati csoportok

A felmérés alapján a tanulmány a következő személyiségtípusokat, illetve kockázati profilokat határozta meg:

Az aláásók a saját munkájuk megkönnyítése érdekében nem foglalkoznak a biztonsági szabályokkal. Könnyen megjegyezhető jelszavakat adnak, néha meg is osztják ezeket
A túlteljesítők szándékosan megkerülik a biztonsági előírásokat, azt gondolva, hogy ezzel hatékonyabban tudják szolgálni a vállalat érdekeit és saját karrierjüket. Példa erre a munkát lassító és hatékonyságot csökkentő titkosítások elhagyása
A manipuláltak azok az alacsonyabb pozícióban lévő munkatársak, akik személyes kapcsolatban állnak a vásárlókkal, ezért lehetnek a bizalmukkal visszaélő rosszindulatú külső behatolók célpontjai (social engineering). Általában segítő szándékkal adják ki a kódokat, információkat, a „mindent az ügyfélért”-elv alapján, abban a hitben, hogy a cég érdekében cselekednek
Az egyre növekvő számú szivárogtatók különféle etikai megfontolások alapján adják ki a bizalmas adatokat a nyilvánosság számára, azt gondolva, hogy az embereknek tudomást kell szerezni ezekről az információkról. A szivárogtatások általában valamilyen közösségi szolgáltatáson keresztül zajlanak. Ezek az akciók a vállalat érdekeivel ellentétesen történnek, és a legtöbbször illegálisak, mégsem nevezhetjük egyszerűen rosszindulatúnak, ha a közvélemény tájékoztatása a cél. Erre kiváló példa a WikiLeaks ügye
Az „adatömlesztők” olyan munkavállalók, akiknek legális hozzáférése van az információkhoz, és hajlamosak az adatvesztésre, mivel az egyébként is laza IT-szabályok nem ellenőrzik megfelelően a berögzült vállalati gyakorlatokat. Az adatvesztők típusai:
- Véletlenül adják ki az információt elvesztett eszközökön keresztül (laptop, okostelefon, CD, USB-stick). Bár ezek az incidensek aránylag kicsi anyagi veszteséget, de komoly információ mennyiség elvesztését jelentik a vállalatnak, mégis komolyan rontják a cég hírnevét a nagy médiaérdeklődés miatt
- Kiviszik az adatokat a biztonságos környezetből, hogy irodán kívül dolgozzanak vele, azonban a munka végeztével már nem törlik ezeket az információkat
- Adatokat hagynak a leselejtezett, lecserélt számítógépeken. Egy 2009-es felmérés szerint az aukciós oldalakon árult merevlemezek 40%-a tartalmazott céges adatokat, e-maileket és fotókat
- Nem elég körültekintően osztják meg az adatokat egy harmadik személlyel
- Védelem nélkül küldenek adatokat nyilvános szolgáltatókon keresztül – például postán –, ahol a bizalmas információk elvesznek, illetve rossz kezekbe kerülnek
- Elavult levelezési és információs címlistákra küldenek bizalmas anyagokat

Hozzászólások (3)

Kapcsolódó cégek:
Symantec

Azóta történt

Az e-mailnek is lehetne lejárati ideje

Egy amerikai cég szerint hasznos szolgáltatás lenne, ha a már nem érvényes levelek maguktól törlődnének.

Közösségi média 2011-02-28 23
Mobilitás, felhő, webkettő: csak a bizonytalanság biztos

A kilencedik alkalommal megrendezett IDC IT Security Roadshow-n kiderült, mi is izgatja legjobban a nagyvállalatok biztonsági felelőseit.

Biztonság 2011-03-30 0
A magyar nagyvállalatok többsége nincs felkészülve egy IT-katasztrófára

A Symantec hazai felmérése kimutatta, hogy egy egyórás leállás esetén 4,5 millió forintos veszteség érheti a nagyvállalatokat.

Biztonság 2011-04-13 1
IT-analfabéta szivárogtatott ki atomtitkokat Nagy-Britanniában

A történet annyira elképesztő, olyan brutálisan hihetetlen, hogy a szakemberek csak a szájukat tátják: vajon hogyan történhetett meg ez?

Biztonság 2011-04-18 38

Előzmények

A biztributor IT biztonsági szakmai napot tart február 24-én

(x) A cég nagyszabású végfelhasználói napján számos sikeres esettanulmányt elemez partnereivel

Promo 2011-02-14 0
Több millió Honda-tulajdonos adatait szerezték meg crackerek

A kevéssé biztonságos rendszer üzemeltetésével egy már korábban kompromittálódott céget vádolnak a lapok.

Biztonság 2010-12-31 10
Biztonsági kockázat a cégek számára az okostelefon

Egy felmérés szerint a legtöbb vállalat tart az adatszivárgástól, de csak kevés védi a hálózatát megfelelő hitelesítéssel.

Biztonság 2010-11-22 1
Bizalmas dokumentumok a fénymásolók merevlemezén

Mind saját tesztünk, mind a fénymásolókat gyártó és forgalmazó cégek állásfoglalása azt mutatja, hogy egy létező problémáról van szó, ám szép számmal akadnak megoldások.

Biztonság 2010-09-16 50

Percről percre

Ülésezik a hardveregylet

ph Az irodai készülékek és monitorok társaságát egy ház, egy egér és egy DAC egészíti ki.

Motorola Moto G24 Power - hol van az erő?

ma Nagy az aksi, gyenge a hardver, amiből hosszú üzemidőre lehetne következtetni. Tényleg így van?

LG 34GS95QE-B: OLED paneles, ívelt gamer monitor

ph Félmillió forintba kerül az LG új, 240 Hz-es gamer monitora. Megnéztük, mit tud!

Garmin Forerunner 165 - alapozó edzés

ma Leizzadtunk a Garmin legolcsóbb amoledes futóórájával.

MG4 menetpróba

ma Mindenképpen van fantázia az MG4-ben, az alapfeladatokat olcsón kipipálja, de többet akar nyújtani, mint amire képes.

Aktív témák