Понимание инсайдерских угроз для Европы

Понимание инсайдерских угроз для Европы

35% сотрудников из Великобритании, Франции, Германии и Италии признают, что были вовлечены в нарушение безопасности, создавая тем самым проблемы для директоров по информационной безопасности в тех случаях, когда дело доходит до защиты данных компании, особенно в свете вступления в силу в начале 2018 года регламента GDPR.

Новое законодательство не только требует уведомлять о нарушении в течение 72 часов, но и налагает строгие штрафы в размере до 4% от мирового годового оборота.

Тревожные уровни рискованного поведения

Выявленные нарушения являются результатом преднамеренной или случайной деятельности сотрудников, имеющих злые намерения, небрежности персонала, ограниченной осведомленности в вопросах безопасности и неэффективной корпоративной политики. В частности, исследование, проведенное компанией Atomik Research, выявило следующие тревожные уровни рискованного поведения сотрудников:

  • 14% сотрудников готовы рисковать своей работой, продавая регистрационные данные аутсайдерам, и 40% из них сделают это менее чем за 200 фунтов стерлингов. 55% опрошенных сотрудников из Великобритании расстанутся с учетными данными именно за такую сумму.
  • Чуть менее трети (29%) респондентов целенаправленно отправляли запрещенную информацию третьей стороне, а 15% европейских сотрудников забирали с собой важную для бизнеса информацию, переходя с одной работы на другую. 59% планировали использовать эту информацию на своем следующем месте работы.

Недостаток осведомленности сотрудников

Результаты также показывают серьезный недостаток осведомленности сотрудников о том, как их поведение повышает риски, с которыми сталкивается организация:

  • Почти половина (43%) европейских сотрудников не думают, что их организация в настоящее время уязвима к угрозе безопасности, создаваемой инсайдерами, а 32% либо не знают, либо не уверены относительно последствий нарушения данных.
  • Около четверти респондентов (22%) либо убеждены, что нарушения в данных не повлекли за собой дополнительные расходы для их работодателей, либо не уверены в этом.
  • 39% европейских сотрудников сообщили, что не проходили обучения относительно защиты данных, и более четверти (27%) организаций либо не имеют политики безопасности для предотвращения потери данных, либо не смогли обеспечить ее соблюдение.

Европейские тенденции:

Исследование раскрывает некоторые интересные тенденции:

  • Итальянские респонденты (45%) более склонны к участию в инцидентах, влекущих за собой нарушение безопасности, по сравнению с респондентами из Великобритании (27%).
  • Французские сотрудники (36%) более склонны замечать, что их организация уязвима для угроз безопасности в результате хакерских атак на сеть, действий инсайдеров, использования украденных учетных данных, чем сотрудники из Италии (33%), Великобритании (22%) и Германии (15%).
  • Облачные сервисы представляют собой сферу неопределенности, когда речь заходит о безопасности. В Великобритании 55% сотрудников не уверены, что их данные более или менее безопасны в облаке, а 38% вообще не задумываются о безопасности перед загрузкой файлов. Не сильно отстает в этих вопросах и Франция — 52% и 33% соответственно. Значительно ниже эти статистические данные в Италии (33% и 17% соответственно) и Германии (33% и 21% соответственно).
  • Повсеместно присутствует необходимость обучения в области защиты данных. Почти половина (47%) французских сотрудников никогда не проходили подобного обучения, причем в Великобритании этот показатель составляет 41%, в Германии — 37%, в Италии — 31%.

«Если вы способны читать между строк, то сразу заметите — большинство организаций по-прежнему не имеют никакого понимания о том, что делают их сотрудники в Интернете. Тот факт, что значительная часть сотрудников готова продать свои учетные данные, наталкивает на вывод, что у них нет уверенности в способности компании выявить вредоносное поведение. Когда вы понимаете, что подавляющее большинство всех нарушений данных было так или иначе вызвано действиями инсайдеров, то удивляет, почему предприятия до сих пор не решили проблему получения информации о том, что происходит на конечных точках, в облаках и корпоративных сетях», — сказала Кристи Вайт, генеральный директор Dtex Systems.

Understanding Europe’s insider threats

Другие записи

  • МТС проверили на защиту персональных данных
  • Информационная безопасность Российской Федерации или что показали события 29 марта?
  • Форум директоров по информационной безопасности. Послевкусие
  • Главные препятствия для женщин, работающих в области технологий
  • Рособразования взялось за защиту персональных данных
  • Взлом GSM

© editor for Царев Евгений, 2017. | Permalink | No comment

Feed enhanced by Better Feed from Ozh

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации