Ryzyko utraty danych o krytycznym znaczeniu dla działania firm jest w Polsce coraz wyższe. Potrzebna jest nowa polityka bezpieczeństwa i strategie, koncentrujące się na wszystkich źródłach zagrożeń, bez szkody dla efektywnego i elastycznego rozwoju – wynika z badania przeprowadzonego przez analityków Cisco.
Zaprezentowany w październiku raport obnażył skalę zagrożeń wewnętrznych w firmie, wynikającą z faktu, iż główną uwagę przy opracowywaniu polityki bezpieczeństwa i budowaniu systemów zabezpieczeń poświęca się zewnętrznym zagrożeniom, związanym z działalnością hakerów i cyberprzestępców.
Jak pokazują wyniki badań, najsłabszym ogniwem w systemach bezpieczeństwa są pracownicy. Jednak ryzyko z nimi związane nie wynika ze złej woli, a ignorancji i samozadowolenia. Brak informacji o codziennych zagrożeniach sprawił, że zaczęli traktować firmowy system zabezpieczeń jako niezawodny i zwalniający ich z jakiejkolwiek odpowiedzialności. Nieco inne podejście prezentowała grupa użytkowników upatrujących w systemach bezpieczeństwa przeszkadzający w pracy hamulec dla innowacyjności.
Z badania Cisco wynika, że aż 83 proc. ankietowanych nie zdaje sobie sprawy z istnienia nowych, poważnych zagrożeń dla bezpieczeństwa. 55 proc. uważa, że sposób zachowania się pracowników jest jednym z dwóch największych zagrożeń dla bezpieczeństwa danych i ustępuje tylko zagrożeniom ze strony zorganizowanych grup cyberprzestępczych (62 proc.). 55 proc. sądzi, że w ich firmie funkcjonuje polityka bezpieczeństwa, ale aż 30 proc. przyznaje, że nic na ten temat nie wie. 57 proc. deklaruje przestrzeganie firmowych reguł polityki bezpieczeństwa na niskim lub umiarkowanym poziomie, ale jeden na ośmiu ankietowanych przyznaje się do ich aktywnego omijania. Natomiast 34 proc. uważa, że system bezpieczeństwa IT w ich firmie hamuje innowacyjność, przeszkadza we współpracy i powoduje, iż wykonywanie pracy jest trudniejsze.
Największe zagrożenia dla bezpieczeństwa danych 62 proc. ankietowanych upatruje w zorganizowanej cyberprzestępczości, ale aż 55 proc. wymieniło zachowanie pracowników. Wszyscy objęci badaniem przyznali, że wykorzystują firmową sieć również do celów prywatnych, głównie do obsługi osobistej bankowości, zakupów w internecie i sieci społecznościowych.
– Badanie Cisco EMEAR Security Report pokazuje, jak złożone problemy dotyczące bezpieczeństwa IT stają przed polskimi firmami. (…) Pracownik, który ma ślepe zaufanie do firmowego systemu bezpieczeństwa staje się niejako jednym z jego głównych słabych punktów – mówi Gaweł Mikołajczyk, ekspert ds. bezpieczeństwa z Cisco Poland. – Firmy, które wciąż wykorzystują zestaw niezintegrowanych, punktowych rozwiązań zapewniających ochronę różnych elementów systemu, same zwiększają poziom ryzyka. Tego typu klasyczne podejście do zabezpieczania IT w nieunikniony sposób prowadzi bowiem do pojawienia się luk, które mogą zostać wykorzystane do ataku – ostrzega ekspert Cisco.
W ramach badania analitycy Cisco zdefiniowali główne profile zachowań polskich pracowników w kontekście bezpieczeństwa IT. Każdy profil prezentuje inny poziom zagrożenia dla bezpieczeństwa firmowych danych i wymaga innego rozwiązania:
- Pracownicy “świadomi zagrożeń” – wiedzą, jakie jest ryzyko i starają się ściśle przestrzegać zasad bezpieczeństwa IT podczas pracy.
- Pracownicy “mający dobre intencje” – starają się przestrzegać reguł polityki bezpieczeństwa, ale w rzeczywistości stosują je na zasadzie “chybił – trafił”.
- Pracownicy “zadowoleni z siebie” – są przekonani, że firmowy system bezpieczeństwa zrobi wszystko za nich. Uważają, że nie są indywidualnie odpowiedzialni za bezpieczeństwo firmowych danych, a jego zapewnienie nie wymaga od nich żadnej aktywności.
- Pracownicy “znudzeni i cyniczni” – uważają, że opinie o wysokim poziomie zagrożeń są przesadzone, a firmowy system zabezpieczeń ogranicza ich wydajność, więc są gotowi do omijania reguł firmowej polityki bezpieczeństwa.
Specjaliści z Cisco podkreślają, że istnieje pilna konieczność modyfikacji polityk bezpieczeństwa w firmach, tak, by nadal były gwarantem najlepszej możliwej ochrony przed zewnętrznymi atakami, ale jednocześnie zostały przystosowane do realnych zachowań pracowników.
Raport został opracowany na podstawie badań, które objęły ponad 1000 pracowników firm w Polsce.
1 Comment
Czyli skupiamy się na cyberprzestępcach, podczas gdy najbardziej niebezpieczny jest znudzony, cyniczny i zadowolony z siebie pracownik. Najciemniej pod latarnią.