80% от служителите по ИТ сигурност редовно наблюдават как хора от персонала прекрачват правилата за ИТ безопасност (снимка: CC0 Public Domain)
Въпреки че постоянно предупреждават служителите да избягват поведение, което може да изложи съответната организация на повишен риск от ИТ пробив, 55% от професионалистите по ИТ сигурност признават, че самите те не са „ангели“ в киберпространството и се е случвало да се занимават с рискови онлайн дейности.
Един на всеки трима е използвал развлекателни или стрийминг услуги в нарушение на организационната политика. 15% са се записали за твърде много имейл абонаменти. 13% поне веднъж са отворили потенциално злонамерени прикачени файлове към електронно писмо. Това разкриват данните на неофициално проучване сред специалистите по ИТ сигурността, които са посетили KnowBe4 на неотдавнашния панаир Infosecurity Europe в Лондон.
Малко под 9% признават, че се е случвало да си позволят да изтеглят неоторизирано приложение, което може да е било или е било злонамерено. 8% са посещавали уебсайт за игри или хазарт. Пак толкова са професионалистите по киберсигурност, които са използвали мобилни носители на данни като USB флашка в разрез с политиките в дадената организация. Същият е делът и на онези, които са използвали неодобрени облачни услуги за архивиране или съхранение на документи, свързани с работата. Най-малко, едва 3%, са специалистите, които са използвали уебсайт за развлечения за възрастни.
Зная, но си трая
Много по-голям брой специалисти по ИТ сигурността признават, че в рамките на организацията, в която работят, са наблюдавали служители да участват в рискови дейности. Всъщност, 80% казват, че редовно забелязват потенциални нарушения на политиките за сигурност от страна на потребителите. Най-често срещаните прояви са свързани с използването на развлекателни или стрийминг услуги.
„Констатациите от това проучване показват не само необходимостта от редовно обучение и създаване на осведоменост относно ИТ сигурността, но и от изграждане на стабилна култура на ИТ сигурност. Това означава да отидем отвъд обучението на персонала относно заплахите, да ги научим да определят как могат да помогнат за предотвратяването им“, казва Джавад Малик, експерт по осведомеността за сигурността в KnowBe4.
„Създаването на култура на сигурност изисква промяна в отношението, поведението, възприятието за отговорност и общите организационни норми. Само така става възможно в ежедневните дейности и начин на мислене да бъдат вградени най-добрите практики. Киберсигурността трябва да бъде призната за приоритет в цялата компания. Ако това бъде направено успешно, потребителите ще бъдат по-внимателни към това, което правят, и ще отделят необходимото време, за да отговорят по подходящ начин на потенциалните заплахи“, допълва Малик.
Последици
Според наличните данни от други проучвания на същата организация, изброените по-горе рискови видове поведение са най-честите предшественици на кибератака или пробив. Инцидентите могат да варират от това организацията да стане жертва на измама до пълноценен пробив в данните или успешна рансъмуер атака.
Следователно фактът, че толкова много специалисти по ИТ сигурността забелязват как хора в организацията си позволяват рисково поведение трябва да бъде причина за голямо безпокойство, казват анализаторите. Още по-обезпокоително е, че измежду самите професионалисти по ИТ сигурност има толкова много кадри, които далеч не са безупречни по отношение на навиците си за ИТ сигурност.
Малко под половината от респондентите в проучването са споделили, че вярват, че хората в организацията им са склонни към рисково поведение, защото не са наясно, че това е проблем. Все пак 36% от професионалистите по ИТ сигурността смятат, че потребителите са напълно наясно, че не трябва да правят това, което правят, но всъщност изобщо не им пука – вечен проблем, когато става въпрос за обучение за информираност за сигурността.
Всички имат грехове
KnowBe4 също така е запитала респондентите кой от персонала, който е натоварен да защитава, е най-склонен да се опита да престъпи най-добрите практики за сигурност. Изводът? 26% казват, че служителите в отделите за продажби и маркетингови функции обикновено са най-безхаберни, когато става дума за киберхигиена.
Притеснителен, но не и изненадващ извод от проучването е, че и сред топ-шефовете на изпълнително ниво има такива, които прекрачват правилата за ИТ сигурност. 17% от анкетираните са посочили, че лидерите на тяхната организация си позволяват волности по отношение на киберсигурността.