Повечето компании се тревожат от външни заплахи за сигурността на информационните си системи. Но инсайдерите, които имат права за достъп до вътрешнокорпоративна информация, са още по-голям риск, алармира ново проучване на Symantec.
В епохата на развитие на глобалния пазар компании и правителствени учреждения от всички размери се сблъскват с все по-големи трудности при защита от конкуренти на най-ценния си ресурс – интелектуалната собственост, коментират от компанията за сигурност.
Кражбата на интелектуална собственост коства на бизнеса в САЩ над 250 милиарда долара годишно, според доклад на ФБР. Основният фактор в изтичането на информация са именно инсайдерите.
Типичният профил на служител, който краде информация, е мъж на 37 години на техническа позиция, вкл. инженер, учен, мениджър и програмист. Повечето от тези хора са подписали споразумения за неразгласяване на информация. Но изтичането на данни от компаниите показва, че само наличието на политики по сигурността, без ефективното им прилагане, не дава резултат.
Информация крадат най-често напускащите служители. Около 65% от инсайдерите постъпват на работа в конкурентна компания или започват свой бизнес. Около 20% от инсайдерите се наемат от външни поръчители, а 25% предават информацията на друга компания, установява проучването. Над половината данни се крадат в последния месец от пребиваване на инсайдера в дадена компания.
По правило, инсайдерите крадат информация, до която имат разрешен достъп – например, копират данни, с които работят. Най-често, в 52% от случаите това са търговски тайни. Бизнес информация от рода на данни за плащания от клиенти и ценови листи се краде в 30% от случаите. 20% от кражбите са свързани с изходен код на софтуер, 12% – с данни за клиенти, а 6% са бизнес планове.
Повечето инсайдери използват интернет и електронна поща, канали за отдалечен достъп и услуги за предаване на файлове, за да изпратят откраднатите данни.
Как компаниите да се предпазят от кражбата на интелектуална собственост? Експертите на Symantec дават практически препоръки на мениджърите и ИТ специалистите.
Препоръчва се компаниите да създадат отделен екип от специалисти по HR, информационна сигурност и право, който да сформира политики, да провежда обучения и да следи дейността на проблемните служители. Трябва да се оцени нивото на риска, като се отчитат моралът на служителите и действията на конкурентите.
Тренингите и обученията са необходим елемент за обезпечаване на ефективна политика срещу инсайдерите. Повечето крадци на информация са подписали споразумения за неразгласяване, но това не е достатъчно. Компаниите трябва да обяснят по-задълбочено на служителите какви данни могат да изнасят и какви не, когато сменят работата си, и до какво би довело неспазването на условията в споразумението за конфиденциалност.
Когато се работи с отворени стандарти и технологии като open source и Linux — всичко това са глупости за инсайдерите.