Сотрудники часто используют личные незащищенные
флэш-накопители
для хранения ценной корпоративной информации. К такому выводу пришли
авторы проведенного в США по заказу компании SanDisk исследования
о рисках использования незащищенных
USB-накопителей. Опрос рядовых сотрудников и
ИТ-специалистов компаний показал, что руководители
ИТ-отделов не имеют представления о масштабах распространения незащищенных
флэш-накопителей в своих организациях: 77% опрошенных сотрудников корпораций используют личные
флэш-накопители для хранения и переноса служебных данных. Однако опрошенные
ИТ-специалисты оценивали долю сотрудников, использующих личные
флэш-накопители в служебных целях, лишь в 35%.
Результаты опросов также показали, что чаще всего пользователи копируют
на личные флэшки данные о заказчиках (25%), информацию финансового
характера (17%), бизнес-планы
(15%), информацию о сотрудниках компании (13%), маркетинговые планы
(13%), объекты интеллектуальной собственности (6%), а также исходные
коды программ (6%). Главным достоинством USB-накопителей является мобильность, но она создает значительный риск потери данных.
«Большинство ИТ-директоров понимает, что
утечка информации может привести к краже личности, похищению
интеллектуальной собственности или раскрытию коммерческих тайн, а также
повлечь значительный ущерб как в смысле имиджа, так и с финансовой
точки зрения, — говорит Джил Майлдворс (Gil Mildworth), старший
директор по маркетингу в подразделении SanDisk по корпоративным
решениям. — Результаты нашего опроса говорят о том, что, несмотря
на некоторую осведомленность о возможных рисках, связанных
с использованием незащищенных USB-накопителей, руководители ИТ-отделов
еще не начали разработку эффективных политик, внедрение технологических
решений и разъяснительную работу среди сотрудников с целью уменьшения
этих рисков. Значительное снижение подобных рисков, как и повышение
мобильности и продуктивности сотрудников, возможны только в случае
принятия административного решения (на уровне руководства)
о развертывании систем интеллектуального управления устройствами,
систем мониторинга и применения соответствующих общекорпоративных
политик безопасности».
Примерно 23% опрошенных пользователей были либо вовсе не знакомы с корпоративными политиками в отношении флэш-накопителей,
либо знали лишь о существовании подобных политик, но не имели полного
представления об их сути. В то же время 44% респондентов отметили, что,
насколько им известно, их компания не запрещает копирование
корпоративных данных на личные USB-флэш-накопители. Еще
16% опрошенных ответили, что они не знают о таком запрете, в то время
как лишь 40% пользователей наверняка знают, что в их компании
существует запрет на копирование корпоративных данных на личные флэш-накопители.
Около 77% сотрудников корпораций используют личные незащищенные флэшки для хранения и переноса ценной корпоративной информации
Ответы ИТ-специалистов соответствовали результатам опросов пользователей. Примерно 21% ИТ-специалистов
считает, что сотрудники компании лишь немного знакомы с принятыми
корпоративными политиками, 33% опрошенных считают, что сотрудники
посредственно знакомы с политиками, 28% полагают, что сотрудники хорошо
знакомы с корпоративными правилами, и лишь 19% считают, что сотрудники
полностью осведомлены о принятых в компании правилах и политиках.
Отечественные эксперты отмечают, что полученные в США результаты
в полной мере нельзя перенести на Россию. В нашей стране специалисты
по ИБ и ИТ в организациях очень хорошо осведомлены об опасности
неконтролируемого использования сменных носителей и внешних устройств,
считают аналитики компании Perimetrix. Согласно исследованию
«Инсайдерские угрозы в России 2008», в ходе которого аналитический
центр компании опросил более 450 организаций, специалисты по ИБ и ИТ
указали, что именно мобильные накопители являются самым опасным каналом
утечки. Он получил 74% голосов, обогнав электронную почту (58%), веб
(26%) и принтеры (18%). «Высшие исполнительные лица крупных и средних
организаций, не относящиеся к ИТ или ИБ, тоже прекрасно понимают, что
их сотрудникам не нужно хранить конфиденциальную информацию на флэшках,
так как это может привести к случайной или злоумышленной утечке, —
говорит директор по развитию бизнеса компании Perimetrix Алексей Доля. Таким образом, российский бизнес и государственные организации прекрасно осведомлены об опасности флэш-накопителей и ни в коем случае не недооценивают этот канал утечки».
Другое мнение высказали в компании InfoWatch. «Проблема утечки
корпоративной информации при помощи флэшек недооценивается, — считает
главный аналитик InfoWatch Николай Федотов. —
Но ровно в той же степени, в какой недооценивается опасность утечек
на любых других мобильных носителях. Наш мониторинг показывает, что
очень большая доля утечек информации (39% от опубликованных случаев
за 2007 г.) связана с потерями и кражами ноутбуков. Флэшку потерять
даже легче. И украсть ее тоже могут. Тем не менее, такие накопители
широко используются для конфиденциальных данных».
Сказанное выше, по словам Федотова, относится
к незлонамеренным утечкам (таковых, по его оценкам, 71% в 2007 г.).
«Что касается намеренной кражи данных, то здесь роль
флэш-накопителей оценивается по достоинству — как службами ИБ, так и злоумышленниками», — подчеркнул эксперт.
Как считают специалисты, одними запретами и разъяснительной работой
с сотрудниками проблему утечки информации решить не удастся. «Частые
утечки, связанные с утратой ноутбуков, не привели на Западе к запретам
их использования, — говорит Николай Федотов. — Руководство предприятий
начало вводить обязательное шифрование данных. А производители
ноутбуков начали встраивать стойкое шифрование прямо в контроллер
жесткого диска. Производители флэш-накопителей
неизбежно должны пойти тем же путем. К сожалению, российская тенденция,
которую мы наблюдаем, тянет нас совсем в другом направлении. Вместо
защиты данных вводятся тупые запреты. В том числе, запрет
на использование флэш-накопителей. Хотя элементарное шифрование — эффективнее».
http://www.cnews.ru
