`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Чтобы раздобыть конфиденциальную информацию компании, надо просто пройтись по кабинетам

+35
голосов

В 88% случаев для того, чтобы получить конфиденциальную информацию той или иной компании, достаточно просто туда зайти. Именно так говорят исследования Ponemone Institute, результатами которых я не могу не поделиться с ИБ-сообществом. Отдельные моменты выделены "болдом" — именно их я полагаю наиболее важным для безопасников.

Ponemon Institute, расположенный в Траверс Сити, США, отправил своих исследователей в 47 офисов 7-ми больших компаний, которые заранее дали добро на проведение  опыта, который предложил университет. Сам опыт заключался в следующем. Исследователи играли роль обычных сотрудников компании. Руководство компаний было в курсе, где и когда этот эксперимент будет проводиться. Рядовые сотрудники компаний — нет.

Исследователи на протяжении двух часов просто гуляли по офису, фотографировали экраны компьютеров, документы с пометкой «секретно» забирали с собой. И все это происходило на глазах сотрудников компании. В большинстве случаев рядовые сотрудники не задавали никаких вопросов и не пытались противодействовать краже. Даже те ситуации, когда нарушитель открывал Excel таблицу на каком-либо компьютере и фотографировал ее, оставались без внимания.

«Мы ожидали, что кто-нибудь скажет что-то типа «Эй, вы что тут делаете?», — сказал Лари Понемон, основатель и глава института. Всего только в 7-и случаях сотрудник противостоял исследователю при попытке сфотографировать экран.  В 4-х — при попытке кражи конфиденциальных документов. И только в 2-х случаях, когда исследователи свободно гуляли по офису, разглядывали вещи сотрудников, заглядывали в их мониторы, рассматривали принтеры и факсы. И только в одном случае о подозрительных действиях было сообщено руководству компании. Украденные документы содержали информацию о сотрудниках компании, о клиентах. Были там и финансовые документы, учетные данные и другая конфиденциальная информация.

Стоит отметить, что успешность исследования зависела от нескольких факторов. К примеру, от расположения офиса и от вида работы, выполняемой в том или ином отделе. Скажем, в помещениях со свободной планировкой (open-plan offices) исследователям было легче собрать информацию, чем по кабинетам.

В отделах обслуживания клиентов, сбыта товаров , то есть там, где есть поток незнакомых лиц, конфиденциальной информацией завладеть легче, чем, к примеру, в бухгалтерии. Справочные службы IT и отдел обработки данных располагаются примерно посередине. Только в пяти научно-исследовательских отделах исследователям не удалось завладеть какой-либо информацией.

Еще один момент, на который исследователи обращали внимание, заключался в эффективности "защитных экранов". Если говорить вкратце, то эффект от них незначительный. Также исследователи обращали внимание на эффективность политики "чистого рабочего стола" (корпоративная директива, которая определяет, в каком виде сотрудники должны оставлять свои рабочие места, когда они оставляют их без присмотра или покидают офис), уничтожения документов в машинах измельчения бумаги (шредерах), на практику уведомления служб безопасности о подозрительных действиях.

В то же время был отмечен тот факт, что у исследователей было намного больше времени, чем могло бы быть у настоящих злоумышленников. Однако, примерно в половине офисов первые конфиденциальные документы были найдены в течение 15-ти минут.

---

Какие  из этого всего можно сделать выводы? Ну, во-первых, все-таки банальным проникновением в здание можно добиться куда большего, чем долгим и нудным изучением уязвимостей сайта компании. Хотя, конечно, если компания далеко, то это становится серьезным препятствием. Т.е. локальные конкуренты и злоумышленники опаснее.

Во-вторых, не стоит надеяться на лояльность работников компании. Как и на их сознательность — пока это не закреплено законодательно, никто и не пошевелится. Так что спасение утопающих — дело рук самих утопающих.

Ну, и в-третьих, лучшее средство от физического проникновения — физическая же безопасность.Т.е. банальные стены и двери кабинетов, которые желательно отпираются  карт-ключами или чем-то подобным. Потому что все остальное слишком заставляет полагаться на сознательность сотрудника, а тут уж см. п. 2.

А вы что думаете по этому поводу?

Чтобы раздобыть конфиденциальную информацию компании, надо просто пройтись по кабинетам

+35
голосов

Напечатать Отправить другу

Читайте также

Как ни странно, но я бы попробовал раз в пол года проводить инструктаж по безопасности среди старых сотрудников.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT