В 88% случаев для того, чтобы получить конфиденциальную информацию той или иной компании, достаточно просто туда зайти. Именно так говорят исследования Ponemone Institute, результатами которых я не могу не поделиться с ИБ-сообществом. Отдельные моменты выделены "болдом" - именно их я полагаю наиболее важным для безопасников.
Ponemon Institute, расположенный в Траверс Сити, США, отправил своих исследователей в 47 офисов 7-ми больших компаний, которые заранее дали добро на проведение опыта, который предложил университет. Сам опыт заключался в следующем. Исследователи играли роль обычных сотрудников компании. Руководство компаний было в курсе, где и когда этот эксперимент будет проводиться. Рядовые сотрудники компаний – нет.
Исследователи на протяжении двух часов просто гуляли по офису, фотографировали экраны компьютеров, документы с пометкой «секретно» забирали с собой. И все это происходило на глазах сотрудников компании. В большинстве случаев рядовые сотрудники не задавали никаких вопросов и не пытались противодействовать краже. Даже те ситуации, когда нарушитель открывал Excel таблицу на каком-либо компьютере и фотографировал ее, оставались без внимания.
«Мы ожидали, что кто-нибудь скажет что-то типа «Эй, вы что тут делаете?», - сказал Лари Понемон, основатель и глава института. Всего только в 7-и случаях сотрудник противостоял исследователю при попытке сфотографировать экран. В 4-х – при попытке кражи конфиденциальных документов. И только в 2-х случаях, когда исследователи свободно гуляли по офису, разглядывали вещи сотрудников, заглядывали в их мониторы, рассматривали принтеры и факсы. И только в одном случае о подозрительных действиях было сообщено руководству компании. Украденные документы содержали информацию о сотрудниках компании, о клиентах. Были там и финансовые документы, учетные данные и другая конфиденциальная информация.
Стоит отметить, что успешность исследования зависела от нескольких факторов. К примеру, от расположения офиса и от вида работы, выполняемой в том или ином отделе. Скажем, в помещениях со свободной планировкой (open-plan offices) исследователям было легче собрать информацию, чем по кабинетам.
В отделах обслуживания клиентов, сбыта товаров , то есть там, где есть поток незнакомых лиц, конфиденциальной информацией завладеть легче, чем, к примеру, в бухгалтерии. Справочные службы IT и отдел обработки данных располагаются примерно посередине. Только в пяти научно-исследовательских отделах исследователям не удалось завладеть какой-либо информацией.
Еще один момент, на который исследователи обращали внимание, заключался в эффективности "защитных экранов". Если говорить вкратце, то эффект от них незначительный. Также исследователи обращали внимание на эффективность политики "чистого рабочего стола" (корпоративная директива, которая определяет, в каком виде сотрудники должны оставлять свои рабочие места, когда они оставляют их без присмотра или покидают офис), уничтожения документов в машинах измельчения бумаги (шредерах), на практику уведомления служб безопасности о подозрительных действиях.
В то же время был отмечен тот факт, что у исследователей было намного больше времени, чем могло бы быть у настоящих злоумышленников. Однако, примерно в половине офисов первые конфиденциальные документы были найдены в течение 15-ти минут.
---
Какие из этого всего можно сделать выводы? Ну, во-первых, все-таки банальным проникновением в здание можно добиться куда большего, чем долгим и нудным изучением уязвимостей сайта компании. Хотя, конечно, если компания далеко, то это становится серьезным препятствием. Т.е. локальные конкуренты и злоумышленники опаснее.
Во-вторых, не стоит надеяться на лояльность работников компании. Как и на их сознательность - пока это не закреплено законодательно, никто и не пошевелится. Так что спасение утопающих - дело рук самих утопающих.
Ну, и в-третьих, лучшее средство от физического проникновения - физическая же безопасность.Т.е. банальные стены и двери кабинетов, которые желательно отпираются карт-ключами или чем-то подобным. Потому что все остальное слишком заставляет полагаться на сознательность сотрудника, а тут уж см. п. 2.
А вы что думаете по этому поводу?
Взгляд на информационную безопасность компании «СёрчИнформ» и сторонних экспертов.
Комментариев нет:
Отправить комментарий