Уровень осведомленности сотрудников в вопросах ИБ – исследование LETA
Компания LETA провела исследование с целью определить уровень осведомленности сотрудников российских компаний в области информационной безопасности. Его результаты демонстрируют низкий уровень знаний респондентов в области ИБ, несоблюдение простейших правил защиты информации, высокий риск проникновения в корпоративную сеть, утечки конфиденциальных данных и связанных с этим убытков. Каждый пятый респондент признался, что готов за вознаграждение передать третьим лицам конфиденциальную информацию, к которой он имеет доступ.
Исследование проводилось в августе-сентябре 2013 г. среди сотрудников нескольких сотен российских компаний различных сфер деятельности. В анонимном опросе приняли участие более 1100 офисных работников 25–50 лет, в круг рабочих задач которых не входят вопросы, связанные с информационной безопасностью.
Согласно итогам опроса, степень осведомленности сотрудников российских компаний в вопросах ИБ создает серьезные проблемы для специалистов, отвечающих в организациях за эту сферу: половине опрошенных вообще никогда не сообщали о правилах защиты информации. Остальные были ознакомлены с соответствующими требованиями безопасности только однажды, при поступлении на работу, и лишь 14% респондентов регулярно проходят инструктаж по информационной безопасности. При этом степень риска достаточно велика: 2 из 3 участников опроса говорят, что посещают потенциально опасные сайты с рабочего компьютера.
Как показало исследование, большинство пользователей не осознает угрозы взлома корпоративной сети через электронную почту: 85% ответивших на вопросы сообщили, что открывают письма от незнакомых отправителей. Есть и риск утечки данных – 60% респондентов пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома.
Некоторые результаты исследования не самым лучшим образом характеризуют работу не только специалистов по ИБ, но и менеджеров по персоналу: 37% участников опроса используют рабочую почту для ведения личной переписки.
Зачастую работники не соблюдают и элементарных правил безопасности: 25% пользователей никогда не блокируют свой компьютер, покидая рабочее место, и таким образом оставляют открытым доступ к корпоративной информации кому угодно. Треть сотрудников хранит пароли на листке бумаги или в файле на рабочем столе своего компьютера. Функцией «Запомнить пароль» пользуются 11% опрошенных, причем это не только пароли для почты, в каждой компании есть системы или базы данных, доступ к которым имеет ограниченное количество сотрудников. Наконец, каждый третий респондент использует один пароль для всех случаев жизни.
Более 60% респондентов не защищают свои смартфоны паролем. Поскольку все больше сотрудников используют мобильные устройства в рабочих целях, это может стать еще одним каналом утечки данных.
Результаты опроса также показали, что 8 из 10 пользователей не уничтожают носители, содержащие корпоративную информацию. Известно, что бумажные или электронные носители – один из самых распространенных каналов утечки данных: конфиденциальная информация становится достоянием общественности или злоумышленников после того, как работники отправляют ее в мусорное ведро, а в США суды оправдывают компании, извлекающие промышленные секреты из мусора конкурентов: все, что выброшено сотрудниками, признается ненужным организации.
Как подчеркивают в LETA, необходимо помнить о том, что причиной большинства ИБ-инцидентов являются именно ошибки или небрежность персонала. Поэтому повышение уровня осведомленности сотрудников в вопросах ИБ – одна из важнейших составляющих программы защиты современной организации.