ИТ-специалисты компаний как минимум вдвое недооценивают риски
использования работниками незащищенных флэшек. Между тем, до 77%
сотрудников международных корпораций используют такие USB-накопители
для хранения корпоративных данных. По словам российских специалистов,
наш бизнес зачастую использует неправильный подход для предотвращения
этих утечек. Сотрудники часто используют личные незащищенные
флэш-накопители для хранения ценной корпоративной информации. К такому
выводу пришли авторы проведенного в США по заказу компании SanDisk
исследования о рисках использования незащищенных USB-накопителей. Опрос
рядовых сотрудников и ИТ-специалистов компаний показал, что
руководители ИТ-отделов не имеют представления о масштабах
распространения незащищенных флэш-накопителей в своих организациях: 77%
опрошенных сотрудников корпораций используют личные флэш-накопители для
хранения и переноса служебных данных. Однако опрошенные ИТ-специалисты
оценивали долю сотрудников, использующих личные флэш-накопители в
служебных целях, лишь в 35%.
Результаты опросов также показали,
что чаще всего пользователи копируют на личные флэшки данные о
заказчиках (25%), информацию финансового характера (17%), бизнес-планы
(15%), информацию о сотрудниках компании (13%), маркетинговые планы
(13%), объекты интеллектуальной собственности (6%), а также исходные
коды программ (6%). Главным достоинством USB-накопителей является
мобильность, но она создает значительный риск потери данных.
«Большинство
ИТ-директоров понимает, что утечка информации может привести к краже
личности, похищению интеллектуальной собственности или раскрытию
коммерческих тайн, а также повлечь значительный ущерб как в смысле
имиджа, так и с финансовой точки зрения, — говорит Джил Майлдворс (Gil
Mildworth), старший директор по маркетингу в подразделении SanDisk по
корпоративным решениям. — Результаты нашего опроса говорят о том, что,
несмотря на некоторую осведомленность о возможных рисках, связанных с
использованием незащищенных USB-накопителей, руководители ИТ-отделов
еще не начали разработку эффективных политик, внедрение технологических
решений и разъяснительную работу среди сотрудников с целью уменьшения
этих рисков. Значительное снижение подобных рисков, как и повышение
мобильности и продуктивности сотрудников, возможны только в случае
принятия административного решения (на уровне руководства) о
развертывании систем интеллектуального управления устройствами, систем
мониторинга и применения соответствующих общекорпоративных политик
безопасности».
Примерно 23% опрошенных пользователей были либо
вовсе не знакомы с корпоративными политиками в отношении
флэш-накопителей, либо знали лишь о существовании подобных политик, но
не имели полного представления об их сути. В то же время 44%
респондентов отметили, что, насколько им известно, их компания не
запрещает копирование корпоративных данных на личные
USB-флэш-накопители. Еще 16% опрошенных ответили, что они не знают о
таком запрете, в то время как лишь 40% пользователей наверняка знают,
что в их компании существует запрет на копирование корпоративных данных
на личные флэш-накопители.
Ответы ИТ-специалистов
соответствовали результатам опросов пользователей. Примерно 21%
ИТ-специалистов считает, что сотрудники компании лишь немного знакомы с
принятыми корпоративными политиками, 33% опрошенных считают, что
сотрудники посредственно знакомы с политиками, 28% полагают, что
сотрудники хорошо знакомы с корпоративными правилами, и лишь 19%
считают, что сотрудники полностью осведомлены о принятых в компании
правилах и политиках.
Отечественные эксперты отмечают, что
полученные в США результаты в полной мере нельзя перенести на Россию. В
нашей стране специалисты по ИБ и ИТ в организациях очень хорошо
осведомлены об опасности неконтролируемого использования сменных
носителей и внешних устройств, считают аналитики компании Perimetrix.
Согласно исследованию «Инсайдерские угрозы в России 2008», в ходе
которого аналитический центр компании опросил более 450 организаций,
специалисты по ИБ и ИТ указали, что именно мобильные накопители
являются самым опасным каналом утечки. Он получил 74% голосов, обогнав
электронную почту (58%), веб (26%) и принтеры (18%). «Высшие
исполнительные лица крупных и средних организаций, не относящиеся к ИТ
или ИБ, тоже прекрасно понимают, что их сотрудникам не нужно хранить
конфиденциальную информацию на флэшках, так как это может привести к
случайной или злоумышленной утечке, — говорит директор по развитию
бизнеса компании Perimetrix Алексей Доля. Таким образом, российский
бизнес и государственные организации прекрасно осведомлены об опасности
флэш-накопителей и ни в коем случае не недооценивают этот канал утечки».
Другое
мнение высказали в компании InfoWatch. «Проблема утечки корпоративной
информации при помощи флэшек недооценивается, — считает главный
аналитик InfoWatch Николай Федотов. — Но ровно в той же степени, в
какой недооценивается опасность утечек на любых других мобильных
носителях. Наш мониторинг показывает, что очень большая доля утечек
информации (39% от опубликованных случаев за 2007 г.) связана с
потерями и кражами ноутбуков. Флэшку потерять даже легче. И украсть ее
тоже могут. Тем не менее, такие накопители широко используются для
конфиденциальных данных».
Сказанное выше, по словам Федотова,
относится к незлонамеренным утечкам (таковых, по его оценкам, 71% в
2007 г.). «Что касается намеренной кражи данных, то здесь роль
флэш-накопителей оценивается по достоинству — как службами ИБ, так и
злоумышленниками», — подчеркнул эксперт.
Как считают
специалисты, одними запретами и разъяснительной работой с сотрудниками
проблему утечки информации решить не удастся. «Частые утечки, связанные
с утратой ноутбуков, не привели на Западе к запретам их использования,
— говорит Николай Федотов. — Руководство предприятий начало вводить
обязательное шифрование данных. А производители ноутбуков начали
встраивать стойкое шифрование прямо в контроллер жесткого диска.
Производители флэш-накопителей неизбежно должны пойти тем же путем. К
сожалению, российская тенденция, которую мы наблюдаем, тянет нас совсем
в другом направлении. Вместо защиты данных вводятся тупые запреты. В
том числе, запрет на использование флэш-накопителей. Хотя элементарное
шифрование — эффективнее».
