Bezpieczeństwo firmowych danych - praktyki pracowników najsłabszym ogniwem

72 proc. pracowników chętnie współdzieli wrażliwe firmowe informacje, a zabieranie ich z miejsca pracy uważa za normalną praktykę co trzeci badany.

Jeśli trzech na czterech pracowników ignoruje poufność przetwarzanych firmowych danych, to należy pomyśleć o technicznych środkach ochrony odcinając im kluczowe zasoby. Jednak to wybór między bezpieczeństwem danych, a efektywnością pracownika. 

ANZENA - ekspert ochrony danych - przypomina, jak zachować równowagę między produktywnością ludzi, a bezpieczeństwem firmy.

Wyobraźmy sobie eksperyment, w którym każdy pracownik wybranej firmy na jeden dzień uzyskuje dostęp do wszystkich jej danych i może się nimi bez przeszkód dzielić z innymi. Szokujące? Oburzające? Posypią się gromy ekspertów? Tymczasem w świetle najnowszych ustaleń można tylko z niewielkim przymrużeniem oka powiedzieć, że wiele firm podobny eksperyment prowadzi od lat na samych sobie. Sprawdzając ryzyko wycieku danych w ponad tysiącach firm i organizacji firma Varonis ujawniła, że na 236 mln skontrolowanych folderów tylko 10 proc. chroniono ograniczeniem dostępu. Co więcej, 47 proc. prześwietlonych podmiotów udostępniało swoim pracownikom ponad tysiąc wrażliwych dokumentów, znacząco zwiększając ryzyko wyprowadzenia danych poza firmę.

Równolegle sondaż End-User Security firmy Dell ujawnił, że 72 proc. pracowników chętnie współdzieli wrażliwe firmowe informacje, a zabieranie ich z miejsca pracy uważa za normalną praktykę co trzeci badany. Pracownicy swobodnie udostępniają zastrzeżone dane nie myśląc o konsekwencjach potencjalnego wycieku i często bez właściwego nadzoru w miejscu pracy.

Co ciekawe, mimo że odpowiedzialność za firmowe zasoby czuje 65 proc. badanych, a 36 proc. uważa się za "świadomych powagi tematu", to nadal 45 proc. osób przyznaje, że sporadycznie zarządza danymi w niewłaściwy sposób. Jaki? Ponad połowa pracowników (56 proc.) backupuje swoją pracę - w tym poufne dokumenty - korzystając z publicznych usług chmurowych jak Dropbox, Google Drive czy iCloud. Niewiele mniej (49 proc.) korzysta w pracy z prywatnego konta mailowego, sięga do firmowych zasobów z publicznego WiFi (46 proc.) lub przesyła poufne pliki podmiotom zewnętrznym (45 proc.). Co czwarty ankietowany robi to, aby "usprawnić wykonanie swojej pracy", a niemal co piąty "nie wiedział, że robi coś niebezpiecznego". Do świadomego działania na szkodę pracodawcy wprost przyznało się 3 proc. badanych. Skąd ta niefrasobliwość?

- Beztroska pracowników może wynikać z faktu, że przetwarzane dane nie są ich własnością, a "jedynie narzędziem pracy u kogoś, kto sam powinien się o nie martwić" - komentuje Krystian Smętek, inżynier systemowy rozwiązań StorageCraft ShadowProtect SPX z firmy ANZENA . - Pamiętajmy, że wiele osób wciąż bezkrytycznie ujawnia i duplikuje swoje dane w sieci, jeśli tylko profit obiecany za takie działanie wyda im się wystarczająco atrakcyjny. Dla jednych tym profitem będzie skrócenie czasu pracy, dla innych nowy iPhone za udział w podejrzanym konkursie pytającym o poufne firmowe dane.

Sami autorzy raportu zdają się rozgrzeszać badanych tezą, że za wieloma przypadkami łamania poufności stoją motywacje biznesowe. Pracownicy pytani o powody swych ryzykownych działań odpowiadali, że udostępniają dane np. na polecenie kierownika (43 proc. odpowiedzi), gdy oceniają ryzyko dla firmy jako niskie, a możliwość zysku jako wysoką (23 proc.) i w poczuciu, że udostępnienie pozwoli efektywniej pracować im (22 proc.) lub osobie, która taki dostęp uzyska (13 proc.).

Jak walczyć z takimi postawami? "Edukując pracowników" - podstawowe hasło bezpieczeństwa IT powraca tu jak mantra. Niestety w tym przypadku szkolenia ludzi to za mało. Z badań Dell wynika, że 18 proc. osób po treningu ochrony danych wciąż zachowywała się w sposób niebezpieczny, a 24 proc. z nich świadomie złamała przyswojone zasady bezpieczeństwa by sprawniej ukończyć swoje zadanie. Firma ANZENA przypomina, że by ukrócić podobne praktyki niezbędne jest wdrożenie przejrzystych polityk bezpieczeństwa i nowoczesnych produktów DLP (data leak protection). Rozwiązania tego typu minimalizują ryzyko wycieku danych praktycznie do zera, pozwalając dodatkowo ograniczyć uprawnienia do pracy z określonymi folderami.

- To bardzo ważne, bo w kontekście dostępu do ważnych danych trzeba wspomnieć o jeszcze jednym aktualnym zagrożeniu - dopowiada Smętek - Chodzi o wirusy szyfrujące, czyli ransomware. Jeżeli każdy pracownik firmy ma dostęp do wszystkich jej danych, to zarażenie jednego komputera w sieci może skończyć się katastrofalną eskalacją infekcji na kluczowe pliki i foldery. Wtedy firmie pozostanie już tylko przywrócenie backupu, jeśli oczywiście ma aktualne kopie bezpieczeństwa efektów swojej pracy.

W obliczu drakońskich kar i złożonych wymogów nadchodzącego rozporządzenia RODO można zakładać, że rosnący nacisk na ochronę danych stopniowe wyprze z firm obecną niefrasobliwą mentalność. Dopóki jednak firmowa dokumentacja będzie dla pracownika niewiele ważniejsza, niż pamięć o urodzinach kolegów z działu, to dane będą ciągle narażone na wycieki, a firmy na straty.

Pobierz ebook "Jak otworzyć sklep internetowy - ebook z poradami dla firm"