RSA a IDC pohrozily
K náhodným bezpečnostním chybám vzniklým nedbalostí uživatelů uvnitř firmy podle nových zjištění organizace IDC, oznámených sponzorem průzkumu, společností RSA, bezpečnostní divizí společnosti EMC, dochází častěji a mají potenciálně větší negativní dopad než cílené útoky ze strany interních uživatelů. Dokument white paper společnosti IDC dále ukazuje nevhodné zaměření bezpečnostních obav většiny ředitelů, kteří přikládají vyšší prioritu ochraně proti úmyslným útokům zevnitř firmy než investicím do prevence častějších a potenciálně nebezpečnějších incidentů zabezpečení způsobených nedbalostí zaměstnanců.
Právě vydaný dokument white paper společnosti IDC „Insider Risk Management: A Framework Approach to Internal Security“ (Řízení rizik ze strany zaměstnanců: Rámcový přístup k interní bezpečnosti) sponzorovaný společností RSA, pojednává o interních rizicích zabezpečení – o potenciálních hrozbách, jimž je organizace vystavena ze strany interních uživatelů, kteří mají přístup ke klíčovým systémům a důvěrným informacím. I přes povědomí o tom, že uživatelé v organizacích vytvářejí rizika v oblasti zabezpečení informací, často důležitost ochrany vůči interním rizikům zastíní externí hrozby. Nový výzkum odhaluje nesrovnalost mezi obavami, které mají v oblasti zabezpečení ředitelé, a vyšším počtem narušení zabezpečení zevnitř firmy a hrozeb, které pro chod podniku představují narušení zabezpečení vinou nedbalosti, neoprávněného přístupu a zneužití informací ze strany zaměstnanců.
Mezi globálními vedoucími pracovníky v IT s rozhodovací pravomocí, kteří v průzkumu odpovídali, většina uvedla, že nejsou schopni identifikovat zdroje interních rizik ani jejich záměry a že jen s obtížemi kvantifikují potenciální finanční důsledky a dopady na chod firmy. Z organizací zařazených do průzkumu jich 52 % charakterizovalo bezpečnostní incidenty zevnitř firmy jako převážně nahodilé a pouze 19 % je přesvědčeno, že šlo o záměrné útoky. Ze zbývajících respondentů se 26 % domnívá, že jde o rovnoměrný podíl obou typů útoků, a zbylá 3 % si nebyla jista. Když však byli požádáni o určení pořadí hlavních hrozeb, téměř 82 % ředitelů nevědělo s jistotou, zda jsou incidenty ze strany smluvních partnerů a pracovníků na dočasných pozicích neúmyslné, nebo záměrné.
Další pozoruhodné postřehy dokumentu white paper zdůrazňují počet interních bezpečnostních incidentů zevnitř organizace. Za uplynulých 12 měsíců přiznalo 400 respondentů 6 244 incidentů neúmyslné ztráty dat, 5 830 malwarových nebo spywarových útoků zevnitř podniku a 5 794 incidentů vinou rizik vzniklých nadměrnými oprávněními a přístupovými právy. Celkem se počet interních bezpečnostních incidentů v předchozích 12 měsících vyšplhal na 57 485. Výsledky průzkumu ukazují, že téměř 40 % organizací plánuje v příštích 12 měsících zvýšit investice do iniciativ, jejichž cílem je omezit interní bezpečnostní rizika, a pouhých šest procent chce investice snížit. Tyto výsledky naznačují, že univerzální řešení, jak se nejlépe vypořádat s interními riziky zabezpečení, neexistuje. Je nutné zaujmout komplexní postoj k řízení rizik, lépe porozumět profilu rizik v organizaci a podle něj nastavit odpovídající kontrolní prvky.
Ačkoli u útočníků se zlými úmysly je patrná vyšší propracovanost útoků na data, tyto nové výsledky ukazují, že neúmyslné ztráty dat a chyby v řízení zabezpečení informací ovlivňují integritu provozu v organizaci větší měrou než záměrné útoky.
Ke klíčovým zjištěním průzkumu patří:
• Neúmyslná vs. záměrná rizika: K nejnaléhavějším obavám v oblasti
zabezpečení řadí ředitelé útoky se zlým úmyslem zevnitř organizace,
jako je neoprávněný přístup k důvěrným informacím a šíření malwaru
a spywaru zevnitř podniku. Interní ohrožení zabezpečení, která způsobila
největší počet incidentů (neúmyslná ztráta dat vinou nedbalosti
zaměstnance) a měla největší finanční dopad (neaktuální nebo nadměrná
oprávnění a přístupová práva uživatelů), ovšem byla náhodná.
• Zdroj hrozeb: V loňském roce byli největšími zdroji interních hrozeb smluvní partneři a zaměstnanci na dočasných pozicích.
• Finanční ztráty: Průměrná roční finanční ztráta vzniklá interními riziky v oboru outsourcingu IT dosahovala téměř 800 000 dolarů.
• Nejistota pracovníků s rozhodovací pravomocí: I když 93 % respondentů ve svých organizacích má zodpovědnost za rozhodování v oblasti zabezpečení, téměř 82 % z nich si nebylo jisto zdrojem interních rizik v jejich společnosti a nedokázalo je přesně určit nebo kvantifikovat jejich finanční dopad.