Человеческий фактор. Из-за него специалисты по информационной безопасности не спят ночами и всё равно не могут придумать, как его контролировать. Но масштабы угрозы, исходящей от эффективного менеджера, с энтузиазмом кликающего по экрану смартфона и всегда готового помочь (вы только задумайтесь о перспективах социальной инженерии), очевидны каждому безопаснику.

Но новое исследование Trend Micro, проведённое Ponemon Institute, наглядно демонстрирует, что специалисты IT-отделов частенько сваливают собственную вину на сотрудников. В отчёте, названном «Человеческий фактор в защите информации» ("The Human Factor in Data Protection"), можно прочитать, что более 78 % опрошенных считают поведение сотрудников, как преднамеренное, так и непреднамеренное, причиной как минимум одной утечки информации в их компаниях за последний год.

Результаты опроса удивления не вызывают, но любопытно, какую именно причину называют айтишники и что говорит статистика по поводу их ответов в опросе.

Тремя основными причинами оказались потеря ноутбука или другого мобильного хранилища информации (35 %), ошибки или «ляпы» третьих сторон (32 %) и системные неполадки (29 %).

Но виноваты ли сотрудники, или они просто не дождались помощи? Что интересно, почти 70% опрошенных заявили, что они «согласны» или «совершенно согласны» с тем, что нынешней политики безопасности их работодателя недостаточно, чтобы остановить целенаправленную атаку или хакера.

Недавнее исследование McAfee и Xerox показывает, что больше половины работников не следуют инструкциям от службы безопасности или и вовсе с ними не ознакомлены. Ну и кто после этого виноват?

В отчёте Trend Micro сообщается, что, когда сотрудники нечаянно ошибаются, утечки чаще всего обнаруживаются тоже случайно. В этом признались 56 % опрошенных.

Только 19 % сказали, что их сотрудники сами сообщили об утечке. 37 % говорят, что инцидент раскрылся в результате аудита, а 36 % – что его обнаружили с помощью технологий защиты информации. В исследовании приняли участие 709 сотрудников IT и ИБ в США.

Также выяснилось, что малый бизнес больше рискует пострадать из-за неправильного обращения сотрудников с критичной информацией, чем крупные предприятия. Отдельный анализ ответов сотрудников организаций с численностью работников менее 100 показал более высокую частоту таких утечек – 81 % против 78 %. Возможно, это результат более строгой политики информационной безопасности и более качественных защитных технологий у крупных организаций.

Также сотрудники малого бизнеса более склонны к риску: 58 % из них признались, что открывали ссылки или приложения к спам-письмам, против 39 % у крупных предприятий.

Большая часть (65 %) маленьких компаний заявляют, что их критичная или конфиденциальная бизнес-информация, как правило, не шифруется и не защищается с помощью технологий защиты от потерь.

Кроме того, малый бизнес реже тратит время на защиту информации или качественные технологии предотвращения потери данных: 62 % опрошенных считают, что они не защищены. Из этих респондентов 65 % сказали, что это потому, что соответствующие технологии слишком дорогие, а 54 % – что слишком сложные.

45 % опрошенных занимают руководящие должности и имеют в среднем 10 лет профессионального опыта за плечами. 78 % работают в компаниях с численностью сотрудников от 100 до 5000.