Według badania przeprowadzonego wspólnie przez Kaspersky Lab i B2B International 73% firm zostało dotkniętych incydentem wewnętrznego naruszenia bezpieczeństwa informacji, a najczęstszą przyczyną utraty poufnych danych są pracownicy (42%). Średnie straty na skutek wycieków w małych i średnich firmach sięgnęły 320 000 zł.
Wraz z rozwojem infrastruktury IT firmy rozwija się również krajobraz zagrożeń. Nowe komponenty oznaczają nowe luki w zabezpieczeniach. Sytuację pogarsza fakt, że nie wszyscy pracownicy – zwłaszcza ci bez specjalistycznej wiedzy w zakresie IT – mogą dotrzymać kroku szybko rozwijającemu się środowisku IT. W efekcie firma jest narażona nie tylko na zagrożenia zewnętrzne, ale również wewnętrzne, których źródłem są pracownicy.
Potwierdziło to niedawne badanie przeprowadzone wśród około 5 500 specjalistów ds. IT z ponad 25 krajów na całym świecie. Wyniki wykazały, że 21% firm dotkniętych zagrożeniami wewnętrznymi straciło cenne dane, co wpłynęło na ich działalność. Warto wspomnieć, że badanie dotyczyło incydentów przypadkowych wycieków danych (28%) oraz celowych wycieków cennych informacji firmowych (14%).
Średnie straty finansowe ponoszone przez małe i średnie firmy w wyniku wycieków danych wynosiły 320 000 zł – 132 000 zł na skutek incydentów przypadkowych oraz 188 000 zł w wyniku celowych wycieków. W przypadku przedsiębiorstw kwoty te wynosiły odpowiednio 5,16 mln, 2,17 mln oraz 3 mln zł.
Oprócz wycieków danych zagrożenia wewnętrzne obejmują utratę i kradzież mobilnych urządzeń pracowników. 19% respondentów potwierdziło, że przynajmniej raz w roku straciło urządzenie mobilne zawierające dane korporacyjne.
Kolejnym istotnym czynnikiem są oszustwa popełniane przez pracowników. 15% badanych organizacji trafiło na sytuacje, w których zasoby firmowe, w tym finanse, były wykorzystywane przez pracowników do własnych celów. Chociaż odsetek ten jest niewielki, straty spowodowane na skutek tych incydentów były wyższe niż te wynikające z wycieku poufnych danych. Małe i średnie firmy tracą średnio do 160 000 zł na skutek oszukańczych działań pracowników, podczas gdy w przypadku przedsiębiorstw kwota ta przekracza 5,2 mln dolarów.
„Nie jest żadną tajemnicą, że samo rozwiązanie bezpieczeństwa nie wystarczy do zabezpieczenia danych firmowych. Potwierdzają to wyniki badania” – powiedział Konstantin Woronkow, szef działu odpowiedzialnego za produkty bezpieczeństwa dla punktów końcowych, Kaspersky Lab. „Niezbędne jest zintegrowane, wielopoziomowe podejście wspomagane analizą danych bezpieczeństwa oraz innymi metodami uzupełniającymi. Metody te mogą obejmować wykorzystywanie wyspecjalizowanych rozwiązań oraz wprowadzenie polityk bezpieczeństwa, takich jak ograniczenie praw dostępu”.
Eksperci z Kaspersky Lab zalecają firmom, aby nie zaniedbywały kwestii wszechstronnej ochrony, ponieważ niezawodne wielopoziomowe zabezpieczenie może zapobiec dodatkowym kosztom ponoszonym przez organizację nie tylko na skutek zewnętrznych, ale również wewnętrznych incydentów naruszenia bezpieczeństwa. Technologie chroniące przed atakami DDoS oraz phishingiem, szyfrowanie, ochrona urządzeń mobilnych, infrastruktury wirtualnej oraz transakcji finansowych – taki komplet mechanizmów zapewnia skuteczną ochronę ukierunkowaną dla indywidualnych węzłów korporacyjnej infrastruktury IT oraz centrów danych. Z kolei implementacja różnych polityk bezpieczeństwa wraz ze specjalistycznymi usługami, takimi jak badania incydentów, niezależna ocena bezpieczeństwa firmowej infrastruktury IT oraz szkolenia personelu, minimalizują ryzyko zagrożeń.