Глобальное исследование выявило угрозы, которыми чревато снижение пользовательской дисциплины при работе в сети.
Компания Cisco организовала очередное ежегодное исследование сетевого поведения удаленных сотрудников и выполнения ими процедур безопасности. Полученные результаты свидетельствуют о том, что несоблюдение правил сетевого поведения может поставить под угрозу как самого сотрудника, так и компанию, на которую он работает. Исследование побудило топ-менеджеров Cisco, занимающихся проблемами информационной безопасности, выступить с рекомендациями насчет того, как защититься от внешних угроз и расширить деловые возможности распределенных и мобильных сотрудников.
Исследование по заказу Cisco провела американская компания InsightExpress, опросившая более 2 тыс. удаленных сотрудников и ИТ-профессионалов, работающих в различных отраслях и компаниях разного размера в 10 странах (США, Великобритания, Франция, Германия, Италия, Япония, Китай, Индия, Австралия и Бразилия). Такая выборка позволяет исследовать разные социальные и деловые культуры, развитые и развивающиеся рынки и разные уровни распространенности интернета.
Значение этого исследования растет по мере увеличения числа удаленных сотрудников. В отчете исследовательской компании Gartner за 2007 г. говорится, что «в период с 2007 по 2011 г. количество удаленных сотрудников, работающих на дому хотя бы один день в месяц, будет ежегодно увеличиваться на 4,3%. В тот же период количество сотрудников, работающих на дому один день в неделю, будет расти со скоростью 4,4% в год. К концу 2011 г. количество удаленных сотрудников во всем мире составит 46,6 млн. человек».
«Удаленный доступ и распределенная рабочая сила - факторы непреложные. Они дают компаниям конкурентные преимущества и повышают эффективность работы, - считает главный директор Cisco по вопросам безопасности Джон Н. Стюарт (John N. Stewart). - Компаниям следует воспользоваться новыми возможностями для повышения производительности труда без ущерба для безопасности. Наше исследование позволяет сделать обоснованные выводы и рекомендации по минимизации рисков, связанных с работой за пределами традиционного офиса. Это исследование дает возможность понять психологию удаленных сотрудников и спрогнозировать их подходы к защите данных».
Один из важнейших результатов исследования состоит в том, что сегодня удаленные сотрудники стали менее бдительными при работе в Сети. Хотя большинство сотрудников по-прежнему считает, что уровень безопасности в офисе выше, чем за его пределами, ощущение угрозы при работе в удаленном режиме постепенно притупляется. По сравнению с прошлогодним опросом, количество сотрудников, уверенных в безопасности интернет-соединений, выросло на 8%, и из меньшинства (48%) такие сотрудники превратились в большинство (56%). Особенно ярко это проявилось в Бразилии (там такой точки зрения придерживается 71% опрошенных), Индии (68%) и Китае (64%), то есть в трех наиболее динамично развивающихся странах, где сотрудники все чаще полагаются на интернет и корпоративные сети.
Согласно результатам исследования, ИТ-специалисты считают, что при работе в сети удаленные сотрудники становятся все менее дисциплинированными: более половины респондентов - 55% - признали, что удаленные сотрудники проявляют все большую беспечность с точки зрения безопасности (годом раньше об этом говорили всего 11% опрошенных). Есть основания полагать, что ложное чувство защищенности вызвано переходом хакеров от открытых к скрытым атакам. В отчете Института компьютерной безопасности говорится, что в 2007 г. количество финансово мотивированных атак впервые превысило число традиционных «компьютерных пакостей», таких как вирусы, черви и шпионские программы. Впервые за 12-летнюю историю исследований средние годовые потери от мошеннических атак превысили потери от всех других вредных программ. Современные угрозы с целью кражи личных идентификационных данных и корпоративной информации стали очень опасными, превратившись в «невидимок». Их скрытый характер порождает ложное чувство защищенности, которое ведет к снижению уровня дисциплины, особенно, среди надомных работников.
«Надомный работник гораздо меньше думает о безопасности, чем сотрудник, работающий в офисе. Соблюдение установленных правил защиты не кажется обязательным, как только человек переступает порог собственного жилища, - говорит Джон Стюарт. - Стирание границ между домом и офисом, между работой и личной жизнью создает новые проблемы для предприятий, повышающих производительность труда с помощью надомной работы».
Основные результаты исследования и выявленные причины рискованного поведения выглядят так:
Открытие электронных сообщений и вложений, поступивших из неизвестных или подозрительных источников. Хотя эта разновидность атак стара, как мир, многие удаленные сотрудники признаются, что до сих пор открывают подозрительные сообщения и вложения электронной почты, несмотря на потенциальную возможность «подцепить» вредоносную программу. Чаще всего такое поведение встречается в Китае, где в этом признались 62% опрошенных. Однако больше всего исследователей беспокоит растущее количество подобных случаев в странах с хорошо развитой интернет-культурой, таких как Великобритания (48%), Япония (42%), Австралия (34%) и США (27%). К примеру, в Японии 14% опрошенных заявили, что открывают все без исключения письма и вложения, независимо от источника.
Использование рабочих компьютеров и устройств в личных целях. В этом году на 3% больше людей стало использовать корпоративные устройства в личных целях (для покупок в интернете, загрузки музыки и посещения сайтов в социальных сетях). Такая тенденция наблюдается в 8 из 10 стран, причем наибольший рост - с 27 до 50% - показала Франция. В Бразилии рост составил 16%, несмотря на все более негативное отношение респондентов к такому поведению (в прошлом году отрицательное отношение выразили 37% опрошенных, в этом году - 52%). Типичные отговорки: «моя компания этого не запрещает», «я живу один, и у меня много свободного времени», «мой начальник все равно об этом не знает», «если что-то случится, специалисты ИТ-отдела мне помогут».
Предоставление корпоративных компьютеров и устройств посторонним лицам для личного пользования. Чем больше человек работает дома, тем больше вероятность того, что корпоративное устройство будет использоваться посторонними лицами: членами семьи, друзьями и т.д., - которые не имеют представления о корпоративных правилах безопасности и не обязаны им подчиняться. Эта тенденция тоже нарастает. Здесь с большим отрывом лидирует Китай (39%), но тревожные темпы роста наблюдаются и в других странах, например, в Великобритании (с 7% процентов в 2006 г. до 22% в 2007 г.) и Франции (с 15% до 26%). Типичные отговорки: «не вижу в этом ничего плохого», «моя компания этого не запрещает», «не думаю, что это увеличивает риск», «другие сотрудники делают то же самое».
Пиратское использование соседских беспроводных интернет-соединений. По результатам глобальных исследований, 12% удаленных сотрудников признаются в пиратском подключении к точкам беспроводного доступа своих соседей. В Японии и Франции за год количество таких подключений выросло втрое - соответственно, с 6 до 18% и с 5 до 15%. Высокие темпы роста наблюдаются также в Китае (с 19% в 2006 г. до 26% в 2007 г.) и Великобритании (с 6 до 11%). Типичные отговорки: «мне нужно было срочно передать информацию, а другие каналы не работали», «это удобнее, чем пользоваться собственным беспроводным соединением», «я не знаю, когда компьютер подключается к моей, а когда к соседской точке доступа», «мой сосед все равно об этом не знает».
Выполнение работы с помощью персональных незащищенных устройств. Если сотрудник выполняет работу с помощью устройств, которые не защищены корпоративными ИТ-системами, возникает серьезный риск потери личных и корпоративных данных. По мере увеличения числа удаленных сотрудников растет и доля работников, использующих несанкционированные системы (с 45% в 2006 г. до 49% в 2007 г.). Такое поведение широко распространено во многих странах, особенно, в Китае (76%), США (55%), Бразилии (52%) и Франции (48%). Типичные отговорки: «на этих устройствах стоят антивирусы и другие защитные средства», «я регулярно пользуюсь этими устройствами для работы», «сотрудники ИТ-отдела дали мне свое разрешение».
По мнению Джона Стюарта, сегодня ИТ-отделы должны больше, чем когда-либо прежде, понять, как работают удаленные сотрудники и что нужно сделать, чтобы в упреждающем режиме повысить уровень безопасности на предприятии. ИТ-специалисты часто подходят к безопасности с чисто технической точки зрения, но сегодня знание методов защиты, обучение пользователей и регулярное общение с ними, упреждающее возможные атаки, не менее важны, чем покупка нового межсетевого экрана. Расширение консультативной роли ИТ-отдела - вот что поможет изменить отношение к информационно-технологическим специалистам со стороны конечных пользователей и сделать инвестиции компании максимально эффективными. В результате информационные технологии перестанут восприниматься затратной частью бюджета и превратятся в настоящий инструмент бизнеса. Исследование, организованное в странах с разными культурами, подтвердило, что добиться этого можно лишь с помощью целенаправленных мер, учитывающих особенности разных народов и регионов.
«Исследование, проведенное в 2007 г., показало, что ИТ-отделы должны работать в трех направлениях. Я имею в виду распространение знаний, обучение и коммуникации между отделами, руководителями и всеми сотрудниками, - говорит Джон Стюарт. - Коммуникации и обучение сотрудников основам и правилам безопасности будут идти по-разному: что-то окажется более эффективным в Японии, а что-то - возможно, совсем другое - в Соединенных Штатах. Одни методы сработают в Китае, другие - во Франции. Распространение знаний и обучение требуют учета национальных и культурных особенностей вашей аудитории. Инструктор должен стать другом и помощником обучаемых, чтобы завоевать их доверие, а на основе доверия можно строить взаимное уважение и сотрудничество. Исследование показало, что управление корпоративной безопасностью включает и технологию, и процессы, и распространение знаний, и обучение, и коммуникацию. Это вопрос не столько технический, сколько психологический. Именно поэтому ИТ-специалисты должны выйти из закрытых лабораторий и вступить в активный диалог с пользователями. Другими словами, ИТ-отделы должны на деле продемонстрировать свою стратегическую роль».