Πέμπτη 2 Νοεμβρίου 2017

Οι αθώοι εργαζόμενοι «εξίσου επικίνδυνοι με κακόβουλους χάκερ», κατά τους ειδικούς




Η άνοδος της επιχειρηματικής αξίας των δεδομένων καθιστά ακόμη σημαντικότερο το ζήτημα της προστασίας τους, με το θέμα των διαρροών να έχει σημαντικές νομικές και οικονομικές προεκτάσεις. Καθώς το φαινόμενο δεν οφείλεται μόνο σε απειλές που προέρχονται εκτός των εταιριών, η ESET συγκέντρωσε στοιχεία και παραδείγματα που σκιαγραφούν τρεις κατηγορίες εργαζομένων, συχνά υπεύθυνες για διαρροές και παραβιάσεις κρίσιμων δεδομένων μίας εταιρίας.

Σύμφωνα με πρόσφατη έρευνα της Haystax Technology, το 74% των εταιριών δεν είναι σίγουρο «για το πόσο ευάλωτος είναι ο οργανισμός σε απειλές εκ των έσω», ενώ το 56% των επαγγελματιών του χώρου της ασφάλειας δηλώνει με σιγουριά ότι «οι απειλές από το εσωτερικό των εταιριών ήταν συχνότερες» κατά το περασμένο έτος.
Αθώοι, αλλά απρόσεκτοι, εργαζόμενοι

Ο παράγοντας της απροσεξίας είναι πολύ σημαντικός. Περιπτώσεις διαρροής δεδομένων λόγω ανθρώπινου λάθους, όπως συνέβη στις πόλεις Norfolk, Suffolk και Cambridgeshire στο Ηνωμένο Βασίλειο, όπου οι τοπικές αρχές κατέγραψαν πάνω από 160 παραβιάσεις δεδομένων μεταξύ 2014 και 2015, ή στην αμερικανική εταιρεία Federal Deposit Insurance Corp. (FDIC) το 2016, αποδεικνύουν ότι οι αθώοι εργαζόμενοι μπορούν να προκαλέσουν εξίσου σημαντικές απώλειες με τους κακόβουλους χάκερ.
Αμελείς εργαζόμενοι, χωρίς τεχνικές γνώσεις

Ένα άλλο χαρακτηριστικό των εργαζομένων που μπορεί να ευθύνεται για διαρροή δεδομένων είναι η αμέλεια. Μια έρευνα της Google το 2013 αποκάλυψε ότι 25 εκατομμύρια ειδοποιήσεις στον Chrome αγνοούνται στο 70,2% των περιπτώσεων, εν μέρει λόγω έλλειψης τεχνικών γνώσεων των χρηστών - γεγονός μάλιστα που οδήγησε στην απλοποίηση του λεκτικού που χρησιμοποιεί η εταιρία για τις ειδοποιήσεις της. Η περίπτωση του οργανισμού St. Joseph Health το 2012, στον οποίο «δεν είχαν γίνει σωστά οι ρυθμίσεις ασφαλείας», είχε ως αποτέλεσμα να διαρρεύσουν απόρρητα ιατρικά αρχεία στο διαδίκτυο, γεγονός που στοίχισε στην εταιρία εκατομμύρια δολάρια.
Εκδικητικοί εργαζόμενοι

Η τρίτη κατηγορία περιλαμβάνει τις σκόπιμα κακόβουλες ενέργειες, όπως αποδεικνύεται από το παράδειγμα της ρυθμιστικής αρχής τηλεπικοινωνιών Ofcom στο Ηνωμένο Βασίλειο, η οποία το 2016 ανακάλυψε ότι ένας πρώην υπάλληλος για έξι χρόνια συγκέντρωνε δεδομένα που ανήκουν σε τρίτους. Στην ίδια χώρα, η μεγάλη αλυσίδα σούπερ μάρκετ Morrisons ανέφερε περίπτωση όπου ένας δυσαρεστημένος υπάλληλος δημοσίευσε τα προσωπικά δεδομένα περίπου 100.000 υπαλλήλων στο διαδίκτυο. Παρόλο που το περιστατικό συνέβη το 2014, η εταιρεία εξακολουθεί να αντιμετωπίζει νομικές επιπτώσεις.

Σύμφωνα με έρευνα που πραγματοποιήθηκε το 2016 για λογαριασμό της Nuix, το 93% των ερωτηθέντων θεωρεί ότι η ανθρώπινη συμπεριφορά αποτελεί τον μεγαλύτερο κίνδυνο για την προστασία των δεδομένων. Για το λόγο αυτό, οι εταιρίες μπορούν να προβούν σε μία σειρά ενεργειών που θα περιορίσουν τον κίνδυνο της διαρροής δεδομένων που προέρχεται από τις τρεις παραπάνω κατηγορίες εργαζομένων.
Καταρχήν, να αυξήσουν την ευαισθητοποίηση των εργαζομένων αναφορικά με τη βαρύτητα και τις επιπτώσεις των πράξεων τους.
Δεύτερον, να φροντίζουν για την προστασία των δεδομένων τους όσο περισσότερους τρόπους γίνεται – η κρυπτογράφηση είναι ένας από αυτούς και αποτελεί ένα πολύ σημαντικό σύμμαχο σε θέματα ασφάλειας.
Τρίτον, χρειάζεται διαρκής έλεγχος της χρήσης υπολογιστών καθώς και των συμπεριφορών των εργαζομένων ώστε να εντοπίζονται ασυνήθιστες ή επικίνδυνες δραστηριότητες. Θα πρέπει επίσης να παρακολουθούνται και να ελέγχονται προσεκτικά τα προγράμματα BOYD (Bring Your Own Device, δηλαδή, η χρήση ατομικών smartphone, tablet ή laptop στη δουλειά) τα οποία λειτουργούν σε πολλές εταιρείες.

Και, τέλος, οι εταιρίες οφείλουν στο μέλλον να υιοθετήσουν μία αυστηρότερη προσέγγιση στο θέμα της εσωτερικής ασφάλειας, κατανοώντας ότι πρόκειται για ζήτημα διαφύλαξης της επιχειρηματικής συνέχειας.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Δημοφιλείς αναρτήσεις