Предупреждение руководителям: угроза безопасности ваших данных может исходить от людей за их безопасность отвечающих. Это главный вывод исследования в ходе которого выяснилось, что треть специалистов в сфере безопасности корпоративной информации имеют доступ к данным и могут использовать их в своих интересах.
Из 500 сотрудников безопасности, посетивших конференцию Infosecurity Europe в Лондоне, 200 откровенно хвастали тем, что с легкостью могут использовать свои знания ключей шифрования, паролей и слабых мест программ для получения любой необходимой информации.
А так как они знают систему и могут заполучить ключи шифрования и коды авторизации, заявил 31% участников, им вполне по силам произвести взлом удаленно, осуществить подсматривание, подменить файлы или вообще обрушить систему даже если они уже не работают в компании.
«Для многих организаций самой большой угрозой безопасности является именно внутренняя угроза», — сообщил Грегори Уэбб, директор по маркетингу Venafi Inc., компании проводившей исследование.
Согласно другому опросу, организованному Verizon Security Business Solutions еще в апреле, штатные сотрудники ответственны за 17% всех инцидентов, связанных со взломом.
«Нерадивые» сотрудники могут очень дорого стоить компании и быть гораздо опаснее, чем хакеры, орудующие извне. Это происходит по причине того, что преступники не просто хотят удостовериться в своих силах, что является уделом начинающих хакеров, а отомстить своим работодателям или сорвать большой куш, пояснил Уэбб.
«Значительное количество IT-сотрудников, используя свои знания и доступ к цифровым сертификатам, а также к ключам шифрования, могут ввергнуть работу организаций в хаос. И все из-за недостаточного административного контроля и отсутствия разграничения обязанностей», — заключил Уэбб.
«Вот почему очень важно иметь несколько уровней контроля и разграничения обязанностей между сотрудниками безопасности. В идеале должна работать автоматическая система, в рамках которой ни у кого нет ключа. В подобного рода системе безопасности ключи расшифровки данных хранятся в специальном компьютере и могут быть активированы лишь после авторизации, осуществленной сразу несколькими сотрудниками, ни один из которых не знает всю последовательность».
«Автоматическая система исключает человеческий фактор. Это все равно, что надежно заперев дверь дать ключи горничной, детям и их друзьям. Неважно насколько прочен замок если у каждого покидающего организацию остаются ключи или дубликат», — рассказал Уэбб.
Источник информации: Хакер