Duomenų saugumo pažeidimai ir incidentai ne visada kyla iš kibernetinių nusikaltėlių, turinčių tamsių ketinimų. Dažnai jie kyla iš vidaus, dėl neatsargumo, blogų skaitmeninių įpročių ar nežinojimo.
Nereikia sąmokslo, kad būtų galima padaryti pažeidimą: tereikia per klaidą persiųsti slaptą failą, prisegti netinkamą dokumentą arba palikti atidarytą sesiją bendrame kompiuteryje.
Svarbiausia, kad šios nekenksmingos vidinės grėsmės lieka nepastebėtos. Jos nesukelia pavojaus signalų, nesulaužo saugumo barjerų... tačiau turi realių ir brangiai kainuojančių pasekmių.
Kokios yra nekenksmingos grėsmės iš vidaus
Tai incidentai, kuriuos sukelia žmonės, kurie nesielgti su žalingais ketinimais.bet kurių sprendimai ar įpročiai sukelia pažeidžiamumą. Tai gali būti bendradarbis, tiekėjas ar net jūs pats. Keletas dažniausiai pasitaikančių pavyzdžių:
- neskelbtinos informacijos siuntimas netinkamiems gavėjams.
- Įmonės el. pašto naudojimas asmeniniams dokumentams bendrinti (arba atvirkščiai).
- failų su svarbiais duomenimis saugojimas neautorizuotose arba neužšifruotose tarnybose.
- Prieiga iš asmeninių įrenginių be minimalių apsaugos priemonių.
- Netinkamas slaptažodžių tvarkymas (dalijimasis, saugojimas atviru tekstu, pakartotinis naudojimas).
Kiekvienu iš šių kasdienių veiksmų gali pasinaudoti įsilaužėlis arba sukelti duomenų nutekėjimą, reguliavimo sankcijas ar klientų pasitikėjimo praradimą.
Kodėl taip atsitinka: bendrosios priežastys
- Specialių mokymų trūkumasDaugelis žmonių nesupranta savo skaitmeninių veiksmų pasekmių. Jie daro prielaidą, kad jei kas nors "nesugenda", vadinasi, tai yra saugu.
- Prastai apibrėžti procesaiKai nėra aiškios įrankių naudojimo politikos, naudotojai improvizuoja, o tai gali būti rizikinga.
- Per didelis pasitikėjimas savimiĮprasta manyti, kad incidentų pasitaiko tik didelėse įmonėse arba kad už apsaugą atsakinga tik IT komanda.
- Spaudimas arba skubagreitai reaguojant į užklausą arba pristatant failą "pačiu laiku", nereikia patvirtinti gavėjų, leidimų ar pristatymo maršrutų.
Kaip sumažinti riziką nemažinant našumo
Nė viena organizacija nėra apsaugota nuo žmogiškųjų klaidų, tačiau įgyvendindama konkrečią praktiką ji gali jas geriau valdyti:
1. Mokykite nuolat, ne tik įdarbinimo metu.
Skaitmeninio saugumo negalima išmokti per vieną sesiją. Jums reikia sukurti kultūra ir tam reikia nuolatinio pastiprinimo. Tai galite padaryti naudodami mikroapmokymų kapsules, realaus gyvenimo pavyzdžius arba vidinius naujienlaiškius, kuriuose dalijamasi dažniausiai pasitaikančiomis klaidomis ir patariama, kaip jų išvengti.
2. Įgyvendina svarbiausių užduočių patvirtinimus.
Ne visiems veiksmams reikia dvigubo patvirtinimo, tačiau tam tikriems veiksmams jis būtinas: neskelbtinų failų siuntimui, leidimų keitimui ar bendriems įgaliojimams. Nustatant antrąjį veiksmą prieš atliekant šias užduotis, gerokai sumažėja klaidų tikimybė.
3. Naudokite automatines kontrolės priemones
Turinio filtrai, automatinio dokumentų klasifikavimo politika arba raktiniais žodžiais pagrįsti pateikimo blokai (pvz., "konfidencialu" arba "sutartis") gali užkirsti kelią klaidoms dar prieš joms atsirandant. Jie nėra neklystantys, bet labai veiksmingi.
4. Peržiūrėti ir apriboti prieigos leidimus
Viena iš dažniausiai daromų klaidų - suteikti bendrą prieigą "tik tam atvejui". Būtinai taikykite principą minimali privilegija: kiekvienas gali naudotis tik tuo, ko jam reikia. Nieko daugiau.
5. Skatinti kultūrą, kurioje nebijoma klaidų
Jei komanda baiminasi atsakomųjų veiksmų už padarytą klaidą, ji greičiausiai ją nuslėps. Tai dar labiau padidina problemą. Idealiu atveju kiekvienas turėtų turėti galimybę pranešti apie klaidą ar įtarimą nesijausdamas kaltas ir turėtų būti aiškūs protokolai, pagal kuriuos būtų galima nedelsiant imtis veiksmų.
Nepamirštamas pavyzdys
2024 m. vienai Europos finansinių paslaugų įmonei už BDAR pažeidimus grėsė daugiamilijoninė bauda. Priežastis? Darbuotojas per klaidą prie vidinio elektroninio laiško, kuris galiausiai buvo persiųstas už organizacijos ribų, pridėjo lentelę su daugiau kaip 2 000 klientų asmens duomenimis. Nebuvo jokios kenkėjiškos programos ar įsilaužėlio. Tiesiog neteisingas paspaudimas.
Svarbiausia yra ne baimė, o prevencija.
Žmogiškųjų klaidų neįmanoma pašalinti, tačiau galima jas numatyti. Jei kiekvienas jūsų organizacijos darbuotojas supras savo vaidmenį saugant informaciją, prisidėsite prie galingiausio kibernetinio saugumo turto - sąmoningumo.
Technologijos padeda, tačiau tikroji gynyba prasideda nuo žmonių. "MasterBase®" esame pasirengę ir turime platformą, kuri padės jums paprastai, efektyviai ir nebrangiai automatizuoti verslo procesus ir sumažinti žmogiškųjų klaidų tikimybę. Taip pat galite tikėtis konsultanto paramos, kuris padės jums suprojektuoti ir įgyvendinti automatizuotą procesą, daugiausia dėmesio skiriant saugai ir efektyvumui.
