Datu aizsardzības pārkāpumus un drošības incidentus ne vienmēr izraisa kibernoziedznieki ar tumšiem nodomiem. Tie bieži vien rodas no iekšienes, no neuzmanības, sliktiem digitālajiem ieradumiem vai nezināšanas.
Lai atklātu pārkāpumu, nav nepieciešama sazvērestība: vienkārši kļūdaini pārsūtiet sensitīvu failu, pievienojiet nepareizu dokumentu vai atstājiet sesiju atvērtu koplietošanas datorā.
Būtiskākais, kas attiecas uz šiem iekšējiem apdraudējumiem, kuri nav ļaunprātīgi, ir tas, ka tie netiek pamanīti. Tie neizraisa trauksmi, nepārkāpj drošības barjeras... bet tiem ir reālas un dārgas sekas.
Kas ir iekšējie draudi, kas nav ļaunprātīgi
Tie ir negadījumi, ko izraisījuši cilvēki, kuri nerīkoties ar kaitīgu nodomu.bet kuru lēmumi vai ieradumi rada neaizsargātību. Tas var būt kolēģis, piegādātājs vai pat jūs pats. Daži izplatīti piemēri:
- sensitīvas informācijas nosūtīšana nepareiziem adresātiem.
- Uzņēmuma e-pasta izmantošana, lai kopīgotu personīgos dokumentus (vai otrādi).
- Failu ar kritiski svarīgiem datiem glabāšana neautorizētos vai nešifrētos pakalpojumos.
- Piekļuve no personīgajām ierīcēm bez minimāliem aizsardzības pasākumiem.
- Nepareiza paroļu lietošana (koplietošana, glabāšana atklātā tekstā, atkārtota izmantošana).
Katru no šīm ikdienas darbībām var izmantot uzbrucējs vai izraisīt datu noplūdi, regulatīvo sankciju piemērošanu vai klientu uzticības zaudēšanu.
Kādēļ tās rodas: izplatītākie cēloņi
- Īpašas apmācības trūkumsDaudzi cilvēki nesaprot savas digitālās darbības sekas. Viņi pieņem, ka, ja kaut kas "nesabojājas", tad tas ir droši.
- Nepietiekami definēti procesiJa nav skaidras instrumentu lietošanas politikas, lietotāji improvizē risinājumus, kas var būt riskanti.
- Pārmērīga pašpārliecinātībaIr ierasts uzskatīt, ka incidenti notiek tikai lielos uzņēmumos vai ka par aizsardzību ir atbildīga tikai IT komanda.
- Spiediens vai steidzamībaātri reaģējot uz pieprasījumu vai piegādājot failu "tieši laikā", nav nepieciešama saņēmēju, atļauju vai piegādes maršrutu apstiprināšana.
Kā samazināt risku, nepalēninot produktivitāti
Neviena organizācija nav pasargāta no cilvēciskās kļūdas, taču, īstenojot konkrētu praksi, tā var to labāk pārvaldīt:
1. Apmācieties nepārtraukti, ne tikai uzsākot darbu.
Digitālo drošību nevar apgūt vienā sesijā. Jums ir jārada kultūra un tas prasa pastāvīgu nostiprināšanu. To var izdarīt, izmantojot mikroapmācības kapsulas, reālus piemērus vai iekšējos informatīvos biļetenus, kuros tiek stāstīts par biežāk pieļautajām kļūdām un to, kā no tām izvairīties.
2. Īsteno kritisko uzdevumu validāciju.
Ne visām darbībām ir nepieciešama divkārša validēšana, taču dažām darbībām tā ir nepieciešama: sensitīvu failu sūtīšanai, atļauju modificēšanai vai pilnvaru kopīgošanai. Otrā soļa izveide pirms šo uzdevumu izpildes ievērojami samazina kļūdu iespējamību.
3. Izmantojiet automātiskās kontroles
Satura filtri, automātiskās dokumentu klasifikācijas politikas vai uz atslēgvārdiem balstīti iesniegšanas bloki (piemēram, "konfidenciāli" vai "līgums") var novērst kļūdas, pirms tās rodas. Tie nav nekļūdīgi, bet ir ļoti efektīvi.
4. Piekļuves atļauju pārskatīšana un ierobežošana
Viena no visbiežāk pieļautajām kļūdām ir vispārīgas piekļuves piešķiršana "uz visiem gadījumiem". Pārliecinieties, ka tiek piemērots princips minimālās privilēģijas: ikvienam ir pieejams tikai tas, kas viņam nepieciešams. Nekas vairāk.
5. Veicināt kultūru bez bailēm no kļūdām
Ja komanda baidās no represijām par pārpratumu, tā, visticamāk, to noklusēs. Tas saasina problēmu. Ideālā gadījumā ikvienam vajadzētu būt iespējai ziņot par kļūdu vai aizdomām, nejūtoties vainīgam, un vajadzētu būt skaidriem protokoliem par tūlītēju rīcību.
Piemērs, kas nav aizmirsts
2024. gadā vienam Eiropas finanšu pakalpojumu uzņēmumam par GDPR pārkāpumiem draudēja daudzmiljonu sods. Iemesls? Darbinieks kļūdas dēļ iekšējam e-pastam, kas tika pārsūtīts ārpus organizācijas, kļūdaini pievienoja izklājlapu ar vairāk nekā 2000 klientu personas datiem. Nebija ne ļaunprātīgas programmatūras, ne hakera. Tikai nepareizs klikšķis.
Galvenais ir nevis bailes, bet profilakse.
Cilvēka kļūdas nevar novērst, taču tās var paredzēt. Ja ikviens jūsu organizācijā sapratīs savu lomu informācijas aizsardzībā, jūs pievienosiet visspēcīgāko kiberdrošības līdzekli - informētību.
Tehnoloģijas palīdz, bet īstā aizsardzība sākas ar cilvēkiem. MasterBase® ir sagatavojies un piedāvā platformu, kas vienkāršā, efektīvā un lētā veidā palīdzēs jums automatizēt biznesa procesus un samazināt cilvēcisko kļūdu iespējas. Jūs varat rēķināties arī ar konsultanta atbalstu, kas palīdzēs jums izstrādāt un ieviest automatizēto procesu, koncentrējoties uz drošību un efektivitāti.
