«СёрчИнформ» провела исследование информационной безопасности бизнеса, которые исходят не от внешних злоумышленников, а изнутри компаний – от сотрудников. В ходе исследования спрашивали о фактах корпоративного мошенничества, которые допускают недобросовестные сотрудники. В исследовании приняли участие 1024 представителя российского бизнеса. Еще 718 человек присоединились к опросу в других странах присутствия «СёрчИнформ» (Ближний Восток, Латинская Америка, ЮАР, СНГ). Только 8 % работодателей готовы отдавать сотрудников под суд за откаты и воровство.
Утечки данных
Вопрос утечек данных остается злободневным как в России, так и за рубежом. Внимание подогревают многочисленные сообщения в СМИ о новых инцидентах и рисках штрафов. В итоге компании стали гораздо чаще сообщать об утечках данных. Если в прошлом году только 12 % опрошенных заявляли, что уведомляют пострадавших об утечке данных, то в этом – почти 28 %, при том, что ужесточения законодательства в этой сфере не произошло.
«Это довольно интересный тренд, ведь санкции в России и в мире кардинально различаются. Например, в России штраф за разглашение персональных данных измеряется десятками тысяч (рублей), а в Евросоюзе – миллионами (евро). Таким образом, именно личная ответственность, сознательность отечественных компаний является главной причиной, а вовсе не угроза штрафа», – считает Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».
Кто нарушает
Рядовые сотрудники остаются самыми частыми нарушителями в компаниях, на их долю приходится 74 % всех инцидентов – от утечек информации до фактов корпоративного мошенничества. Чаще всего в поле зрения сотрудников безопасности попадают менеджеры отделов снабжения (коррупционная емкость профессии), бухгалтеры и финансисты (доступ к критическим данным, деньгам). На долю обеих профессиональных отраслей приходится почти половина всех инцидентов. Высокие показатели нарушений у помощников руководителей и IT-специалистов (16 и 15 % соответственно). Причина одна – доступ к критичной информации и привилегированность положения.
Что контролируют работодатели
Чтобы управлять ситуацией, сотрудники службы безопасности и работодатели чаще контролируют электронную почту (29 %) и внешние носители (20 %). Меньшую тревогу у них вызывает телефония (15 %) и интернет-мессенджеры (11 %). Работодателей больше всего беспокоит в сотрудниках нелояльное отношение к компании, саботаж, распространение негативной информации о компании (21, 21 и 23 % соответственно). Еще 16% работодателей волнует подверженность опасным зависимостям сотрудников.
Характер инцидентов, ущерб и наказание
Чаще всего ИБ-специалисты в 2018 году разоблачали использование ресурсов компании в личных целях (майнинг, фриланс и т.п.) – 42 %. Попытки откатов и промышленный шпионаж фиксировали в 21 и 19 % случаев. Чаще всего эти инциденты приводили к имиджевому и мелкому финансовому ущербу (по 28 % ответов). Примерно одинаковое число нарушений приводили к крупному финансовому ущербу, а также compliance-рискам – угрозе или факту наказания от регулятора. Только 4 % российских компаний оставляют инциденты без внимания, не применяя санкций к нарушителям. 34 % работодателей увольняют «проштрафившихся» сотрудников, половина делает выговор и штрафует (23 и 27 %). До суда доводят дело только 8 % компаний, и это по-прежнему самый непопулярный способ наказания нарушителей, причем как в России, так и за рубежом.
«Компании предпочитают не выходить в публичное поле с конфликтами. Единицы решаются на это в самых вопиющих ситуациях. Тогда доказательством часто служат данные, полученные из программных комплексов, в частности DLP-систем. К сожалению, этот факт часто не фигурирует в материалах дела. Еще в ряде случаев доказать вину сотрудника оказывается крайне сложно: и по причине отсутствия комплексов фиксации нарушений, и из-за отсутствия в компании регламентов на этот счет».
______________________________________________________________________
Компания «СёрчИнформ» – ведущий российский разработчик средств информационной безопасности. Компания образовалась в 1995 году и сначала специализировалась на технологиях поиска, хранения и обработки информации, а в 2004 году начала разрабатывать решения для защиты информации.