Отчет: удаленные сотрудники игнорируют меры безопасности в сети
Не только хакеры обходят меры безопасности многих организаций. Большинство удаленных работников их тоже обходят или вовсе игнорируют.
В отчете о безопасности удаленного персонала, опубликованном в понедельник, 52 % опрошенных американских специалистов IТ и кибербезопасности cказали, что у них есть опытные удаленные сотрудники, которые находят обходные пути к политикам безопасности своих организаций.
Отчет, подготовленный Cybersecurity Insiders и спонсируемый Axiad, надежным поставщиком решений для идентификации в Санта-Кларе, Калифорния, также обнаружил, что три основных политики безопасности и протоколов, которым удаленные сотрудники больше всего сопротивлялись, были многофакторной аутентификацией (35 %), менеджеры мобильных устройств (33 %) и менеджеры паролей (26 %).
"Это означает, что даже если компания инвестировала в технологию надежной аутентификации, такую как MFA, она все еще подвергается риску, если не сможет побудить сотрудников соблюдать их политику", - отмечается в отчете. "Это еще более сложно с удаленной или гибридной рабочей силой, поскольку сотрудники не находятся в офисе, чтобы работать со своей I Т-командой по развертыванию и использованию новых технологий", - добавил он.
Проблема простоты использования
"Сотрудники, обходящие политики безопасности, обычно не делают этого со злым умыслом", - пояснил главный операционный директор Axiad Джером Бекварт.
"Они хотят выполнять свою работу максимально эффективно, и считают, что безопасность им мешает", - говорит эксперт.
Большинство сотрудников не хотят намеренно обходить политики безопасности, добавила Джен Кракснер, директор по стратегическим консультациям SecZetta, другой компании по управлению рисками в Ньюпорте, Род-Айленд.
"Иногда это происходит потому, что они не знают, как что-то делать правильно", - сказала она в интервью. "В других случаях они знают, как это сделать, но это слишком сложно".
"Политики безопасности не всегда упрощают задачу для конечных пользователей", - продолжила она. "Когда им становится слишком сложно сделать это правильно, они предпочитают делать это так, как могут".
В качестве примера она привела способ реализации двухфакторной аутентификации. Один из способов - отправить уведомление, позволяющее пройти аутентификацию одним щелчком мыши. Другой способ - потребовать ввести код. Подход с одним щелчком имеет большее значение для пользователя, чем ввод кода.
Оливер Таваколи, технический директор Vectra AI, поставщика автоматизированных решений для управления угрозами в Сан-Хосе, Калифорния, объяснил, что в организациях, серьезно относящихся к безопасности, меньше сотрудников обычно думают об обходе политик безопасности.
"Но при плохом взаимодействии с пользователем - например, при необходимости вводить второй фактор для аутентификации каждый раз, когда ваш ноутбук выходит из режима гибернации; процент несоблюдения высок", - говорит эксперт.
Благие намерения
Некоторые сотрудники могут думать, что им необходимо преодолеть безопасность своей организации, чтобы работать более продуктивно.
"Сотрудник может иметь доступ к файлам и приложениям, которые недоступны удаленно", - сказал Сарью Найяр, генеральный директор Gurucul, компании по анализу угроз в Эль-Сегундо, Калифорния.
"В таких случаях работник может попытаться отменить сетевые ограничения, чтобы получить доступ, к которому он привык, работая в офисе", говорит эксперт.
Эрих Крон, защитник осведомленности о безопасности в KnowBe4, учебном центре по вопросам безопасности в Клируотере, штат Флорида, объяснил, что если сотрудник не понимает причины политики безопасности или если в организации слабая культура безопасности, сотрудники часто ищут обходные пути от политик безопасности.
"Они могут думать, что это всего лишь дополнительные шаги, которые они должны предпринять для выполнения своей работы, или ненужные препятствия, мешающие производству", - говорит он.
"Если дополнительная работа будет достаточно значи мой, они могут даже начать возмущаться политикой или организацией", - добавляет эксперт.
"Сотрудники часто не понимают, насколько серьезен современный ландшафт угроз, - говорит он, - или могут полагать, что они или их организация слишком мала для того, чтобы стать мишенью киберпреступников, - распространенное заблуждение, которое часто приводит к большим проблемам ".
Применение творческого подхода
Неудивительно, что сотрудники находят обходные пути к политикам безопасности, отмечает Сунил Ю, директор по информационной безопасности компании JupiterOne, поставщика решений для управления киберактивами и управления из Моррисвилля, штат Северная Каролина.
"Мы хотим, чтобы наши сотрудники были умными и творческими, поэтому неудивительно, что они находят способы об хода мер безопасности", - говорит он.
Эксперт рекомендует организациям использовать творческий потенциал, обходя меры безопасности.
"Важно то, что сотрудники делятся этими методами обхода с группой безопасности не для того, чтобы она полностью блокировала эти методы, а для того, чтобы группа безопасности могла работать над поиском или построением более безопасных и в то же время простых путей, которые позволят сотрудникам быть более продуктивн ыми", - сказал он.
Инсайдерские угрозы растут
Однако не все сотрудники учитывают интересы своего работодателя, когда завершают выполнение политик и протоколов безопасности.
"Удаленная работа значительно увеличила внутренние угрозы со стороны сотрудников, которые рискуют активами компании, например, крадут конфиденциальные данные для личного использования или получения выгоды, поскольку работодатели имеют меньше информации о том, к чему имеют доступ сотрудники", - заметил Джозеф Карсон, главный специалист по безопасности в Thycotic.
"У сотрудников есть устройства компании, которые зависят от сетевой безопасности - например, шлюзы электронной почты, веб-шлюзы, системы обнаружения вторжений или брандмауэры - для защиты этих устройств", - отмечает эксперт.
"Сейчас большая часть этих средств защиты практически бесполезна, потому что устройства были перенесены в общедоступный Интернет", - говорит он.
Методы противодействия
Как организации могут отговорить сотрудников от игнорирования политик безопасности?
"Использование политик безопасности с минимальным трением - лучший способ достичь цели", - сказал Дэвид Стюарт, генеральный директор компании Approov из Эдинбурга, Великобритания, которая выполняет динамический анализ программного обеспечения на двоичном уровне.
"Если защита невидима, у сотрудника нет стимула обходить ее", - говорит он.
Крис Клемент, вице-президент по архитектуре решений Cerberus Sentinel, консалтинговой компании по кибербезопасности и тестирования на проникновение из Скоттсдейла, штат Аризона, рекомендовал использовать стимулы.
"Найдите способы сделать безопасность простой или даже прозрачной для ваших пользователей, и соблюдение политик будет высоким", - говорит эксперт.
"Тем не менее, всегда есть люди со злым умыслом, которых нужно остерегаться", - добавил он. "Регулярный мониторинг и аудит действий пользователей необходимы, чтобы иметь возможность быстро выявлять злонамеренные действия и реагировать на них".