Согласно новому отчету HP Wolf Security «Rebellions & Rejections» («Бунтарство и неприятие») почти половина (48%) молодых офисных работников (18-24 лет) рассматривают средства безопасности как препятствие в их деятельности. В результате почти треть (31%) работников пытается обойти корпоративные политики безопасности для того, чтобы своевременно выполнять поставленные задачи. А 39% респондентов уверяют, что не знали, о чем говорится в корпоративных политиках безопасности, или даже о существовании таковых в их компаниях. И это, по мнению авторов отчета, свидетельствует о растущем безразличии к информационной безопасности среди молодых сотрудников.

А опрос исследовательской фирмы Toluna (данные которого НР также использовала) среди 1100 лиц, принимающих решения в области ИТ, 83% специалистов уверены: увеличение доли сотрудников, работающих из дома, вызывает эффект «бомбы замедленного действия» и неизбежно приведет к взлому корпоративной сети. При этом 69% ИТ-специалистов утверждают, что из-за необходимости введения подобных ограничений они ощущают себя «в роли злодеев».

В НP Wolf Security считают, что в последнее время возрастает напряженность между ИТ-командами и сотрудниками, работающими удаленно. В то время как ИТ-руководителям приходится идти на компромисс при внедрении новых мер безопасности в угоду обеспечения непрерывности бизнес процессов, несмотря на растущие киберугрозы, сотрудники противодействуют их усилиям по повышению безопасности. Более половины (54%) 18-24-летних больше беспокоятся о соблюдении дедлайнов в своих проектах, чем о том, что их организация подвергнется утечке данных. Как следствие, 91% из опрошенных ИТ-сотрудников сообщают, что вынуждены идти на компромиссы в вопросах безопасности в угоду сохранения непрерывности бизнеса.

Имеет место быть

Так, согласно исследованиям западных компаний, обстоят дела в таких странах как Великобритания, США, Канада, Мексика, Австралия и Япония. А что происходит в России, сталкиваются ли российские ИТ-компании с подобными явлениями? Действительно ли офисные работники не считают угрозы корпоративной безопасности «серьезными» и пытаются всячески «обойти» требования информационной безопасности?

Опрос CRN/RE показал, что российские ИТ-компании также столкнулись с подобной проблемой.

По словам заместителя директора по маркетингу и развитию «Альдо» Сергея Мотолыгина, это является реальной проблемой, «так как в наш цифровой век забота о безопасности данных и в целом о безопасности ИТ структуры предприятия является одним из ключевых факторов успешной работы».

Генеральный директор «Акцент» Александр Вознесенский полагает, что в большей степени эта ситуация связана с локдауном, введенным в 2020 году: «Именно в это время все компании массово перешли на удаленный режим работы. Сотрудники этих компаний без подготовки оказались в ситуации, когда стираются четкие грани между личной жизнью и работой. В этот период многие ИТ-компании столкнулись с трудностями при настройке корпоративной безопасности таких сотрудников в условиях обеспечения непрерывности бизнеса для своих клиентов. В 2021 году тенденция удаленной работы не сбавляет оборотов, и многие компании продолжают работать из „домашнего офиса“. Даже сейчас многие сотрудники, конечно, пытаются обойти корпоративную безопасность, но система защиты информация строится по принципу „железного затвора“, то есть невозможно пренебречь тем или иным аспектом или обойти систему защиты при работе с защищаемой информацией. Мы уверены, что в ИТ-компаниях такая ситуация также возможна, так как команда сотрудников постоянно пополняется молодыми специалистами».

«Действительно, многие компании склонны рассматривать сотрудников как одну из главных угроз информационной безопасности, — размышляет основатель и генеральный директор СОНЕТ Алексей Малышев. — Многие сотрудники имеют непосредственный доступ к информациям о клиентах, работают с нею (а в условиях удаленки, возможно, и с личных устройств) и могут сами того не ведая стать причиной утечки конфиденциальных данных. Кроме того, есть такой вид угроз со стороны сотрудников как инсайдеры, которые намеренно сливают корпоративную информацию конкурентам. Именно поэтому компании вынуждены защищаться от этих угроз и искать золотую середину между удобством работы и безопасностью». Алексей Малышев приводит несколько примеров того, как настройки безопасности влияют на удобство работы сотрудников: «В условиях работы с данными через Интернет в настоящее время просто необходимо иметь на устройстве средства антивирусной защиты, препятствующие случайному заражению компьютера вредоносными программами, которые могут украсть информацию, вывести из строя рабочую станцию или вообще зашифровать всю имеющуюся информацию и сделать ее недоступной для дальнейшего использования. Сам антивирус накладывает дополнительные требования к рабочей станции, поскольку при работе использует достаточно много ресурсов. Если использовать слабую машину, сотрудники будут жаловаться, что у них все тормозит. Это действительно усложняет их работу». Второй пример: «В эпоху повсеместного развития технологий и повышения компьютерной грамотности мы все привыкли к персональным устройствам, считаем их своими, хотим полностью контролировать. Поэтому многие сотрудники часто просят предоставить административные права к рабочим компьютерам, мотивируя это тем, что в работе часто приходится устанавливать определенный софт (или обновления) и обращения в ИТ-отдел занимают достаточно много времени. Рядовые сотрудники (в отличие от ИТ-отдела) не заботятся о том, что любые устанавливаемые на ПК программы необходимо получать из доверенных источников, проверять на наличие вредоносного ПО, соблюдать требования по лицензированию, проверять на совместимость с другими установленными программами, и такими своими действиями могут „сломать“ рабочую станцию». Еще один пример напрямую связан с удаленной работой. «Сотрудники хотят работать удаленно, сотрудникам удобно работать удаленно, — продолжает Алексей Малышев. — Для компании это означает, что оборудование (будь то рабочая станция или личное устройство сотрудника) окажется вне более защищенной корпоративной сети и будет более подвержено различным угрозам безопасности. Кроме того, дома сотрудники использую менее эффективные способы защиты, чем в офисе. Поэтому ИТ-отдел для повышения безопасности устанавливает различные комплексы программ для работы с корпоративными данными по защищенным каналам и контроля активности сотрудника, а также системы предотвращения утечек данных по сторонним каналам. Это сказывается на удобстве работы и эмоциональном состоянии: приходится тратить некоторое время на настройку подключения к сети компании и следовать определенным правилам, заданным программой по контролю активности».

По оценкам директора по стратегическим коммуникациям Infosecurity a Softline Company Александра Дворянского, «вопрос корпоративной информационной безопасности и удобства пользователей всегда решается параллельно». «Однако практика показывает, что компромисс со стороны ИТ-службы в наше время не уместен, и стоит рассматривать решение, отвечающее всем требованиям и регламентам безопасности компании, при этом не создающее пользователям, включая удаленных проблем и сложностей с доступом к корпоративным ресурсам, — говорит он. — Традиционно ИТ- и ИБ-компании находятся в более выгодном положении, так как практикуют удаленную работу и удаленных сотрудников в регионах, соответственно технологии и стандарты подключения и аутентификации уже отработаны. Поэтому как при пандемии в 2020, когда многим компаниям приходилось в крайне сжатые сроки переводить сотрудников на удаленную работу, так и сейчас особых проблем и трудностей удаленная аутентификация и разграничение прав доступа у пользователей не вызывает. Хорошей практикой не только для ИТ-компаний, но и компаний других отраслей, является внутренний awareness* или комплекс мероприятий по повышению осведомленности по вопросом безопасности, адаптированный под сотрудников не связанных с ИТ, бек-офис, администрация и т. п.».

Директор по информационным технологиям ИТ-компании КРОК Марина Конова напоминает: «В целом люди, независимо от страны и возраста, не любят усложнений и каких-то дополнительных неудобств. А меры обеспечения ИБ, даже самые простые и изящные — это, как правило, какое-то „неудобство“: дополнительное ожидание или действие (а возможно и не одно), будь то двухфакторная аутентификация или необходимость ввести пароль сложнее четырех единиц. При этом уровень осознанности и самодисциплины у сотрудников разный. Могу предположить, что у более взрослых людей ввиду банально большего жизненного опыта (и,

возможно, сталкивавшихся с последствиями несоблюдения правил ИБ в анамнезе) откровенный саботаж может выражаться в меньшей степени. Но по своему опыту могу сказать, что явной корреляции между концентрацией саботажников и их возрастом не выявляла: например, пытаться методично саботировать установку более сложного пароля может как студент-стажер, так и опытный сотрудник с десятилетним стажем».

А вот по словам генерального директора STEP LOGIC Антона Прокофьева, «неправильно говорить об „ИБ-саботаже“ и переводить разговор в плоскость субъективных недостатков персонала»: «Противоречие на оси „эффективность — безопасность“ существует объективно, это понимает каждый менеджер, занимавшийся тюнингом бизнес-процессов в этих направлениях. Каждый дополнительный контрольный механизм, встраиваемый в бизнес-процесс, замедляет его, удорожает и усложняет, а следовательно — повышает вероятность возникновения ошибок».

Модель поведения

Комментируя выводы исследования, директор по информационной безопасности (CISO) в HP Inc. Джоанна Берки подчеркивает: «Директора по информационной безопасности сталкиваются с растущим объемом атак, увеличением их скорости и серьезности характера. Их командам приходится работать круглосуточно, чтобы обеспечить информационную безопасность, и при этом стараться проводить цифровизацию бизнеса в условиях, когда устройства сотрудников находятся вне периметра компании. Бремя обеспечения безопасности не должно лежать исключительно на плечах ИТ-специалистов, ведь информационная безопасность — это комплексная задача, в решении которой должен участвовать каждый».

Какая модель поведения руководства в подобной ситуации может быть максимально эффективной? По мнению Берки, «чтобы сделать культуру безопасности общим делом, мы должны вовлекать в ее формирование сотрудников и информировать их о растущих рисках». «В то же время ИТ-отделам необходимо лучше понимать, как кибербезопасность влияет на рабочие процессы и продуктивность сотрудников, — считает она. — Таким образом, нам следует переосмыслить обеспечение безопасности с учетом потребностей как бизнеса, так и гибридной рабочей силы».

Сергей Мотолыгин полагает, что «модель поведения руководства именно в этом аспекте должна быть максимально жесткой»: «Если сотрудник не понимает (или делает вид, что не понимает) важности соблюдения регламентов по безопасности в компании, то это 100% служебное несоответствие».

По словам Александра Дрорянского, «в современном мире, где цифровизация с каждым годом все больше проникает в ключевые бизнес-процессы компании, говорить о компромиссах между бизнесом и информационной безопасностью уже не приходится»: «Перед злоумышленниками и топ-менеджер, и рядовой специалист в большинстве случаев равны, так как риски, связанные с компрометацией ключевой информации, репутационные риски для компании и т. п. могут в разы превышать пользу от одного конкретного проекта (особенно если детали этого проекта могут утечь в сеть). Поэтому если у компании процесс обеспечения удаленного доступа, аутентификации и проч. реализован с соблюдением требований безопасности, равно как и удобства пользователей, соблюдение требований и регламентов не занимает много времени и, соответственно, не сказывается на сроках проекта. Все больше компаний вводят стандарты и нормы по соблюдению информационной безопасности на уровне внутренних приказов и регламентов, которые обязательны к исполнению всем без исключения сотрудникам компании.

«Как я уже говорил выше, информационная безопасность — это компромисс между защищенностью и удобством работы с данными, — напоминает Алексей Малышев. — Безусловно, технологический прогресс стремится к созданию удобных и безопасных систем, и, возможно, когда-то это станет реальностью, а пока руководству приходится выбирать между безопасностью и удобством работы. И поведение руководства в этом вопросе должно напрямую зависеть от предполагаемых последствий нарушения информационной безопасности в конкретной компании, начиная с административных мер при поиске и приеме сотрудников на работу (договора о неразглашении конфиденциальной информации), поддержания в коллективе здорового нравственного климата (чтобы у сотрудников не возникало желания слить информацию конкурентам) и заканчивая повышением грамотности по ИБ (чтобы снизить вероятность сотрудника стать доступным источником информации для злоумышленника)».

Андрей Вознесенский полагает, что «для уменьшения „обходов“ требований ИБ необходимо регулярно повышать осведомленность сотрудников путем проведения инструктажей, периодических проверок соблюдения требований — как организационно, так и с помощью специализированных программ»: «Возможно, смоделировать кибератаку, чтобы столкнуть сотрудника с реальными угрозами безопасности».

«Со стороны руководства, думаю, максимально эффективной является стратегия вплетения осознанности в вопросах ИБ в корпоративную культуру, прозрачная и последовательная политика в вопросах ИБ, без поблажек, исключений и т. п., — полагает Марина Конова. — То есть до сотрудников необходимо на регулярной основе доносить/напоминать правила ИБ (и они должны быть едиными для всех), подсвечивать гипотетические последствия нарушения, причем делать это органично и насколько возможно „незанудно“, подключая, например, геймификацию».

По мнению Антона Прокофьева, «в поиске оптимального пути „между Сциллой и Харибдой“ и заключается суть работы менеджера»: «Я ни в коем случае не отрицаю важности определения модели угроз, их ранжирования, приоритизации, выбора модели реагирования. Но в реальной жизни многие решения приходится принимать на основе интуиции — всю полноту информации для получения аналитически точного решения чаще всего получить невозможно».

Поднятая в отчете НР проблема, безусловно, серьезная, и, скорее всего, решить ее «окончательно и бесповоротно» вряд ли получится. Однако, несомненно, что в российских ИТ-компаниях есть не только понимание ее серьезности, но и свои варианты решения.

*Awareness (информированность, осведомленность) — один из основных аналитических инструментарий маркетолога, показывающий проникновение бренда в целевую аудиторию.

Источник: Наталья Басина, crn.ru

Версия для печати (без изображений)   Все новости