Wraz z rozwojem infrastruktury IT firmy rozwija się również krajobraz zagrożeń. Nowe komponenty oznaczają nowe luki w zabezpieczeniach. Sytuację pogarsza fakt, że nie wszyscy pracownicy – zwłaszcza ci bez specjalistycznej wiedzy w zakresie IT – mogą dotrzymać kroku szybko rozwijającemu się środowisku IT. W efekcie firma jest narażona nie tylko na zagrożenia zewnętrzne, ale również wewnętrzne, których źródłem są pracownicy.
Potwierdziło to niedawne badanie przeprowadzone wśród około 5 500 specjalistów ds. IT z ponad 25 krajów na całym świecie. Wyniki wykazały, że 21% firm dotkniętych zagrożeniami wewnętrznymi straciło cenne dane, co wpłynęło na ich działalność. Warto wspomnieć, że badanie dotyczyło incydentów przypadkowych wycieków danych (28%) oraz celowych wycieków cennych informacji firmowych (14%).
Średnie straty finansowe ponoszone przez małe i średnie firmy w wyniku wycieków danych wynosiły 320 000 zł – 132 000 zł na skutek incydentów przypadkowych oraz 188 000 zł w wyniku celowych wycieków. W przypadku przedsiębiorstw kwoty te wynosiły odpowiednio 5,16 mln, 2,17 mln oraz 3 mln zł.
Oprócz wycieków danych zagrożenia wewnętrzne obejmują utratę i kradzież mobilnych urządzeń pracowników. 19% respondentów potwierdziło, że przynajmniej raz w roku straciło urządzenie mobilne zawierające dane korporacyjne.
Kolejnym istotnym czynnikiem są oszustwa popełniane przez pracowników. 15% badanych organizacji trafiło na sytuacje, w których zasoby firmowe, w tym finanse, były wykorzystywane przez pracowników do własnych celów. Chociaż odsetek ten jest niewielki, straty spowodowane na skutek tych incydentów były wyższe niż te wynikające z wycieku poufnych danych. Małe i średnie firmy tracą średnio do 160 000 zł na skutek oszukańczych działań pracowników, podczas gdy w przypadku przedsiębiorstw kwota ta przekracza 5,2 mln dolarów.
“Nie jest żadną tajemnicą, że samo rozwiązanie bezpieczeństwa nie wystarczy do zabezpieczenia danych firmowych. Potwierdzają to wyniki badania” – powiedział Konstantin Woronkow, szef działu odpowiedzialnego za produkty bezpieczeństwa dla punktów końcowych, Kaspersky Lab. “Niezbędne jest zintegrowane, wielopoziomowe podejście wspomagane analizą danych bezpieczeństwa oraz innymi metodami uzupełniającymi. Metody te mogą obejmować wykorzystywanie wyspecjalizowanych rozwiązań oraz wprowadzenie polityk bezpieczeństwa, takich jak ograniczenie praw dostępu”.