Megjelent: 10 éve

Adatszivárgás: figyeljünk a munkatársakra!

Az adatszivárgást okozó munkavállalók között többségben vannak a jó szándékú és a hanyag kollégák, de előfordulnak rosszindulatúak is. Amíg az első csoport a vállalat érdekeit szem előtt tartva jóhiszeműen vagy gondatlanul szegi meg a biztonsági előírásokat, addig a rosszindulatú munkavállalók csak a saját érdekükben cselekszenek. Mindkét csoport fenyegetést jelent a vállalatok biztonságára, és csak kevesen veszik észre, mennyire fontos, hogy a mindkét csoport által jelentett kockázatot mérsékelni tudják.

- Minden ügyfelünknél külön hangsúlyozzuk, hogy vállalati oldalról közelítsék meg a problémát, és ne bűnözőként kezeljék ezeket a munkavállalókat, mert így könnyen elveszthetnek egy tehetséges, jó munkaerőt vagy megronthatják kollégáik kapcsolatait a vállalaton belül. A képzés és a megfelelő biztonsági kultúra kialakítása, illetve a tökéletesített és automatizált IT megoldás segíthet csökkenteni a kockázatokat és fenntartani a hatékonyságot - nyilatkozta Egerszegi Krisztián, a CDSYS ügyvezető igazgatója. - A DLP (adatszivárgás elleni védelmi) rendszerek telepítésénél éppen ezért fontos, hogy folyamatos tanácsadással segítsük a biztonságért felelős vezető munkáját a többi munkavállaló képzésében és megismerésében. Legtöbb esetben ez a tanácsadói munka tovább tart, mint a szoftver telepítése - folytatta Egerszegi Krisztián.

A Symantec frissen közzétett "Organizational Security and the Insider Threat: Malicious, Negligent and Well-Meaning Insiders" című tanulmányában több nemzetközi kutatásra alapozva elemezte a belső adatvesztés okait. Az anyagban szereplő - többek között hazai munkavállalók részvételével is végzett - felmérés szerint a válaszadók majdnem fele (48 százalék) dolgozik távoli elérést is használva, az esetek 18 százalékában nem biztonságos rendszer igénybe vételével. A dolgozók majdnem háromnegyede (71 százalék) küld bizalmas anyagot a privát email-címére, hogy a vállalaton kívül dolgozzon vele, illetve 42 százalék védelem nélküli USB-re másol anyagokat.

Az esetek 90 százalékában a vállalatok rendelkeztek IT biztonsági szabályzattal, de ez nem akadályozta meg a munkavállalókat a fentiekben. A munkavállalók 78 százaléka gondolta, hogy az információk bizalmas kezelése egyedül az IT-osztály felelőssége.

Ahhoz, hogy vállalatunk védve legyen az ilyen téves felfogás miatt kialakuló fenyegetésektől, azonosítani kell, kik és milyen formában kezelnek adatokat. Nem minden munkavállaló kockázati profilja azonos, így a biztonsági intézkedéseket pontosan az egyes karakterekhez kell igazítani.

A kockázati csoportok

A felmérés alapján a tanulmány a következő személyiségtípusokat, illetve kockázati profilokat azonosította be:

  • Az aláásók a saját munkájuk megkönnyítése érdekében nem foglalkoznak a biztonsági szabályokkal. Könnyen megjegyezhető jelszavakat adnak, néha meg is osztják ezeket.
  • A túlteljesítők szándékosan megkerülik a biztonsági előírásokat, azt gondolva, hogy ezzel hatékonyabban tudják szolgálni a vállalat érdekeit és saját karrierjüket. Példa erre a munkát lassító és hatékonyságot csökkentő titkosítások elhagyása.
  • A manipuláltak azok az alacsonyabb pozícióban lévő munkatársak, akik személyes kapcsolatban állnak a vásárlókkal, ezért lehetnek a bizalmukkal visszaélő rosszindulatú külső behatolók célpontjai (social engineering). Általában segítő szándékkal adják ki a kódokat, információkat, a "mindent az ügyfélért" elv alapján, abban a hitben, hogy a cég érdekében cselekednek.
  • Az egyre növekvő számú szivárogtatók különféle etikai megfontolások alapján adják ki a bizalmas adatokat a nyilvánosság számára, azt gondolva, hogy az embereknek tudomást kell szerezni ezekről az információkról. A szivárogtatások általában valamilyen közösségi szolgáltatáson keresztül zajlanak. Ezek az akciók a vállalat érdekeivel ellentétesen történnek, és a legtöbbször illegálisak, mégsem nevezhetjük egyszerűen rosszindulatúnak, ha a közvélemény tájékoztatása a cél. Erre kiváló példa a WikiLeaks ügye.
  • Az adat "ömlesztők" olyan munkavállalók, akiknek legális hozzáférése van az információkhoz, és hajlamosak az adatvesztésre, mivel az egyébként is laza IT szabályok nem ellenőrzik megfelelően a berögzült vállalati gyakorlatokat.

    Az adatvesztők típusai:

    - Véletlenül adják ki az információt elvesztett eszközökön (laptop, okostelefon, CD lemez, USB stick) keresztül. Bár ezek az incidensek aránylag kicsi anyagi veszteséget, de komoly információ mennyiség elvesztését jelentik a vállalatnak, mégis komolyan rontják a cég hírnevét a nagy médiaérdeklődés miatt.

    - Kiviszik az adatokat a biztonságos környezetből, hogy irodán kívül dolgozzanak vele, azonban a munka végeztével már nem törlik ezeket az információkat.

    - Adatokat hagynak a leselejtezett, lecserélt számítógépeken. Egy 2009-es felmérés szerint az aukciós oldalakon árult merevlemezek 40 százaléka tartalmazott céges adatokat, e-maileket, és fotókat.

    - Nem elég körültekintően osztják meg az adatokat egy harmadik személlyel.

    - Védelem nélkül küldenek adatokat nyilvános szolgáltatókon keresztül - például postán -, ahol a bizalmas információk elvesznek, illetve rossz kezekbe kerülnek.

    - Elavult levelezési és információs címlistákra küldenek bizalmas anyagokat.

    A fenti problémák megoldása történhet megerősített informatikai szabályozással és a munkatársak megfelelő képzésével is. Mindkét megoldás célja, hogy megőrizzük emberi- és technológiai erőforrásainkat.
    • 2021.08.10 Munkavédelmi technikus Munkavédelmi technikusra lehet szüksége minden olyan cégnek, amelynél kiemelten fontos a munkahelyi egészség és biztonság megvalósítása. A Munkavédelmi technikus ugyanis elősegíti a munkahelyi balesetek és foglalkozási megbetegedések megelőzését, valamint a munkavédelemre fordított költségek optimalizálást. Támogatja a munkáltatót a munkavédelmi kötelezettségek teljesítésében, ezzel hozzájárul a mulasztások és szabályszegések hátrányos személyi és anyagi következményeinek elkerüléséhez Részletek Jegyek
    • 2021.08.28Agilis Transformáció Leader képzés online, videokonferenciás Hazánkban egyre több és több vállalat lép az agilis átalakulás útjára, így felértékelődik az agilis transzformációt vezető szakemberek jelentősége. Az Agile Transformation Leader egy olyan szervezetfejlesztő szakember, aki felkészíti és végig kíséri az agilis átalakulás útján a vállalatot. Ügyfél-fókuszt, Design Thinking szemléletet hoz be, vezetőket coachol, csapatokat mentorál, miközben pozitív, felhatalmazó légkört teremt a szervezeten belül. Részletek Jegyek
    • 2021.09.23HR Basic Sajátítsd el évek helyett 12 napban az operatív HR munka legfontosabb eszközeit! HR gondolkodás e-learning videókkal, esettanulmányokkal, testre szabva gyakorlatorientáltan. Részletek Jegyek
    • 2021.09.28Kötelező visszaélés-bejelentési rendszer bevezetése, alkalmazása Az EU 2019/1937 sz. irányelve új kötelezettséget ír elő. Visszaélés-bejelentési rendszert kell alkalmazni. Minden 50 fő feletti munkavállalót foglalkoztató vállalkozásnak, továbbá a közszférában működő szervezetnek kötelező lesz visszaélés bejelentési rendszert kialakítania és működtetnie. Részletek Jegyek
    Follow hrportal_hu on Twitter
    További cikkek
    A fenntarthatóságban is stílust teremtenek a textilnyomtatók

    Sose volt annyira egyszerű ruhatervekből kézzelfogható divatcikkeket létrehozni, mint a festékszublimációs textilnyomtatók korában. A rendkívül... Teljes cikk

    Budapesten alakítja ki új Automatizációs Tudásközpontját a Morgan Stanley

    A Morgan Stanley úgy döntött, hogy Budapesten alakítja ki azt a tudásközpontot, amelynek célja az automatizáció felgyorsítása a banknál a... Teljes cikk

    A túlélés záloga lehet a jól digitalizált humán erőforrás menedzsment

    Hazai HR és IT szakértői körben egyre gyakrabban merül fel az igény a szervezet által alkalmazott HR informatikai megoldások továbbfejlesztése, vagy... Teljes cikk