Согласно исследованию, проведенному Dimensional Research, большинство ИБ-специалистов рассматривают действия хакеров и инсайдеров как равные по степени угрозы информационной безопасности. Эксперты выяснили, что половина специалистов по IT-безопасности больше обеспокоена внутренними угрозами, чем внешними. При этом 87% из них в первую очередь опасаются сотрудников, которые несознательно используют лазейки в правилах ИБ, чтобы выполнять свою работу. И только 13% больше боятся инсайдеров, которые действуют намерено.

«Внутренние угрозы становятся важными наравне с внешними. Это означает, что желание сотрудников обойти правила ИБ, чтобы более рационально выполнять работу, теперь представляется таким же потенциально опасным, как и желание хакеров навредить. Однако это видение пока не нашло отражения в распределении бюджета на информационную безопасность, который традиционно направляют на обеспечение безопасности по внешнему периметру», — цитирует основателя и руководителя Dimensional Research портал Help Net Security.

Больше всего опрошенные ИБ-специалисты опасаются, что невнимательные и наивные сотрудники установят вредоносное ПО, в этом признались 73% участников исследования. На втором месте в списке основных страхов – кража или взлом учетных записей, на него указали 66% специалистов. Утечки информации и злоупотребления правами системного администратора волнуют 65% и 63% сотрудников ИБ-подразделений соответственно. Исследователи Dimensional Research проанализировали также, как обстоят дела с обучением основам информационной безопасности. Правилам ИБ сотрудников обучают 95% компаний, но только 10% – верят в результат. При этом две трети компаний считают важным проводить обучение в режиме реального времени, то есть сразу объяснять пользователю, когда он или она нарушают политики ИБ. Ранее Help Net Security опубликовал исследование CEB, согласно которому около 65% сотрудников регулярно нарушают правила ради удобства, например, используют личную почту и облачные хранилища для пересылки и хранения корпоративных документов, чтобы поработать с ними за пределами офиса. Подобный отказ от правил безопасности в пользу комфорта и продуктивности обходится дорого. Например, компания из списка Fortune 1000 тратят в среднем 400 тысяч долларов в год, чтобы уведомить клиентов и сотрудников об утечках информации. По данным CEB, 45% сотрудников нарушают политики безопасности неумышленно. Они игнорируют правила, особенно те, которые кажутся им ненужными, чтобы облегчить работу. Аналитик CEB отмечают: такая «наивная рационализация» ставит под угрозу и сохранность чувствительных данных, и бизнес-стратегию в целом. Эксперты рекомендуют компаниям соблюдать два правила: не хранить без необходимости большие объемы информации и внедрить механизмы безопасности в рабочие процессы.