ESET: Για ποιους εργαζόμενους ευθύνονται τα data breaches

Η άνοδος της επιχειρηματικής αξίας των δεδομένων καθιστά ακόμη σημαντικότερο το ζήτημα της προστασίας τους, με το θέμα των διαρροών να έχει σημαντικές νομικές και οικονομικές προεκτάσεις.

Καθώς τα data breaches δεν οφείλονται μόνο σε απειλές που προέρχονται εκτός των εταιριών, η ESET συγκέντρωσε στοιχεία και παραδείγματα που σκιαγραφούν τρεις κατηγορίες εργαζομένων, συχνά υπεύθυνες για διαρροές και παραβιάσεις κρίσιμων δεδομένων μίας εταιρίας.

Σύμφωνα με πρόσφατη έρευνα της Haystax

Technology, το 74% των εταιριών δεν είναι σίγουρο «για το πόσο ευάλωτος είναι ο οργανισμός σε απειλές εκ των έσω», ενώ το 56% των επαγγελματιών του χώρου της ασφάλειας δηλώνει με σιγουριά ότι «οι απειλές από το εσωτερικό των εταιριών ήταν συχνότερες» κατά το περασμένο έτος. Ο παράγοντας της απροσεξίας είναι πολύ σημαντικός. Περιπτώσεις data breaches λόγω ανθρώπινου λάθους, όπως συνέβη στις πόλεις Norfolk, Suffolk και Cambridgeshire στο Ηνωμένο Βασίλειο, όπου οι τοπικές αρχές κατέγραψαν πάνω από 160 παραβιάσεις δεδομένων μεταξύ 2014 και 2015, ή στην αμερικανική εταιρεία Federal Deposit Insurance Corp. (FDIC) το 2016, αποδεικνύουν ότι οι αθώοι εργαζόμενοι μπορούν να προκαλέσουν εξίσου σημαντικές απώλειες με τους κακόβουλους χάκερ.

Ένα άλλο χαρακτηριστικό των εργαζομένων που μπορεί να ευθύνεται για data breaches είναι η αμέλεια. Μια έρευνα της Google το 2013 αποκάλυψε ότι 25 εκατομμύρια ειδοποιήσεις στον Chrome αγνοούνται στο 70,2% των περιπτώσεων, εν μέρει λόγω έλλειψης τεχνικών γνώσεων των χρηστών – γεγονός μάλιστα που οδήγησε στην απλοποίηση του λεκτικού που χρησιμοποιεί η εταιρία για τις ειδοποιήσεις της. Η περίπτωση data breach στον οργανισμό St. Joseph Health το 2012, λόγω του ότι «δεν είχαν ρυθμιστεί σωστά» οι ρυθμίσεις ασφαλείας, είχε ως αποτέλεσμα να διαρρεύσουν απόρρητα ιατρικά αρχεία στο διαδίκτυο, γεγονός που στοίχισε στην εταιρία εκατομμύρια δολάρια.

Η τρίτη κατηγορία περιλαμβάνει τις σκόπιμα κακόβουλες ενέργειες, όπως αποδεικνύεται από το παράδειγμα της ρυθμιστικής αρχής τηλεπικοινωνιών OFCOM στο Ηνωμένο Βασίλειο, η οποία το 2016 ανακάλυψε ότι ένας πρώην υπάλληλος για έξι χρόνια συγκέντρωνε δεδομένα που ανήκουν σε τρίτους. Στην ίδια χώρα, η μεγάλη αλυσίδα σούπερ μάρκετ Morrisons ανέφερε περίπτωση όπου ένας δυσαρεστημένος υπάλληλος δημοσίευσε τα προσωπικά δεδομένα περίπου 100.000 υπαλλήλων στο διαδίκτυο. Παρόλο που το περιστατικό συνέβη το 2014, η εταιρεία εξακολουθεί να αντιμετωπίζει νομικές επιπτώσεις.

Σύμφωνα με έρευνα που πραγματοποιήθηκε το 2016 για λογαριασμό της Nuix, το 93% των ερωτηθέντων θεωρεί ότι η ανθρώπινη συμπεριφορά αποτελεί τον μεγαλύτερο κίνδυνο για την προστασία των δεδομένων. Για το λόγο αυτό, οι εταιρίες μπορούν να προβούν σε μία σειρά ενεργειών που θα περιορίσουν τον κίνδυνο των data breaches που προέρχεται από τις τρεις παραπάνω κατηγορίες εργαζομένων. Καταρχήν, να αυξήσουν την ευαισθητοποίηση των εργαζομένων αναφορικά με τη βαρύτητα και τις επιπτώσεις των πράξεων τους. Δεύτερον, να φροντίζουν για την προστασία των δεδομένων τους όσο περισσότερους τρόπους γίνεται – η κρυπτογράφηση είναι ένας από αυτούς και αποτελεί ένα πολύ σημαντικό σύμμαχο σε θέματα ασφάλειας. Τρίτον, χρειάζεται διαρκής έλεγχος της χρήσης υπολογιστών καθώς και των συμπεριφορών των εργαζομένων ώστε να εντοπίζονται ασυνήθιστες ή επικίνδυνες δραστηριότητες. Θα πρέπει επίσης να παρακολουθούνται και να ελέγχονται προσεκτικά τα προγράμματα BOYD τα οποία λειτουργούν σε πολλές εταιρείες. Και, τέλος, οι εταιρίες οφείλουν στο μέλλον να υιοθετήσουν μία αυστηρότερη προσέγγιση στο θέμα της εσωτερικής ασφάλειας, κατανοώντας ότι πρόκειται για ζήτημα διαφύλαξης της επιχειρηματικής συνέχειας.