根据卡巴斯基最近的一项研究,员工违反组织的信息安全政策与外部黑客攻击一样危险。过去两年,26%的企业网络事件是由于员工故意违反安全协议而造成的。这一数字几乎相当于网络安全入侵造成的损失,其中30%是因为黑客入侵。
人们普遍认为,人为错误是企业网络事件的主要原因之一。但事情并不是非黑即白的。一个组织的网络安全状况比这更复杂,有更多的因素会影响到网络安全。考虑到这一点,卡巴斯基进行了一项研究[1],以了解为全球中小企业和大型企业工作的IT安全专业人员对人们对公司网络安全的影响的看法。这项研究旨在收集影响网络安全的不同人群的信息,同时考虑到内部员工和外部参与者。
卡巴斯基的研究表明,除了真正的错误之外,员工违反信息安全政策是公司面临的最大问题之一。来自世界各地组织的受访者称,在过去两年中,非IT和IT员工都曾故意违反网络安全规则。他们表示,在过去两年中,因IT安全人员违反政策而导致的网络事件占12%。其他IT专业人员和非IT同事在违反安全协议时分别造成了11%和8%的网络事件。
在员工个人行为方面,最常见的问题是员工故意做被禁止的事情,另一方面,他们也没有旅行自己的职责。因此,受访者称,在过去两年发生的网络事件中,有四分之一(25%)是由于使用弱密码或未及时更改密码造成的。还有四分之一(24%)的网络安全入侵事件的是因为员工访问不安全网站造成的。另有21%的人表示,他们面临网络事件,因为员工没有在需要时更新系统软件或应用程序。
使用未经许可的服务或设备是造成故意违反信息安全政策的另一个主要原因。近四分之一(24%)的公司因员工使用未经授权的系统进行数据共享而遭遇网络事件。有21%的公司员工故意通过未经授权的设备访问数据,而其他企业则有20%的员工将数据发送到个人电子邮件地址。报告中提到的另一种行为是在工作设备上部署影子IT——11%的受访者表示这导致了他们公司的网络事件。
令人震惊的是,受访者承认,除了已经提到的不负责任的行为外,20%的恶意行为是员工为了个人利益而实施的。另一个有趣的发现是,员工故意恶意违反信息安全政策的行为在金融服务业是一个比较严重的问题,该行业 34% 的受访者表示有这种行为。
“对任何组织来说,除了外部网络安全威胁之外,还有许多内部因素可能导致网络安全事件的发生。统计数据显示,任何部门的员工,无论是非IT专业人员还是IT安全专业人员,都可能有意或无意地对网络安全造成负面影响。因此,在确保安全时,必须考虑防止违反信息安全政策的方法,即实施网络安全的综合方法。根据我们的研究,除了26%的网络事件是由违反信息安全政策引起的外,还有38%的违规行为是由于人为错误造成的。由于这些数字令人震惊,因此有必要从一开始就通过制定和执行安全政策以及提高员工的网络安全意识,在组织中创建网络安全文化。这样,员工就会更加负责任地对待规则,并清楚地了解违反规则可能带来的后果,”卡巴斯基信息安全负责人Alexey Vovk评论说。
为了确保公司基础设施的安全,避免因员工违反信息安全政策而造成后果,卡巴斯基建议:
- 使用具有应用程序、网页和设备控制功能的网络安全产品,例如卡巴斯基网络安全解决方案和卡巴斯基端点安全云。该功能可以限制使用未经许可的应用程序、网站和外设,降低感染风险。
- 卡巴斯基网络安全解决方案高级版、卡巴斯基企业全方位安全和卡巴斯基端点检测和响应优化版中的高级异常控制功能可以避免“超出常规”的潜在危险活动,这些活动既可能是由用户进行的,也可能是由已经控制了系统的攻击者发起的。
- 控制数据双向传输,即进出系统的数据传输,因为这也会带来风险。利用卡巴斯基端点安全云、卡巴斯基邮件服务器安全和卡巴斯基微软Office 365安全软件,可以通过数据发现和内容过滤功能解决类似问题。
- 卡巴斯基互联网网关安全可防止未经请求的数据传输,无论其类型、平台保护状态或网络内端点的用户行为如何。
完整版报告以及更多有关人为因素对企业网络安全影响的更多见解,请参见这个链接。
[1] 该调查在19个国家进行,分别为:巴西、智利、中国、哥伦比亚、法国、德国、印度、印度尼西亚、日本、哈萨克斯坦、墨西哥、俄罗斯、沙特阿拉伯、南非、西班牙、土耳其、阿联酋、英国和美国。
