跳到主体内容

卡巴斯基全球研究显示,员工违反信息安全政策的危害不亚于黑客攻击

2023年11月22日

根据卡巴斯基最近的一项研究,员工违反组织的信息安全政策与外部黑客攻击一样危险。过去两年,26%的企业网络事件是由于员工故意违反安全协议而造成的。这一数字几乎相当于网络安全入侵造成的损失,其中30%是因为黑客入侵。

人们普遍认为,人为错误是企业网络事件的主要原因之一。但事情并不是非黑即白的。一个组织的网络安全状况比这更复杂,有更多的因素会影响到网络安全。考虑到这一点,卡巴斯基进行了一项研究[1],以了解为全球中小企业和大型企业工作的IT安全专业人员对人们对公司网络安全的影响的看法。这项研究旨在收集影响网络安全的不同人群的信息,同时考虑到内部员工和外部参与者。

卡巴斯基的研究表明,除了真正的错误之外,员工违反信息安全政策是公司面临的最大问题之一。来自世界各地组织的受访者称,在过去两年中,非IT和IT员工都曾故意违反网络安全规则。他们表示,在过去两年中,因IT安全人员违反政策而导致的网络事件占12%。其他IT专业人员和非IT同事在违反安全协议时分别造成了11%和8%的网络事件。

在员工个人行为方面,最常见的问题是员工故意做被禁止的事情,另一方面,他们也没有旅行自己的职责。因此,受访者称,在过去两年发生的网络事件中,有四分之一(25%)是由于使用弱密码或未及时更改密码造成的。还有四分之一(24%)的网络安全入侵事件的是因为员工访问不安全网站造成的。另有21%的人表示,他们面临网络事件,因为员工没有在需要时更新系统软件或应用程序。

使用未经许可的服务或设备是造成故意违反信息安全政策的另一个主要原因。近四分之一(24%)的公司因员工使用未经授权的系统进行数据共享而遭遇网络事件。有21%的公司员工故意通过未经授权的设备访问数据,而其他企业则有20%的员工将数据发送到个人电子邮件地址。报告中提到的另一种行为是在工作设备上部署影子IT——11%的受访者表示这导致了他们公司的网络事件。

令人震惊的是,受访者承认,除了已经提到的不负责任的行为外,20%的恶意行为是员工为了个人利益而实施的。另一个有趣的发现是,员工故意恶意违反信息安全政策的行为在金融服务业是一个比较严重的问题,该行业 34% 的受访者表示有这种行为。

“对任何组织来说,除了外部网络安全威胁之外,还有许多内部因素可能导致网络安全事件的发生。统计数据显示,任何部门的员工,无论是非IT专业人员还是IT安全专业人员,都可能有意或无意地对网络安全造成负面影响。因此,在确保安全时,必须考虑防止违反信息安全政策的方法,即实施网络安全的综合方法。根据我们的研究,除了26%的网络事件是由违反信息安全政策引起的外,还有38%的违规行为是由于人为错误造成的。由于这些数字令人震惊,因此有必要从一开始就通过制定和执行安全政策以及提高员工的网络安全意识,在组织中创建网络安全文化。这样,员工就会更加负责任地对待规则,并清楚地了解违反规则可能带来的后果,”卡巴斯基信息安全负责人Alexey Vovk评论说。

 为了确保公司基础设施的安全,避免因员工违反信息安全政策而造成后果,卡巴斯基建议:

完整版报告以及更多有关人为因素对企业网络安全影响的更多见解,请参见这个链接


[1] 该调查在19个国家进行,分别为:巴西、智利、中国、哥伦比亚、法国、德国、印度、印度尼西亚、日本、哈萨克斯坦、墨西哥、俄罗斯、沙特阿拉伯、南非、西班牙、土耳其、阿联酋、英国和美国。

卡巴斯基全球研究显示,员工违反信息安全政策的危害不亚于黑客攻击

根据卡巴斯基最近的一项研究,员工违反组织的信息安全政策与外部黑客攻击一样危险。过去两年,26%的企业网络事件是由于员工故意违反安全协议而造成的。这一数字几乎相当于网络安全入侵造成的损失,其中30%是因为黑客入侵。
Kaspersky logo

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.cn.

相关文章 企业新闻