Az általános vélekedéssel ellentétben az adatszivárgásra visszavezethető leggyakoribb és legköltségesebb károkat nem a külső támadók, hanem a munkavállalók okozzák a cégnek. Az informatikai biztonságért felelős vezetőkre a belső adatszivárgás megelőzésénél kettős feladat hárul. A tökéletes IT-megoldások kiépítése mellett HR-szakemberként is kell gondolkozniuk, hogy megértsék az egyes munkavállalók viselkedését.
Az adatszivárgást okozó munkavállalók között többségben vannak a jó szándékú és a hanyag kollégák, de előfordulnak rosszindulatúak is. Amíg az első csoport a vállalat érdekeit szem előtt tartva jóhiszeműen vagy gondatlanul szegi meg a biztonsági előírásokat, addig a rosszindulatú munkavállalók csak a saját érdekükben cselekszenek. Mindkét csoport fenyegetést jelent a vállalatok biztonságára, és csak kevesen veszik észre, mennyire fontos, hogy a mindkét csoport által jelentett kockázatot mérsékelni tudják.
„Minden ügyfelünknél külön hangsúlyozzuk, hogy vállalati oldalról közelítsék meg a problémát, és ne bűnözőként kezeljék ezeket a munkavállalókat, mert így könnyen elveszthetnek egy tehetséges, jó munkaerőt vagy megronthatják kollégáik kapcsolatait a vállalaton belül. A képzés és a megfelelő biztonsági kultúra kialakítása, illetve a tökéletesített és automatizált IT megoldás segíthet csökkenteni a kockázatokat és fenntartani a hatékonyságot – nyilatkozta Egerszegi Krisztián, a CDSYS ügyvezető igazgatója. – A DLP (adatszivárgás elleni védelmi) rendszerek telepítésénél éppen ezért fontos, hogy folyamatos tanácsadással segítsük a biztonságért felelős vezető munkáját a többi munkavállaló képzésében és megismerésében. Legtöbb esetben ez a tanácsadói munka tovább tart, mint a szoftver telepítése” – folytatta Egerszegi Krisztián.
A Symantec frissen közzé tett „Organizational Security and the Insider Threat: Malicious, Negligent and Well-Meaning Insiders” című tanulmányában több nemzetközi kutatásra alapozva elemezte a belső adatvesztés okait. Az anyagban szereplő – többek között hazai munkavállalók részvételével is végzett – felmérés szerint a válaszadók majdnem fele (48%) dolgozik távoli elérést is használva, az esetek 18%-ában nem biztonságos rendszer igénybe vételével. A dolgozók majdnem háromnegyede (71%) küld bizalmas anyagot a privát email-címére, hogy a vállalaton kívül dolgozzon vele, illetve 42% védelem nélküli USB-re másol anyagokat. Az esetek 90%-ban a vállalatok rendelkeztek IT biztonsági szabályzattal, de ez nem akadályozta meg a munkavállalókat a fentiekben. A munkavállalók 78%-a gondolta, hogy az információk bizalmas kezelése egyedül az IT-osztály felelőssége.
Ahhoz, hogy vállalatunk védve legyen az ilyen téves felfogás miatt kialakuló fenyegetésektől, azonosítani kell, kik és milyen formában kezelnek adatokat. Nem minden munkavállaló kockázati profilja azonos, így a biztonsági intézkedéseket pontosan az egyes karakterekhez kell igazítani.
A kockázati csoportok
A felmérés alapján a tanulmány a következő személyiségtípusokat, illetve kockázati profilokat azonosította be:
A fenti problémák megoldása történhet megerősített informatikai szabályozással és a munkatársak megfelelő képzésével is. Mindkét megoldás célja, hogy megőrizzük emberi- és technológiai erőforrásainkat.