هنگامی که جرایم اینترنتی رخ می دهند ، واضح است که بزرگترین تهدید برای شرکت شما یک تهدید خارجی است. با این حال، شرکتها بیشتر از قبل پی بردند که کارمندان نیز می تواند تهدید بزرگی برای امنیت اطلاعات محسوب شود.
در واقع، در گزارش اخیر فناوری haystax مشخص شده است که 74٪ از سازمانهای مورد بررسی “احساس آسیب پذیری نسبت به تهدیدهای داخلی” داشتند و 56 درصد از متخصصان امنیتی نیز مطمئن بودند که تهدیدات داخلی در مقایسه با سال گذشته بیشتر بوده است.
در حالی که ممکن است برخی از حملات و مشکلات ایجاد شده عمدا از سوی کارمندان رخ بدهند ، بسیاری نیز به دلیل سهل انگاری رخ میدهد، این سهل انگاری ها ممکن است نادیده گرفتن یک هشدار یا دنبال نکردن یک دستور العمل یا حتی یک خطای ساده انسانی باشد. در این مقاله سه گروه از کارمندان که می توانند موجب نقض در امنیت اطلاعات سازمان ها شوند، به شرح زیر است :
1- اقدامات سهوی
هنگامی که نقض داده ای رخ می دهد، کارمندان بی تقصیری می توانند به همان اندازه که هکرهای مخرب باعث خرابکاری می شوند، خطرانی را در حوزه ی امنیت اطلاعات ایجاد کنند. طبق بررسی های انجام شده بیش از 160 نقض داده ای که بین سالهای 2014 و 2015 اتفاق افتاده است به دلیل خطای انسانی بودند مثل (گم شدند تلفن های همراه، نامه هایی که به آدرس های اشتباه پست شده اند و حتی فایل های حاوی اطلاعات حساس که به یک شخص سومی فروخته شده اند).
مثال دیگری که میتوان در رابطه با این نقض داده در سال 2016 مشاهده کرد در یک شرکت آمریکایی بود که کارمند سابق و بی تقصیری “سهوا و بدون سوء نیت قبلی” اطلاعات حساس را بر روی یک دستگاه شخصی دانلود و آن را ذخیره کره بود.
2- بی دقتی یا غفلت ؟
از هشدار امنیتی که بر روی صفحه نمایش شما نشان داده می شوند مطلع باشید. آیا شما همیشه اقدام لازم را انجام می دهید؟ در تحقیقی که توسط گوگل در سال 2013 انجام شد، مشخص شد که 25 میلیون ازهشدارهای Chrome توسط 70.2٪ افراد نادیده گرفته می شود و دلیل آن عدم اطلاع کاربران از دانش فنی لازم می باشد.
در جای دیگر، سیستم بهداشت و درمان St. Joseph دچار نقضی در سال 2012 شد که علت آن پیکربندی نادرست تنظیمات امنیتی بود و منجر شد اطلاعات خصوصی پزشکان برای دیگران قابل مشاهده باشد. با توجه به ماهیت حساس این سوابق، هزینه زیادی برای کمپانی به همراه داشت.
3- مخرب ها
متاسفانه، به دنبال خطای انسانی، اقدامات مخربی نیز توسط کارکنان در خصوص نقض داده ها صورت می گیرد. با توجه به تحقیقی که در سال 2016 انجام شد، مشخص شد که یکی از کارکنان سابق به طور نامحسوسی به جمع آوری داده ها برای خود پرداخته است. جالب اینجاست که فعالیت های مخرب در طی یک دوره شش ساله به وقوع پیوسته است.
بزرگ ترین سوپر مارکت بریتانیا ، نیز گزارش داد که یکی از کارمند ناراضی آنها اطلاعات شخصی نزدیک به 100,000 نفر از کارکنان را در اینترنت منتشرکرده است. اگرچه این اتفاق در سال 2014 رخ داد ولی این شرکت هنوز هم درگیر عواقب ناشی از این موضوع است.
چه می توان کرد؟
بر اساس یک نظرسنجی در 2016، 93 درصد از پاسخ دهندگان معتقد بودند که رفتارهای انسانی یکی از برزگترین خطرات در حفظ امنیت اطلاعات است. یکی از محققان برگزارکننده این نظرسنجی، معتقد است که ممکن است شرکت ها به دلیل سوءتفاهم، تفسیر اشتباه و یا سیاست ها و روش های قدیمی امنیت، اقدام به مواخذه کارمندان خود کنند.
با توجه به تاثیر نشت داده ها و آسیب هایی مثل زیان مالی یا خدشه دار کردن شهرت و اعتبار شرکت، که به کسب و کار وارد می کند، عجیب نیست که شرکت ها روز به روز به دنبال پیدا کردن راههایی برای کنترل و محدودیت دسترسی به سیستم های کامپیوتری باشند.
افزایش آگاهی کارکنان
شاید گام منطقی برای کارفرمایان این باشد که نسبت به آگاهی کارمندان خود از تاثیر بالقوه عملکرد آنها و چگونگی جلوگیری از، از دست دادن ناخودآگاه داده ها، تلاش کنند. همچنین مهم است که به کارمندان آموزش مناسب داده شود نه آموزش خیلی پیچیده مربوط به حوزه IT.
اطلاعات را امن نگه دارید
کارشناسان ESET، معتقدند میلیون ها دلیل برای رمزگذاری بروی داده ها وجود دارد با اینکه ممکن است تمامی آن ها قابل قبول نباشند، اما رمزگذاری صحیح داده ها کمک زیادی به حفظ امنیت داده ها و از دست نرفتن آنها می کند.
نظارت بر داده ها و رفتارها
نظارت دقیق منظم بروی استفاده از کامیپوترها و رفتارها، سازمان های را قادر می کنند که فعالیت های خطرناک را به موقع شناسایی کنند. طرح BYOD که در بسیاری از سازمان ها و شرکت ها اجرا می شوند باید به دقت نظارت و کنترل شود.
نگاهی به آینده
با در نظر گرفتن خطرات ناشی از رفتار کارمندان (حتی سهوی) که باعث تاثیرات فاجعه باری در امنیت شرکت های می شود، جای تعجب نخواهد بود که کارفرمایان روش هایی سخت گیرانه تری را برای مقابله با تهدیدات امنیتی خود به کار گیرند.
منبع : www.welivesecurity.com
