Aktualu:
Privatumas internete Produktyvumas Internetinis sukčiavimas Išmanūs namai Duomenų apsauga Išmanieji laikrodžiai

Pradinis puslapis » Naujausi straipsniai » Smalsus darbuotojas ar vidinis sukčius: kaip mažose įmonėse sumažinti duomenų nutekinimo riziką

Kibernetinis saugumas

Smalsus darbuotojas ar vidinis sukčius: kaip mažose įmonėse sumažinti duomenų nutekinimo riziką

Tomas Žukauskas 6 min. skaitymo
0 komentarų
Pagrindinė iliustracija
Pagrindinė iliustracija. Nuotrauka: Studio Republic / Unsplash.

Didžioji dalis kibernetinio saugumo patarimų kalba apie įsilaužėlius iš išorės, tačiau realybėje nemažą dalį incidentų lemia žmonės įmonės viduje. Ne visada tai piktybiški veiksmai, dažnai pakanka neatsargaus sprendimo, smalsumo ar elementaraus neapdairumo.

Mažoms ir vidutinėms įmonėms vidinės grėsmės ypač skausmingos: čia dažniau pasitikima „žodžiu“, mažiau formalios kontrolės, o vienas nesėkmingas įvykis gali smarkiai pakenkti reputacijai ir finansams. Laimei, dalį rizikų galima sumažinti įdiegus aiškias taisykles ir paprastus techninius sprendimus.

Kas laikoma vidine grėsme ir kodėl tai ne tik „blogi darbuotojai“

Vidine grėsme vadinama situacija, kai darbuotojas, partneris ar buvęs kolega, turintis prieigą prie sistemų, savo veiksmais kelia pavojų duomenų saugumui. Tai nebūtinai sąmoningas bandymas ką nors pavogti ar pakenkti įmonei.

Praktiškai vidinės grėsmės dažniausiai pasireiškia per neatsargų elgesį: dokumentų siuntimą į asmeninį el. paštą, slaptažodžių dalijimąsi kolegoms, prisijungimų neišsijungimą bendruose kompiuteriuose ar darbą iš neapsaugotų asmeninių įrenginių.

Dažniausios situacijos, kai informacija iškeliauja už įmonės ribų

Mažose įmonėse darbuotojai dažnai atlieka kelis vaidmenis, todėl turi plačias prieigas. Būtent čia slypi dalis rizikos. Dažniau pasitaikančios situacijos:

  • failų talpinimas asmeninėse debesijos paskyrose „kad būtų patogiau dirbti iš namų“;
  • klientų sąrašų ar komercinių pasiūlymų išsinešimas keičiant darbą;
  • netyčinis dalijimasis vidiniais failais su netinkamais adresatais;
  • nešiojamų kompiuterių ar USB laikmenų pametimas, kai juose saugoti nesifruoti duomenys.

Dalis tokių įvykių niekada nebūna paviešinti, tačiau jie vis tiek gali pažeisti klientų pasitikėjimą, sukelti teisinių problemų ar priversti patirti papildomų išlaidų incidento padariniams tvarkyti.

Mažų įmonių klaida: „pas mus visi savi, kam tos taisyklės“

Natūralu, kad komandoje norisi pasitikėjimo. Tačiau pasitikėjimas neturėtų pakeisti bazinių saugumo principų. Dažna klaida yra manyti, kad jokie formalumai nereikalingi, nes „mes juk maža įmonė, kas čia į mus taikysis“.

Tokiu atveju visi turi prieigą prie beveik visų failų, prisijungimai dalijami žodžiu, o darbuotojui išėjus iš darbo slaptažodžiai neretai nekeičiami. Tai ne tik palengvina gyvenimą vidiniam sukčiui, bet ir didina žalą, jei kas nors įsilaužia iš išorės.

Prieigos principas „tiek, kiek reikia darbui“

Pagrindinė taisyklė, kurią verta taikyti net ir penkių žmonių komandai: kiekvienas turi matyti ir valdyti tik tuos duomenis, kurių iš tiesų reikia jo pareigoms atlikti. Tai nėra nepasitikėjimo ženklas, veikiau normalus veiklos organizavimas.

Praktiškai tai reiškia atskirus naudotojo profilius, skirtingas prieigos teises pagal pareigas ir ribojimus jautriausiems katalogams ar sistemoms. Pavyzdžiui, ne visi pardavimų komandos nariai turi matyti visus darbuotojų atlyginimus ar vidinius finansinius planus.

Asmeninis ir darbo el. paštas, debesija ir USB: kur slypi pavojai

Darbo dokumentų siuntimas į asmeninį el. paštą ar kėlimas į privačią debesijos paskyrą atrodo nekaltas, bet patogus sprendimas. Tačiau taip įmonė praranda bet kokią kontrolę, kur tie duomenys atsidurs vėliau ir kas juos galės pasiekti.

USB laikmenos, išoriniai diskai ir asmeniniai kompiuteriai kelia papildomą riziką, jei juose nėra slaptažodžiais apsaugotų vartotojo paskyrų ar šifravimo. Pamestas ar pavogtas įrenginys tokiu atveju dažnai reiškia visiškai atvirus verslo failus.

Praktinės ir realistiškos priemonės mažoms įmonėms

Teminė iliustracija
Teminė iliustracija. Nuotrauka: Mapbox / Unsplash.

Nedidelėms organizacijoms nebūtina diegti brangių ir sudėtingų sistemų, kad sumažintų vidinės rizikos tikimybę. Svarbiausia pradėti nuo kelių paprastų žingsnių, kurie realiai pritaikomi kasdienėje veikloje.

  • Atskiri naudotojo vardai ir slaptažodžiai.Jokio bendro „administratoriaus“ prisijungimo visam biurui.
  • Darbo paskyros debesijoje.Bendri katalogai su aiškiai apibrėžtomis teisėmis, o ne asmeninės paskyros.
  • Dviejų veiksnių tapatybės patvirtinimas.Bent jau el. paštui, debesijos paslaugoms ir kitiems kritiniams įrankiams.
  • Reguliarus teisių peržiūrėjimas.Kartą per kelis mėnesius patikrinti, kas prie ko turi prieigą, ir ar tai vis dar pagrįsta.

Vidaus taisyklės ir aiškus susitarimas su darbuotojais

Be techninių priemonių būtinos ir aiškios, suprantamos vidaus taisyklės. Jos neturi būti storas dokumentas su painia teisine kalba. Svarbiausia, kad darbuotojams būtų aišku, ko tikimasi ir kas draudžiama.

Taisyklėse verta apibrėžti, kokius duomenis laikote jautriais, kur ir kaip jie gali būti laikomi, kas draudžiama (pavyzdžiui, asmeninių debesijos paskyrų naudojimas darbiniams failams) ir ką darbuotojas turi padaryti, jei pastebi įtartiną situaciją ar padaro klaidą.

Kaip elgtis, jei kyla įtarimų dėl vidinės veiklos

Jei pastebite keistą elgesį, pavyzdžiui, masinį dokumentų siuntimą į išorinį adresą ar neįprastais laikais vykdomas prieigas prie jautrių failų, svarbu reaguoti ramiai ir struktūruotai. Skuboti kaltinimai dažnai tik sugriauna pasitikėjimą komandoje.

Pirmiausia verta fiksuoti faktus: prisijungimo laikus, atliktus veiksmus, galimus duomenų srautus. Jei situacija rimtesnė, vertėtų pasitarti su kibernetinio saugumo specialistais ar teisininkais, ypač jei gali būti pažeistas asmens duomenų reglamentas.

Darbuotojų švietimas: ne formalus mokymas, o pokalbis

Vidinių rizikų mažinimas neatsiejamas nuo nuolatinio darbuotojų švietimo. Tačiau tai neturi būti sausas pusvalandžio monologas kartą per metus. Dažnai efektyviau veikia trumpi, konkretūs ir su realiais pavyzdžiais susiję pokalbiai.

Pavyzdžiui, kartą per kelis mėnesius galima trumpai aptarti neseniai viešumoje pasirodžiusį incidentą, paaiškinti, kaip panaši situacija atrodytų jūsų įmonėje, ir priminti svarbiausias praktikas. Kuo aiškiau žmonės supranta, kodėl taisyklės reikalingos, tuo didesnė tikimybė, kad jų bus laikomasi.

Pasitikėjimas ir kontrolė gali eiti kartu

Vidinių grėsmių tema dažnai kelia diskomfortą, nes atrodo, kad kalbama apie nepasitikėjimą savo komanda. Vis dėlto stiprios prieigos taisyklės, kontrolė ir atsargumas iš tiesų saugo visus: verslą, darbuotojus ir klientus.

Jei taisyklės aiškios, priemonės proporcingos, o vadovai patys rodo pavyzdį, kibernetinis saugumas mažose įmonėse tampa natūralia darbo kultūros dalimi, o ne papildoma našta. Tai vienas iš būdų užtikrinti, kad vidinis smalsumas nevirstų brangiai kainuojančiu incidentu.

Darbuotojų švietimasDebesijos paslaugosDuomenų apsaugaMažos įmonėsVidinės grėsmės
Autorius Tomas Žukauskas
Peržiūrėti profilį

0 komentarai

Taip pat skaitykite