Как бизнес в Киеве (не)защищает данные от утечек

Во-первых, нельзя не заметить, что в Киеве 77% компаний не имеют специального отдела, занимающегося обеспечением информационной безопасности. Понятно, что все пытаются скономить, но если вспомнить, что средняя стоимость утечки информации сегодня составляет около 3,8 миллиона долларов, то выглядит это, по крайней мере, недальновидно.

Вполне естественным на фоне отсутствия спецотделов по ИБ выглядит и распределение усилий существующих отделов по защите имеющихся в компании данных. В первую очередь, все стараются контролировать электронную почту, следом идут HTTP-протокол, внешние носители информации, Skype и мессенджеры. Таким образом, можно сделать вывод, что именно электронная почта сегодня – основное средство коммуникаций для бизнеса в Киеве.

Примерно треть компаний (29%, если уж быть совсем точным) не проводят даже инструктаж персонала с целью разъяснения политик информационной безопасности. Между тем, это основы основ, и если компания не хочет заниматься даже таким, практически бесплатным, мероприятием, можно считать, что собственная информационная безопасность для нее – не более чем пустой звук…

Примерно такая же ситуация и с популярным в бизнес-кругах документом под названием соглашение о неразглашении конфиденциальной корпоративной информации: его вынуждены подписывать сотрудники в 75% организаций Киева. То есть, оставшимся 25% нет никакого дела до того, что их сотрудники распространяют и как.

Достаточно популярная мера защиты – «не пущать и запрещать». Но это, в принципе, не сильно отличается от ситуации в других городах постсоветского пространства, где проходило роуд-шоу. Наиболее часто запрещены соцсети, ICQ, Skype и прочие сервисы. Подобные запреты есть в 54% компаний. Но это "не есть хорошо", ведь контроль каналов возможной утечки способен дать куда больше, чем запрет.

Впрочем, есть и немного позитива. Например, в львиной доле компаний существует практика разграничения прав доступа различных сотрудников к данным в локальной сети предприятия. Говоря проще, рядовой сотрудник не получит в сети компании доступ к файлам, предназначенных только для директора.

К сожалению, этими мерами в большинстве организаций все и заканчивается. В 39% компаний отсутствуют какие бы то ни было системы контроля информационных потоков. Хотя 16% организаций имеют планы внедрить что-либо подобное. Впрочем, как известно, благими намерениями…

Ну, а теперь перейдем к результатам такой «продуманной и планомерной» работы с защищаемыми данными. Вполне понятно, что при подобном подходе к обеспечению информационной безопасности, ИБ-инциденты в киевских компаниях – совсем не редкость.

48% компаний Киева признались, что сталкивались с утечками информации в течение последнего года. При этом есть еще 17% «не знаю», которые можно смело приплюсовывать к этим 48% — ведь как узнать, если никто этим даже не интересуется?

Как и в большинстве других городов, в киевских компаниях виноватыми в утечках наиболее часто оказывались менеджеры. Не сильно отстают от них «айтишники» и руководители подразделений.

Как и во всем остальном мире, в Украине бизнес довольно ощутимо страдает из-за действий увольняющихся/уволенных сотрудников. Как видно на диаграмме снизу, многие из таких работников полагают, что после увольнения они могут делать с данными экс-работодателя все, что посчитают нужным.

Что еще удивило – так это лояльность работодателей к персоналу, допустившему утечку. 59% компаний не увольняют виновных – для сравнения, в США почти любая утечка информации, даже непреднамеренная, означает не только немедленное увольнение, но и «волчий билет» на дальнейшую работу в данной отрасли. Особенно интересна логика 6% компаний, где санкций против допустивших утечку сотрудников вообще нет.

Вполне естественным в свете всего сказанного выше является и отношение компаний к тем, кто страдает из-за их утечек. В 86% компаний руководство не сообщает пострадавшим об утечке, и только 2% делают официальные заявления в СМИ.

Несмотря на то, что компании экономят на ИБ-отделах (см. начало статьи), они все равно считают, что экономические сложности никак не сказались на числе инцидентов в сфере ИБ. Хотя, конечно, это скорее позиция страуса, засунувшего голову в песок, чем реальный взгляд на вещи: если половина компаний допускает утечки, то ответ «никак не повлияла» вряд ли можно назвать правильным.

Общие выводы исследования вполне очевидны: компании Киева совершенно не интересуются вопросами собственной защищенности от утечек данных, что приводит к весьма плачевным результатам. Но вряд ли стоит рассчитывать на то, что в ближайшее время что-то поменяется в лучшую сторону из-за сложной ситуации в экономике.