Как сотрудники компаний соблюдают правила информационной безопасности

Больше всего уязвимостей связано с хранением паролей. Почти половина сотрудников (48%) держат их в памяти, 41% записывают в блокноте или заметках телефона, 30% используют один пароль для всех сервисов. Менеджерами паролей пользуются лишь 4%, еще 9% хранят скриншоты в телефоне. Такие выводы следуют из исследования "Контур.Эгида".

Лишь треть респондентов считает NDA (соглашение о неразглашении - Non-disclosure agreement - юридический договор, заключаемый работником и работодателем) важным, 28% внимательно изучают его перед подписанием, 22% воспринимают его как формальность, а 12% как ограничение, отмечается в исследовании.

При этом когда возникают сложности, сотрудники чаще всего стараются справиться своими силами. Треть обращается за помощью к коллегам. Реже ищут поддержку у друзей (23%), а еще реже у IT- и ИБ-специалистов внутри компании (20%).

Эксперты уверены, что это говорит либо о недостатке подобных специалистов, или их высокой рабочей нагрузке (когда ответа от техподдержки приходится слишком долго ждать), либо о недостаточно хорошо выстроенных рабочих процессах в области киберзащиты и непонимании сотрудниками их действий в случае киберинцидента.

Попытки разделять рабочее и личное пространство также удаются не всем. Хотя большинство использует рабочие компьютеры и смартфоны для личных задач только в крайних случаях, 15% используют их постоянно. Лишь 17% принципиально избегают смешения рабочего и личного. С конфиденциальной информацией сотрудники ведут себя несколько осторожнее: половина обсуждают вне периметра организации лишь общие моменты, без деталей, треть никогда не выносит данные за пределы офиса, а вот 16% регулярно делятся ими в личных чатах и соцсетях. Здесь решением могут стать устройства с программным разделением личной и рабочей информации, где рабочая шифруется в специальном изолированном контейнере.

Важной частью цифровой грамотности становится умение распознавать фейки и подозрительные сообщения. Главный способ проверить безопасность письма - посмотреть адрес отправителя или ссылку. Так действует 36% пользователей. Еще 28% обращают внимание на орфографию и необычные детали вроде смайликов или вложений, а 16% дополнительно проверяют контакты через интернет или соцсети.

"Человеческий фактор играет огромную роль в информационной безопасности. Даже самые современные системы защиты не помогут, если сотрудники не знают правил ИБ или не соблюдают их. Например, если человек откроет письмо с вирусом или сообщит пароль постороннему, то никакой антивирус не спасет. А обучение и понимание сотрудниками политики безопасности помогают снизить такие риски. Чем грамотнее персонал, тем меньше вероятность утечки данных и кибератаки. Поэтому знание и выполнение правил безопасности - это основа защиты компании", - говорит ведущий инженер CorpSoft24 Михаил Сергеев. По важности человеческий фактор стоит на одном уровне с техническими средствами защиты, а в некоторых случаях даже выше. "Технологии - антивирусы, межсетевые экраны, системы мониторинга - дают основу, но именно люди принимают решения в реальных ситуациях", - говорит эксперт.

В глобальном исследовании IBM Cyber Security Intelligence Index Report отмечается, что человеческий фактор стал основной причиной 95% всех нарушений кибербезопасности. Это соседствует с данными исследования ВЦИОМ, из которых следует, что 97% российских пользователей заботятся о безопасности. Возможно, дело в том, что именно пользователи понимают под заботой о безопасности. В исследовании ВЦИОМ отмечается, что речь идет об отказе от использования публичных сетей WI-FI и хранения данных банковских карт в мессенджерах, что очевидно недостаточно.

Генеральный директор компании RooX Алексей Хмельницкий также уверен, что человеческий фактор остается основой информационной безопасности, и его роль не уступает современным технологиям: "Даже новейшие аппаратные и программные решения неэффективны, если сотрудники не осознают их важность или упрощают процедуры ради удобства".

При этом Хмельницкий отмечает, что кибербезопасность должна быть удобной. "Если система управления доступом усложняет работу, сотрудники находят обходные пути - записывают пароли на бумажке, не закрывают сессии и т.д. Без разумного баланса между безопасностью и удобством инвестиции в технологии теряют смысл. Универсальных решений нет - стандартные подходы не учитывают специфику бизнеса, из-за чего сотрудники саботируют политики безопасности. Важно не только обучать персонал, но и адаптировать защитные механизмы под реальные задачи. Иногда для этого хватает внутренних ресурсов, иногда требуется помощь внешних экспертов", - говорит Хмельницкий.

В целом российские пользователи редко признают свои ошибки, приведшие к киберинцидентам. Согласно исследованию "Контур.Эгида", лишь 14% признают свои промахи. А вот сообщения о крупных утечках данных вызывают реакцию у многих: 31% сразу меняют пароли, а 26% проверяют аккаунты.