Najczęstszymi sprawcami kradzieży danych są pracownicy

KPMG

Jak wynika z najnowszego badania firmy doradczej KPMG, 84% przedsiębiorstw postrzega kradzież danych jako istotne zagrożenie dla ich działalności, a 51% spodziewa się, że ryzyko kradzieży danych wzrośnie w ciągu najbliższych trzech lat. Jako sprawców kradzieży danych najczęściej wskazuje się pracowników firmy (64%), a zwłaszcza menedżerów średniego szczebla. Badanie KPMG pokazuje, że pomimo świadomości dużego zagrożenia, środki bezpieczeństwa stosowane w firmach nie są zadowalające, a kwestii ochrony danych wciąż nie poświęca się należytej uwagi.

W celu sprawdzenia, jak postrzegane jest przez przedsiębiorstwa ryzyko kradzieży danych i jakie działania są podejmowane, aby wyeliminować to zagrożenie, Zespół doradczy ds. zarządzania ryzykiem nadużyć w KPMG przeprowadził badanie wśród firm działających na rynku dóbr konsumpcyjnych i w handlu w regionie Europy Środkowo-Wschodniej. Okazuje się, że znaczna większość respondentów badania (84%) uważa kradzież danych za istotne zagrożenie dla własnej działalności, a 39% uważa, że ryzyko kradzieży danych wzrosło w ciągu ostatnich trzech lat. Stosunkowo niewielka liczba przedsiębiorstw przyznała, że padła ofiarą kradzieży danych: tylko 9% z nich wskazało, że posiadali informacje na temat potwierdzonych przypadków kradzieży danych, a 18% wiedziało o przypadkach podejrzenia kradzieży w ciągu ostatnich trzech lat. 52% respondentów prognozuje zaś, że ryzyko kradzieży danych wzrośnie w ciągu najbliższych trzech lat.

Niewielka liczba zgłoszonych przypadków naruszenia bezpieczeństwa danych może oznaczać, że respondenci faktycznie nie zostali dotknięci tym problem, ale również, co jest prawdopodobne, że nie byli skłonni do ujawniania takich przypadków albo, że badane firmy padły ofiarą kradzieży danych, które nie zostały wykryte. Niezależnie od rzeczywistej liczby przypadków kradzieży, z badania jasno wynika, że respondenci postrzegają to zagrożenie jako bardzo istotne – mówi Krzysztof Radziwon, Partner w dziale usług doradczych KPMG.

Chociaż większość relacji dotyczących kradzieży danych koncentruje się na zagrożeniu stwarzanym przez intruzów zewnętrznych, to 64% respondentów badania uznaje, że to pracownicy mogą być najczęstszymi sprawcami kradzieży. W szczególności wymienia się tu menedżerów średniego szczebla, którzy mają szerszy dostęp do kluczowych danych niż pracownicy na niższych stanowiskach.

Jak wynika z badania KPMG, drugim najbardziej prawdopodobnym sprawcą kradzieży danych są konkurencyjne firmy (45%), które mogą odczuwać pokusę uzyskania poufnych danych od pracowników swoich rywali dla uzyskania przewagi rynkowej. Informacje mogą dotyczyć produktów, planów marketingowych, cen i kampanii promocyjnych, specyfikacji produkcyjnych, danych na temat dostawców i klientów, a także planów i strategii biznesowych. Tego typu informacje są zazwyczaj dostępne dla pracowników w czasie wykonywania przez nich normalnych czynności służbowych, przez co mogą stanowić cel szpiegostwa korporacyjnego, prowadzonego przez firmę będącą w zmowie z pracownikami i menedżerami konkurenta.

Zapobieganie ryzyku kradzieży danych przez pracowników firmy wymaga bardziej złożonego podejścia niż w przypadku zagrożeń z innych potencjalnych źródeł. Występują tu bowiem przeciwstawne tendencje, związane z jednej strony z koniecznością udostępniania pracownikom informacji, których potrzebują do wykonywania swej pracy, a z drugiej z ochroną informacji przed ich nieprawidłowym wykorzystaniem
– zauważa Krzysztof Radziwon, Partner w dziale usług doradczych KPMG.

Używanie przenośnych pamięci USB największym ryzykiem
Jak wynika z badania KPMG, jako najbardziej prawdopodobny sposób kradzieży respondenci postrzegają wynoszenie danych na przenośnych nośnikach informacji (61%). Pomimo to, zaledwie 45% badanych podmiotów stosuje oprogramowanie ochronne stacji roboczych w celu zminimalizowania stosowania nośników przenośnych, a zaledwie 16% monitoruje stosowanie takich nośników. Przeważająca większość respondentów wskazuje, że ich firmy stosują zabezpieczenia przed zagrożeniem z zewnątrz – powszechnie używane są programy antywirusowe, zapory ogniowe oraz zabezpieczenia przed złośliwym oprogramowaniem. Z drugiej jednak strony brakuje stosownych środków ochronnych przed zagrożeniami z wewnątrz.

Jedną z branż, która podejmuje udane wysiłki na rzecz zmniejszenia zagrożeń wynikających ze stosowania przenośnych nośników danych jest sektor usług finansowych, a zwłaszcza banki. Takie metody, jak szyfrowanie nośników danych, odłączanie napędów CD/DVD w stacjach roboczych oraz laptopach czy ograniczenie dostępu do sieci dla smartfonów są wciąż rozwijane i stanowią skuteczne zabezpieczenie zapobiegające kradzieży danych
– komentuje Marcin Izbicki, Executive Consultant w Zespole ds. zarządzania ryzykiem nadużyć KPMG.

Dane dotyczące strategii firmy oraz planowania najbardziej narażone na kradzież
Dane dotyczące strategii firmy oraz planowania zostały uznane za najbardziej narażone na kradzież spośród różnych typów informacji. Dodatkowo, firmy działające na rynkach dóbr konsumpcyjnych, poza sprzedawcami detalicznymi, uznały, że zagrożone są również informacje o procesach biznesowych.

Można wyróżnić dwie przyczyny, które powodują, że takie właśnie dane uznawane są za narażone na najwyższe ryzyko: po pierwsze informacje tego typu są postrzegane jako niezwykle cenne dla konkurentów lub partnerów danej firmy, a po drugie dane te nie podlegają tak ścisłej kontroli, jak informacje przechowywane w bardziej ustrukturyzowanych formach, na przykład w systemach ERP
– mówi Krzysztof Radziwon, Partner w dziale usług doradczych KPMG.

Jak wykazało badanie KPMG, producenci działający na rynku dóbr konsumpcyjnych oraz firmy spożywcze są bardziej zaniepokojone działaniami po stronie klientów, natomiast sprzedawcy detaliczni zwracają większą uwagę na działania po stronie dostawców. Jest to spójne ze zwiększonym zaangażowaniem władz antymonopolowych w badanie restrykcyjnych praktyk handlowych oraz z licznymi postępowaniami w związku z nadużywaniem dominującej pozycji na rynku.

Zarządzanie ryzykiem w firmach
Chociaż większość respondentów badania wskazała, że dokonuje oceny ryzyka kradzieży danych w swoich firmach, to wydaje się, iż możliwe są dalsze ulepszenia w tym zakresie. Większość badanych (59%) dokonuje oceny ryzyka nieformalnie i poza procedurami, a połowa z nich czyni to sporadycznie. Jedynie 11% badanych wskazało na korzystanie z usług doradców zewnętrznych, zaś większa liczba respondentów korzysta z usług niezależnych doradców w celu przeprowadzenia testów penetracyjnych (36%) czy w celu dokonania regularnych audytów środków bezpieczeństwa i ochrony danych (43%).

Wyniki badania KPMG odzwierciedlają ogólną tendencję niedoceniania kwestii kradzieży danych. Z jednej strony zjawisko to jest traktowane jako duże zagrożenie, z drugiej zaś nie poświęca się temu należytej uwagi. Ocena ryzyka zgodnie z procedurami i przeprowadzana regularnie lub w sposób ciągły może przynieść firmom znaczące korzyści i pozwolić szybko zidentyfikować zagrożenia
– mówi Marcin Izbicki, Executive Consultant w Zespole ds. zarządzania ryzykiem nadużyć KPMG.