"Айтишники-тихушники" работают умело

Самый большой интерес для "айтишников" представляют клиентские базы, информация по сделкам слияния и поглощения, пароли руководства. При этом в случае увольнения офисные служащие готовы прихватить эти данные с собой. Примечательно, что в нынешнем году таких "энтузиастов" стало на порядок больше, констатируют специалисты Cyber-Ark.
Компания Cyber-Ark, специализирующаяся на информационной безопасности и защите от утечек данных, в рамках исследования "Доверие, безопасности и пароли" (полный текст на англ. яз. в нашем доп. материале) опросила более 400 старших IT-специалистов в США и Великобритании, в основном из числа работающих в крупных компаниях, и выяснила, что 35% из них суют нос в секретные данные компании, а 74% респондентов заявили, что могли бы в обход действующих систем защиты получить доступ к информации. Результаты такого же исследования, проведенного год назад, показали, что шпионажем занимаются 33% IT- специалистов.
Согласно данным Cyber-Ark, "айтишники" часто просматривают документы отдела кадров, клиентские базы данных, планы компании по слиянию, списки на увольнение и в последнюю очередь маркетинговую информацию.
Однако не это самое страшное. Гораздо больше руководство компаний должен волновать тот факт, что в случае увольнения сотрудники готовы прихватить с собой информацию, имеющую критическое значение для поддержания конкурентных преимуществ и корпоративной безопасности. В прошлом году таких энтузиастов было на порядок меньше.
47% опрошенных прикарманили бы клиентские базы (в прошлом году таких было 35%). В четыре раза выросло число сотрудников, желающих забрать с собой в случае увольнения финансовые отчеты - с 11% в 2008 году до 46% в 2009-м. Если в прошлом году было только 7% сотрудников, которые собирались украсть информацию о планах компании по слияниям и поглощениям, то в нынешнем году таких уже 47%. Пароли руководства интересны 46% против 11% в 2008 году.
По словам генерального директора Cyber-Ark Уди Мокади, компания стремится к повышению осведомленности о рисках, связанных с неконтролируемыми привилегированными аккаунтами. "Эти аккаунты обеспечивают работникам "ключи от царства", предоставляя им доступ к ценной конфиденциальной информации. Компании должны проснуться и понять, что доверие - это не политика безопасности; на них лежит ответственность за защиту ценных данных и систем", - приводятся слова гендиректора в пресс-релизе компании.
"Естественно, IT-специалист - одно из самых важных звеньев в цепи информационной безопасности компании. Именно он контролирует все информационные потоки, имеет доступ к практически всей корпоративной переписке, будь то E-Mail или IM вроде ICQ, Skype и др. И если IT-специалист и работодатель расходятся полюбовно, то проблем нет. А вот если они расстаются на конфликтной ноте, то последствия могут быть весьма плачевными - от утечки конфиденциальной информации до временного паралича работы IT-инфраструктуры", - говорит RB.ru Антон Салов, руководитель отдела корпоративных интернет-решений компании Softline.
По его словам, крупные компании пытаются защититься как юридическими мерами, включая соответствующие пункты в условия контракта, так и административными, распределяя обязанности между несколькими IT-специалистами.
Сегмент среднего и малого бизнеса, который не может позволить себе держать полноценный IT-отдел, действует более инновационно, отмечает Салов. Зачастую, все взвесив, руководители отказываются от организации внутреннего информационного департамента в пользу аутсорсинга крупными компаниями, хорошо зарекомендовавшими себя на рынке IT-услуг, или в пользу переноса части инфраструктуры на SaaS (Software as a service - "программное обеспечение как услуга").
"Тут важен аспект доверия поставщику услуги, и каждый руководитель для себя сам должен решить, чего он больше боится - утечек изнутри, со стороны недобросовестного работника, или же со стороны держателя сервиса, куда выносится вся переписка. А кризис и сокращения IT-бюджетов все острее ставят на повестку дня такой выбор. Именно поэтому, опасаясь мести со стороны уволенных сотрудников, руководители все больше и больше думают об исключении этого "слабого звена", - резюмирует собеседник RB.ru.
Стоит напомнить, что незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, наказывается по статье 183 Уголовного кодекса РФ. Это статья предусматривает наказание в виде штрафа от 80 до 200 тыс. рублей или в размере заработной платы за период от 1 до 18 месяцев, а также лишение права занимать определенные должности и лишение свободы сроком до 5 лет (полностью с содержанием статьи 183 УК можно ознакомиться в нашем доп. материале).
Так, в конце мая сотрудник "Росгосстраха" был осужден в Москве за незаконную продажу конфиденциальной информации о клиентах. По данным следствия, он имел доступ к клиентским базам, которые составляют коммерческую тайну. Преступник скопировал данные на флэш-карту и нашел в интернете покупателя, в роли которого выступил сотрудник Департамента экономической и информационной безопасности "Росгосстраха". Сотрудник хотел продать информацию о 34 тыс. физических лицах за 50 тыс. рублей.