Олексій Янковський про безпечний новорічний шопінг в інтернеті

Олексій Янковський про безпечний новорічний шопінг в інтернеті

Незважаючи на суттєву загрозу, яку являють собою он-лайн покупки, працівники планують провести близько двох повних робочих днів на он-лайн шопінг впродовж цьогорічного передсвяткового сезону, використовуючи корпоративні комп‘ютери. При цьому під загрозою опиняться не тільки комп’ютери користувачів, але й інші корпоративні інформаційні ресурси. Замість встановлення перепон для Інтернет-шопінгу з робочих місць, які неминуче будуть обійдені користувачами, та створять ще більшу небезпеку, міжнародна асоціація ISACA, що опікується питаннями ІТ-управління, пропонує компаніям навчати співробітників безпечної Інтернет-поведінки та посилити захист напередодні свят.

Асоціація нещодавно провела друге міжнародне дослідження «Здійснення покупок на роботі: Онлайн Шопінг на Свята та Інтернет Безпека на Робочому Місці» («Shopping on the Job: Online Holiday Shopping and Workplace Internet Safety»).

Роллінг Мідоус (Rolling Meadows), Ілінойс, США — результати дослідження, проведеного ISACA, показують, що працівники планують витратити на покупки в мережі Інтернет близько двох повних робочих днів (14.4 години) впродовж цьогорічного передсвяткового сезону. Кожен десятий планує витратити близько 30-ти годин для здійснення онлайн покупок, перебуваючи на роботі. Зручність (34%) та нудьга (23%) є найбільшими мотиваціями для здійснення онлайн покупок в робочий час.

Потенційна небезпека онлайн покупок полягає в тому, що вони можуть створювати можливості для здійснення вірусних, спамових та „фішингових» атак, які здатні скомпрометувати робоче середовище користувача і можуть призвести до тисячних збитків на одного співробітника за рахунок втраченої продуктивності, або навіть до мільйонних збитків у випадку знищення чи компрометації важливих корпоративних даних.

Одним з прикладів загрози є Інтернет-троян Clampi, який нещодавно був використаний для проведення атак на тисячі банківських установ через вражені їм комп’ютери користувачів. Для цього шкідлива програма накопичувала та передавала шахраям паролі до систем клієнт-банк та інформацію про кредитні картки користувачів інфікованих комп’ютерів.

Працівники, котрі здійснюють онлайн шопінг з робочих комп’ютерів, також можуть долучатись до інших досить ризикованих операцій в Інтернеті. Так, наприклад, учасники дослідження, також схильні здійснювати банківські операції онлайн (51% опитаних), використовувати посилання в електронній пошті для переходу на сайти, де можна здійснити покупки (40% опитаних), а також, користуватись лінками, розміщеними на сайтах соціальних мереж. Кожен п’ятий з опитаних не стурбований тим, що їх звички здійснювати онлайн покупки можуть завдати шкоди безпеці ІТ інфраструктури всієї організації.

Враховуючи, що Інтернет тепер доступний майже кожному працівнику безпосередньо на його робочому місці, нереально вважати, що компанії здатні повністю унеможливити використання робочих комп’ютерів для здійснення онлайн покупок Компанії можуть і повинні навчати своїх співробітників ризикам, пов’язаним зі здійсненням онлайн покупок, а також нагадувати їм про положення корпоративної політики Інформаційної Безпеки. Це є надзвичайно важливим цього року, оскільки, здійснення покупок онлайн є зручним для багатьох працівників, робоче навантаження яких збільшилось вдвічі або й втричі через скорочення чисельності штату співробітників їхніх компаній.

Розвиток мобільних покупок

Дослідження також виявило, що більше одного з 10-ти користувачів, які користуються мобільними корпоративним пристроєм на кшталт BlackBerry чи iPhone планують використовувати його для здійснення покупок під час цьогорічних свят. Зростання об’ємів використання працівниками мобільних корпоративних пристроїв в особистих справах, таких як здійснення покупок, може призвести до виникнення додаткових проблем інформаційної безпеки та втрати даних, що є власністю компаній.

Значна частина опитаних не займаються активним управлінням безпекою своїх корпоративних комп’ютерів. Близько 30% опитаних повідомили, що лишають безпеку своїх робочих комп’ютерів на розсуд ІТ департаменту компанії. Серед тих, хто використовує бездротові з’єднання, 30% не здійснюють або не знають як здійснити перевірку налаштувань бездротового з’єднання з точки зору безпеки, і лише 21% опитаних особисто перевіряють свій комп’ютер на наявність найновіших оновлень в частині безпеки.

Розбіжність між очікуваннями та поведінкою

Окреме дослідження серед 1500 ІТ професіоналів, що є членами ISACA в 9 країнах, проведене впродовж того ж періоду, виявило серйозну розбіжність між тим, що очікує ІТ департамент, та що реально планують працівники, коли справа доходить до здійснення онлайн покупок на свята.

Майже половина співробітників ІТ департаменту (48% опитаних) схильні очікувати, що працівники витратять трохи більше 1 робочого дня, або 9 годин, для здійснення онлайн покупок з корпоративних комп’ютерів. В той час, як опитування споживачів, проведене ISACA, демонструє, що працівники витратять на онлайн покупки близько 2 днів, або 14.4 години.

ІТ спеціалісти реалістично оцінюють потенційні збитки від здійснення онлайн покупок з корпоративних комп’ютерів впродовж свят. Кожен 4-ий оцінює збиток своєї компанії за рахунок зниження продуктивності в розмірі від $15.000  і більше на одного співробітника протягом цьогорічного святкового періоду.

Розбіжність між очікуваннями ІТ департаменту та реальною онлайн поведінкою співробітників компанії ставить додаткові задачі перед ІТ-підрозділами компаній. За рахунок навчання працівників та розповсюдження серед них зрозумілих і доступних для сприйняття політик роботи в режимі онлайн, ІТ може значно краще захистити один з найважливіших активів компанії — її ІТ системи.

5 підказок щодо безпечного здійснення покупок з корпоративних комп’ютерів

ISACA рекомендує всім співробітникам та представникам ІТ департаментів виконати наступні кроки, спрямовані на зменшення ризиків проникнення спаму і вірусів в корпоративні комп’ютери та запобігання випадковому завантаженню шкідливих «агентів», котрі можуть викрасти або скомпрометувати корпоративні дані.

Для онлайн покупців:

1. Якщо Ви остаточно вирішили скористатися Інтернетом для здійснення онлайн покупок — використовуйте комп’ютер замість мобільного пристрою, оскільки Інтернет браузери комп’ютерів, зазвичай, є більш захищеними.
2. Захищайте важливі дані, такі як номери кредитних карток, за допомогою використання окремих програм захисту, як на персональному комп’ютері так і на мобільному пристрої.
3. Забезпечте постійне оновлення Ваших антивірусних та антиспамових програм.
4. Ставтесь до онлайн соціальних мереж з такою ж пересторогою, як і до інших веб-сайтів — соціальні мережі все більше стають цілями для Інтернет шахраїв та авторів вірусів.
5. Стережіться спеціальних пропозицій. Якщо вони виглядають занадто спокусливо щоб бути правдою, скоріш за все — це омана. Підроблені онлайн пропозиції можуть направити Вас на шкідливі сайти, тому — будьте обережні.

Для ІТ департаменту:

1. Навчайте працівників. Звичайне блокування сайтів може завдати більше шкоди аніж користі, оскільки працівники можуть шукати менш безпечні шляхи щоб уникнути Вашу блокаду. Навчання дає набагато кращий ефект.
2. Навчайте працівників захищати не лише корпоротивні, а й власні домашні комп’ютери — таким способом ви більше вмотивуєте працівників захищати корпоративну інформацію.
3. Підсилюйте те, чому ви навчаєте — всі працівники мають щорічно підписувати зрозумілу політику безпечного використання інформаційних ресурсів компанії.
4. Запропонуйте «безпечну зону» для здійснення онлайн покупок — створіть ізольоване середовище для таких цілей на період свят. (наприклад, єдину поштову скриньку, або ізольований комп’ютер для онлайн покупок).
5. Не чекайте настання критичних ситуацій для підсилення рівня безпеки. Визначте період, наприклад, з грудня до січня, для посиленого і проактивного управління безпекою.

Про дослідження ISACA щодо онлайн покупок на роботі

Друге щорічне дослідження «Здійснення покупок на роботі: Онлайн Шопінг на Свята та Інтернет Безпека на Робочому Місці» («Shopping on the Job: Online Holiday Shopping and Workplace Internet Safety») оснований на онлайн опитуванні, проведеному в вересні 2009 року серед 1.210 споживачів та 1.513 ІТ професіоналів. ІТ частина дослідження демонструє Бізнес та ІТ точки зору на основі опитування членів ISACA в 9 кріїнах: США, Канада, Мексика, Велика Британія, Франція, Німеччина, Гонконг, Індія та Австралія.

Дослідження, метою якого є зібрання поглядів на здійснення онлайн покупок на роботі впродовж свят та аналізу ступеня відповідності працівників існуючим політикам, що регулюють безпеку на робочому місці під час здійснення онлайн покупок, було проведене організацією M/A/R/C Research спільно з ISACA. Результати дослідження мають коефіцієнт похибки 3.9% і ступінь довіри 95%.