Eliminowanie cyfrowego bałaganu w firmie

Kaspersky Lab porównuje cyfrowe przyzwyczajenia w pracy i w domu, aby ocenić cyberzagrożenia

Wstęp

Bałagan cyfrowy w pracy to problem, który istnieje naprawdę…

W świecie, który jest coraz bardziej cyfrowy, nieustannie tworzymy nowe cyfrowe dokumenty i pliki. Z racji tego, że środowisko pracy zmieniło się, również szafki i segregatory zyskały elektroniczne odpowiedniki.

Sprawowanie właściwego nadzoru nad wszystkimi dokumentami — w tym ich uprawnieniami dostępowymi, usuwaniem ich, gdy nie są już potrzebne, a także pilnowanie, aby nie opuszczały murów firmy — może być trudne. W efekcie może powstać tzw. „cyfrowy bałagan”.

Bałagan cyfrowy potencjalnie stwarza zagrożenie dla bezpieczeństwa firmy. Znajdujące się w tych dokumentach i plikach dane mogą wymknąć się firmie spod kontroli, a następnie zostać użyte przeciwko niej. Nieważne, czy wykorzysta go haker, nielojalny pracownik czy złośliwa osoba, która już opuściła szeregi firmy — cyfrowy bałagan staje się problemem, gdy zagraża bezpieczeństwu danych.

Na nasze cyfrowe życie składają się różne decyzje: gdy zapisujemy pliki, monitorujemy uprawnienia i dostęp do dokumentów, a także gdy decydujemy, co usunąć, a co zachować. Prawdopodobnie decyzje te są związane z naszymi codziennymi nawykami, które mają również wpływ na to, jak zachowujemy się w innych sytuacjach każdego dnia.

Czy zazwyczaj jesteś osobą zorganizowaną?

Jakie są szanse, że zmniejszysz w firmie chaos?

Pomiędzy bałaganem cyfrowym w pracy a bałaganem w innych obszarach życia istnieją pewne zależności. Mogą się one przejawiać w tym, że potrafisz znaleźć przepis sprzed 10 lat, albo że pamiętasz, aby usunąć poufne informacje, które musiałeś podać w celu zarezerwowania wakacji dla przyjaciela, ale również w tym, jaki utrzymujesz porządek w lodówce.

…który skłonił nas do zastanowienia się nad tym, z czego wynika cyfrowy bałagan w pracy…

Na przykład: jakie Twoje przyzwyczajenia zdradza porządek w Twojej lodówce?

Czy te same nawyki, które prowadzą do powstawania cyfrowego bałaganu, sprawiają, że mamy bałagan w lodówce?

Aby dowiedzieć się, czy to prawda, Kaspersky Lab zlecił firmie OnePoll — będącej specjalistą ds. badań ilościowych w internecie — przeprowadzenie globalnego badania, aby poznać nasze przyzwyczajenia i zrozumieć, w jaki sposób przekładają się one na życie w pracy i w domu.

W okresie grudzień 2018 — styczeń 2019 zapytaliśmy 7 tysięcy pełnoletnich osób mieszkających w Wielkiej Brytanii, Stanach Zjednoczonych, Francji, Hiszpanii, Niemczech, we Włoszech, Brazylii, Chinach, Meksyku, Japonii, Malezji, Południowej Afryce, Rosji i Turcji, którzy pracują w biurze i korzystają z komputerów. Pytania dotyczyły korzystania z cyfrowych dokumentów, precyzowały, jakie informacje zawierały te dokumenty, a także obejmowały sposób zarządzania uprawnieniami dostępowymi. Ci sami ankietowani odpowiedzieli także na pytania o utrzymywanie ładu w swojej lodówce — np. jak często ją porządkują i wiele innych, które mogłyby zdradzać ich przyzwyczajenia mające wpływ zarówno na cyfrowy bałagan w pracy, jak i porządek w lodówce.

Co sprawdzaliśmy:

• Jaki rodzaj cyfrowego bałaganu istnieje w typowym środowisku pracy?
• Jacy ludzie częściej tworzą cyfrowy bałagan?
• Czy nasza skłonność do tworzenia cyfrowego bałaganu zdradza nasze nawyki?
• Czy te zwyczaje objawiają się również w innych aspektach naszego codziennego życia?
• Czy istnieje jakaś relacja między zwyczajami, które odpowiadają za porządek w lodówce, a tymi, które odpowiadają za cyfrowy bałagan w pracy?

…ponieważ ma to wpływ na poziom ochrony Ciebie – i Twojej firmy – przed cyberatakiem

Cyfrowy bałagan stwarza duże zagrożenie dla organizacji. W życiu cyfrowym niełatwo jest dysponować tak dużą liczbą cyfrowych dokumentów i plików w pracy, kontrolować uprawnienia dostępowe czy dbać o ochronę informacji poufnych.

Mściwy były pracownik lub konkurencja czy przypadkowa infekcja szkodliwym oprogramowaniem szybko może złamać firmowe zabezpieczenia. Następnie osoby takie mogą ukraść dane i wykorzystać je do przeprowadzenia ataków w przyszłości – zarówno poprzez dystrybucję dalszego szkodliwego oprogramowania, jak i przy użyciu ransomware – narażając firmę, jej pracowników i dane na zagrożenie.

Najważniejsze dane statystyczne:

• Ponad jedna trzecia (37%) osób przypadkowo odkryła informacje poufne dotyczące np. zarobków/dodatków swoich kolegów z pracy.
• Jedna trzecia (33%) osób twierdzi, że ma dostęp do plików z poprzedniego miejsca pracy.
• 80% osób uważa, że nie ponosi odpowiedzialności za kontrolę dostępu do dokumentów, plików czy poczty e-mail.
• 72% pracowników przechowuje w pracy dokumenty, które zawierają informacje umożliwiające identyfikację lub dane wrażliwe.
• Spośród osób, które przyznały, że utrzymują porządek w lodówce, 95% deklaruje, że utrzymuje ład również w życiu cyfrowym.

Czy przez cyfrowy bałagan zwiększasz zagrożenie dla cyberbezpieczeństwa w pracy?

Cyfrowy bałagan może istnieć w każdym biurze i pokazuje problem z systematyczną organizacją.

W naszej codziennej pracy używamy cyfrowych dokumentów: na przykład dział księgowości wypełnia cyfrowe arkusze kalkulacyjne na potrzeby prognoz, a dział kadr przechowuje w postaci cyfrowej opisy stanowisk w pracy. Należy się zastanowić, kto oraz przez jaki czas może uzyskiwać dostęp do każdego dokumentu cyfrowego i folderu, a także jakiej ochrony wymagają przechowywane w nim dane. W niektórych przypadkach trzeba zastosować solidne szyfrowanie i włączyć opcję wygaśnięcia dostępu do pliku; w innych plik należy zapisać w konkretnym miejscu, aby automatycznie zostały zastosowane uprawnienia dostępowe – na przykład w folderze współdzielonym, w którym dostęp do dokumentu mają tylko wyznaczone osoby.

Z uwagi na tak wiele dokumentów i aspektów ich zabezpieczenia, realne staje się ryzyko utraty kontroli nad nimi oraz obawa o ich odpowiednią ochronę. To dlatego cyfrowy bałagan to coś więcej niż tylko obawa o produktywność — to również problem z bezpieczeństwem.

Co więcej, jeśli firmy i pracownicy nie mają świadomości cyfrowego bałaganu, mogą ponieść z tego tytułu spore konsekwencje, chociażby ze względu na brak ochrony na odpowiednim poziomie.

Mówimy, że w przyszłości dane mogą stać się walutą, zatem te dokumenty i foldery mają sporą wartość, którą znają nie tylko hakerzy. Każdy dokument, do którego mogą uzyskać dostęp atakujący, to bogactwo możliwości złamania ochrony i przedostania się do sieci — na przykład informacje finansowe mogą być na tyle cenne, że ktoś może żądać za nie okupu. Z kolei informacja o wolnych etatach może nakłonić sfrustrowaną osobę do spreparowania wiadomości e-mail od rzekomego kandydata, której zadaniem będzie umieszczenie szkodliwego programu na komputerze kierownika działu kadr. Co ważne, osoba mająca złe zamiary nie musi przy tym dysponować wiedzą w zakresie włamań.

Jedna trzecia osób przyznała, że doświadczyła incydentów z bezpieczeństwem, które mogły być wynikiem cyfrowego bałaganu

Nasze globalne badanie poświęcone cyfrowemu bałaganowi w pracy pokazało, że ponad jedna trzecia (37%) osób przypadkowo natknęła się na informacje poufne, takie jak zarobki czy dodatki w pracy. Jeśli pracownik może przypadkiem uzyskać dostęp do tych informacji, z łatwością zrobi to haker.

Kolejny efekt cyfrowego bałaganu może być następujący: jeśli zapomnimy o dokumentach i plikach i nadal będą one dostępne online – na przykład poprzez aplikacje umożliwiające współpracę lub dokumenty przechowywane w chmurze czy bazach danych – dostęp do nich będą mieć nawet te osoby, które już odeszły z firmy. Ponad jedna trzecia osób (33%) twierdzi, że nadal ma dostęp do plików z poprzedniego miejsca pracy.

Dla firm stanowi to ogromny problem. Firmy zawsze są narażone na zagrożenia pochodzące od wewnątrz – np. gdy pracownik wykorzystuje swoje uprawnienia dostępowe w celu złamania firmowych zabezpieczeń, jednak są one znacznie większe w przypadku środowisk chmurowych i dostępu, który jest możliwy nawet po rozstaniu pracownika z organizacją.

Przykład:

Wyobraź sobie, że jesteś właścicielem małej lub średniej firmy. Czy możesz z całą pewnością powiedzieć, gdzie znajdują się wszystkie poufne dane Twojej firmy oraz jak są chronione? Czy możesz z całą pewnością powiedzieć, że Twoi pracownicy nie natknęli się na informacje poufne? Czy wiesz, jaka jest stosowana w firmie polityka blokowania dostępu w odniesieniu do pracowników, którzy z niej odeszli? Czy byli pracownicy mogą mieć dostęp do przechowywanych w serwisie Google dokumentów, nad którymi pracowali?

Porozmawiajmy o bezpieczeństwie

Potencjalnym efektem cyfrowego bałaganu może być wiele przykładów: od wyszukiwarki Yandex wyświetlającej w wynikach niechronione hasłem Dokumenty Google po zagrożenie wewnętrzne, które staje się problemem z zewnątrz, gdy pracownik opuszcza firmę, a mimo to nadal ma dostęp do danych na swoim prywatnym dysku twardym – jak to było w przypadku firmy Coca-Cola. Nie wspominając o tym, że powszechnie wykorzystywane narzędzia do współpracy ułatwia atakującym przeprowadzenie ataków phishingowych, w których naśladują oni charakterystyczny styl e-maili, np. komunikatów związanych z nadaniem praw dostępowych czy zainstalowaniem aktualizacji.

Czy pokolenie Z jest największym sprawcą cyfrowego bałaganu?

Rysunek 1. Czy kiedykolwiek dzieliłeś się swoim loginem i hasłem do urządzeń firmowych ze swoim współpracownikiem? (Wykres 5*)

Jeśli porównamy przyzwyczajenia wiążące się z bałaganem cyfrowym w pracy u osób w wieku 18-24 lat z przyzwyczajeniami, jakie mają osoby w wieku powyżej 55 lat, widać pewne wyraźne różnice. W przypadku grupy młodszych osób znacznie bardziej prawdopodobne jest, że przypadkowo odkryją oni informacje poufne w pracy czy uzyskają dostęp do plików z poprzedniego miejsca pracy.

Z jednej strony można uważać, że przez tę możliwość uzyskania dostępu do informacji poufnych i plików młodsze pokolenie będzie ostrożniejsze. Jednak nasze badanie wykazało coś zupełnie przeciwnego: ludzie w wieku 18-24 lat prawie dwa razy częściej (30% w porównaniu do 18% dla wieku powyżej 55 lat) udostępniali kolegom z pracy swoją nazwę użytkownika i hasło do urządzenia firmowego.

Pracownicy biorą na siebie niewielką odpowiedzialność za cyfrowy bałagan w miejscu pracy

Cyfrowy bałagan w miejscu pracy to efekt uboczny ery cyfrowości, w której tworzymy dokumenty i zapisujemy je na serwerach oraz w chmurze, dzięki czemu można współpracować nad nimi grupowo. Dzięki skutecznemu zabezpieczeniu tych dokumentów i odpowiednim zarządzaniu uprawnieniami dostępowymi firma nie musi obawiać się hakerów. Cyfrowy bałagan w pracy nie musi być problemem.

Za co odpowiedzialny jest dział w firmie odpowiadający za uprawnienia dostępowe i bezpieczeństwo?

Jaka odpowiedzialność powinna ciążyć na pracownikach, którzy tworzą dokumenty i zarządzają nimi?

Problemem jest tu fakt, że w znaczącej większości firm pracownicy pozornie nie biorą żadnej odpowiedzialności za tworzone przez siebie dokumenty. Nasze globalne badanie pokazało, że dwie trzecie (66%)[i] osób nie pamięta, jakie dane zostały przez nich udostępnione w dokumentach, nie mówiąc już o tym, że nie pamiętają również, czy je zabezpieczyli i zmienili prawa dostępu po zmianach kadrowych – np. po opuszczeniu przez pracowników murów firmy.

Aż 80% pracowników nie uważa, że to właśnie do nich należy zabezpieczenie e-maili, plików czy dokumentów — poprzez kontrolę dostępu — bez względu na to, czy to oni je utworzyli. To niepokojąco duży odsetek, biorąc pod uwagę to, że o istnieniu danego dokumentu czy e-maila mogą wiedzieć tylko te osoby, które je utworzyły.

Rysunek 2. Kto jest w Twojej firmie odpowiedzialny za dbanie o odpowiednie uprawnienia dostępu do e-maili/plików/dokumentów? (Wykres 13)

Analizując dane statystyczne, można zauważyć, że pracownicy, którzy dbają o zawartość swojej skrzynki pocztowej, mają znacznie lepsze przyzwyczajenia w kwestii zabezpieczenia cyfrowego bałaganu; np. 56% osób regularnie usuwa przestarzałe elementy ze swojej skrzynki pocztowej. Dla porównania, tylko 34% pracowników postępuje tak w odniesieniu do dysku twardego[ii].

Aż 72% pracowników przechowuje w pracy dokumenty, które zawierają informacje umożliwiające identyfikację osobową lub wrażliwe dane. Jeszcze gorsze jest to, że nikt nie ponosi za to odpowiedzialności.

Rysunek 3. Czy dokumenty firmowe, które przechowujesz, zawierają wrażliwe dane? (Wykres 3)

Przykład:

Wyobraź sobie, że jesteś odpowiedzialny za sprzedaż w małej firmie konsultingowej. Pewnego razu dyrektor zarządzający prosi Cię o przygotowanie podsumowania najlepszego klienta z tego kwartału i ewentualne potencjalne szanse na następny kwartał. Wraz ze swoim działem zbierasz informacje w dokumencie i prezentujesz go dyrektorowi zarządzającemu.

Następnie jedna z osób z Twojego działu zwalnia się, a po chwili okazuje się, że została zatrudniona w konkurencyjnej firmie konsultacyjnej, sprzedającej podobne usługi. Nagle uświadamiasz sobie, że nie zablokowałeś dostępu do dokumentu Google podsumowującego liderów kwartału i zawierającego prognozy dla kolejnego kwartału, który został wysłany do dyrektora zarządzającego. Z kolei dział IT nie zablokował pracownika, bo nawet nie wiedział, że taki dokument został utworzony, a pracownik poprosił o możliwość logowania się z prywatnego konta Gmail.

W ten sposób były pracownik najprawdopodobniej spisał wszystkich Twoich potencjalnych liderów sprzedaży. Mówiąc wprost, to informacja, która może spowodować znaczne straty finansowe dla Twojej firmy i nigdy nie powinna opuścić sieci firmowej.

Przykład:

Niedawno wynegocjowałeś zwiększenie pensji za wykonanie heroicznej pracy na rzecz poprawy funkcjonowania działu marketingu w Twojej firmie ubezpieczeniowej. Ustalenia z szefem odbyły się poprzez pocztę e-mail, którą następnie przesłał do działu finansów w celu zaktualizowania systemu o nowe dane.

Postanawiasz zmienić konto bankowe, na które przelewana jest Twoja wypłata, więc tę informację również przesyłasz do działu finansów. Jego pracownicy zastanawiają się, kto zaktualizował system, a także czy zdążą dokonać wszystkich zmian do następnej wypłaty.

Nikt nie usuwa Twojej wiadomości ze skrzynki odbiorczej.

Kilka miesięcy później niczego niepodejrzewający pracownik działu finansów wyszukuje Twoje imię i nazwisko w skrzynce odbiorczej, aby pokazać nowej osobie, w jaki sposób zwiększać pensję. Przesyła korespondencję e-mail zawierającą Twoje dane finansowe do nowego pracownika. Jednak przez pomyłkę wpisuje zły adres e-mail, a wiadomość trafia do kogoś innego. Twoje zarobki stają się tematem rozmów w pracy, co boleśnie odczuwasz.

Jak rozpoznać cyfrowy bałagan w pracy – zajrzyj do swojej lodówki!

Cyfrowy bałagan sprawia, że firmy obawiają się kradzieży własności intelektualnej, informacji poufnych i danych wrażliwych. Ponadto obawiają się go też pracownicy, a ponieważ dane coraz częściej są w rękach ich właścicieli, którzy nie dbają o ich należyte bezpieczeństwo, należy zrobić wszystko, co tylko można, aby zapewnić im bezpieczeństwo.

Dlatego należy poznać zagrożenia, jakie stwarza dla cyfrowy bałagan.

Wracając więc do naszych hipotez – czy dzięki przyzwyczajeniom możemy dowiedzieć się, na co zwracać uwagę, jeśli chcemy zminimalizować ryzyko związane z naszym cyfrowym bałaganem w pracy?

Tak, możemy!

W ramach naszej analizy zagadnienia cyfrowego bałaganu przeprowadziliśmy również badanie, aby sprawdzić, jakie przyzwyczajenia sprzyjają mu w pracy. Zapytaliśmy również ludzi o to, w jaki sposób zwyczaje te mogą przejawiać się w organizowaniu żywności w ich lodówce.

Czego się dowiedzieliśmy? Twoja lodówka MOŻE wskazywać zagrożenia wynikające z cyfrowego bałaganu.

Oto kilka najważniejszych danych statystycznych, które mogą Ci wskazać, jak rozpoznać bałagan cyfrowy w pracy i jakie sygnały ostrzegawcze mogą ujawniać Twoje zwyczaje:

• Wśród osób, które przyznały, że utrzymują porządek (lub względny porządek) w lodówce, 95% osób przyznało, że utrzymuje porządek (lub względny porządek) w życiu cyfrowym. To znacznie więcej niż odsetek osób, które twierdzą, że nie pilnują porządku w lodówce, ale mają uporządkowane życie cyfrowe[iii]

Rysunek 4. Spośród osób, które mają dobrze lub w jakimś stopniu uporządkowaną lodówkę… (Wykres 22)

• Wśród osób, które porządkują swoją lodówkę przed wakacjami, 88% postępuje tak również w życiu cyfrowym. To znacznie większy odsetek niż osób, które nie dbają o porządek w swojej lodówce przed wakacjami, ale porządkują życie cyfrowe.

Rysunek 5. Czy zanim wyjedziesz np. na wakacje, zwykle opróżniasz swoją lodówkę i sprawdzasz datę ważności produktów oraz porządkujesz swoje pliki/e-maile w pracy? (Wykres 23)

• Dwie trzecie (66%) osób, które przez roztargnienie kupiły dwukrotnie to samo do lodówki, uważa również, że trudno jest im odnaleźć w pracy dokumenty lub pliki.

Rysunek 6. Czy kiedykolwiek kupiłeś przez roztargnienie to samo do swojej lodówki i miewasz trudności z odnajdywaniem pliku lub dokumentu w pracy (Wykres 24)

Zatem następnym razem, gdy otworzysz swoją lodówkę i zobaczysz puste opakowania, spleśniały ser czy podejrzanie wyglądające resztki jedzenia, poświęć chwilę na wyeliminowanie cyfrowego bałaganu, a także rozważ wiosenne porządki.

Porady dla firm

Firmy powinny rozważyć stosowanie następujących porad praktycznych, które pomogą zminimalizować cyfrowy bałagan i związane z nim zagrożenia dla bezpieczeństwa:

• Organizuj pracownikom szkolenia – większość wycieków bezpieczeństwa wynika z błędu pracownika. Bardzo ważne jest, aby w szkoleniu wyćwiczyć umiejętności praktyczne możliwe do wdrożenia w codziennej pracy, które nie będą nudne czy czasochłonne. Krótkie lekcje powinny obejmować sytuacje z codziennej pracy. Tu dobrze sprawdzi się rozwiązanie Kaspersky Automated Security Awareness Platform.
• Regularnie przypominaj pracownikom, jak istotne jest postępowanie zgodnie z zasadami cyberbezpieczeństwa. Możesz na przykład powiesić plakaty w biurze lub podarować im kartki zawierające proste i praktyczne porady.
• Twórz kopie zapasowe najważniejszych danych w celu zabezpieczenia firmowych informacji oraz regularnie aktualizuj sprzęt IT i aplikacje, aby eliminować niezałatane luki, przez które szkodliwe oprogramowanie mogłoby przedostać się do sieci firmowej.
• Skorzystaj ze specjalnego rozwiązania przeznaczonego dla małych i średnich firm, które jest proste w zarządzeniu i ma skuteczne funkcje zabezpieczające; np. Kaspersky Endpoint Security Cloud. Możesz również zlecić dbanie o kwestie cyberbezpieczeństwa firmie, która oferuje ochronę skrojoną na miarę.

Porady dla pracowników umożliwiające zachowanie bezpieczeństwa w świecie cyfrowym:

• Nie klikaj łączy w e-mailach, jeśli zostały wysłane przez osoby lub organizacje, których nie znasz, mają podejrzany lub nietypowy adres. Jeśli musisz wprowadzić jakieś informacje, upewnij się, że wszystkie łącza są prawdziwe i rozpoczynają się od ciągu „https”.
• Adresu firmowego używaj tylko na stronach związanych z pracą.
• Używaj tylko legalnego oprogramowania i pobieraj go z oficjalnych źródeł. Jeśli masz jakieś problemy z instalacją, poproś o pomoc dział IT.
• Nie pobieraj, nie otwieraj ani nie przechowuj przypadkowych plików na komputerze firmowym, ponieważ mogą one zaszkodzić całej firmie.
• Nie używaj w hasłach żadnych informacji osobistych. Aby hasło było jak najbezpieczniejsze, nie używaj w nim swojego imienia, daty urodzenia, adresu ani żadnych innych informacji osobistych.
• Dbaj o bezpieczeństwo swoich haseł – możesz na przykład skorzystać z rozwiązania Kaspersky Password Manager, które przechowuje hasła i inne wrażliwe dane w zaszyfrowanym kontenerze prywatnym.

[i] Pytanie nie zostało zadane w Wielkiej Brytanii

[ii] Pytanie nie zostało zadane w Wielkiej Brytanii

[iii] 14% więcej. 81% respondentów ma nieład w lodówce, ale utrzymuje porządek w życiu cyfrowym