Jak získat citlivé firemní informace? V 9 z 10 případů se stačí rozhlédnout v kanceláři

V době, kdy podniky vynakládají horentní sumy za zabezpečení proti průniku do svých sítí a krádeži dat, se výzkumnému týmu podařilo získat citlivé firemní informace při pouhé návštěvě kanceláří. Odnesli si fotografie obrazovek, dokumenty sebrané ze stolů a další informace, aniž by je kdokoli zastavil.

Jak získat citlivé firemní informace? V 9 z 10 případů se stačí rozhlédnout v kanceláři


Ponemonův institut, výzkumný ústav zabývající se bezpečností, vyslal výzkumníky do 43 firem, aby se v nich pokusili získat citlivé informace. V 88 % případů získali seznamy zaměstnanců, informace o zákaznících, finanční údaje, přihlašovací údaje, přístupová hesla a důvěrné dokumenty. Výzkumníci měli platné označení jako brigádníci a vedení firem o výzkumu vědělo.

V každé kanceláři výzkumníci strávili až dvě hodiny, bezcílně se procházeli, fotografovali obrazovky počítačů, probírali se věcmi na cizích pracovních stolech, brali z nich dokumenty označené jako „důvěrné“ a dávali si je do tašek, vše bezostyšně ostatním na očích.

Navzdory očekávání se v drtivé většině případů řadoví zaměstnanci výzkumníků na nic neptali a kromě jednoho případu na jejich podezřelé chování neupozornili své nadřízené. A to ani v případě, kdy „vetřelec“ před jejich zraky přišel k počítači, u kterého v tu chvíli nikdo neseděl, otevřel Excelovou tabulku a vyfotografoval ji mobilním telefonem.

Ze 43 pokusů byli výzkumníci pouze sedmkrát konfrontováni zaměstnancem při fotografování obrazovky, pouze čtyřikrát při krádeži důvěrných dokumentů a pouze dvakrát při prohlížení předmětů na pracovních stolech, monitorů a výstupů z tiskáren, kopírek a faxů.

Úspěšnost získání citlivých informací se lišila podle uspořádání kanceláře – největší úspěch výzkumníci zaznamenali v kanceláři typu open-space. Nejčastěji se jim podařilo získat informace v odděleních zákaznických služeb, komunikace a prodeje, zatímco právní a účetní oddělení byla méně náchylná. Uprostřed mezi nimi se umístil IT helpdesk a provoz datových center. V žádném z pěti případů se nepodařilo útočníkům získat citlivé informace v odděleních výzkumu a vývoje.

Ponemonův institut ve své studii připouští, že jeho výzkumníci měli více času než by pravděpodobně měl skutečný útočník v přestrojení. U poloviny pracovišť se však podařilo získat informace během prvních 15 minut. Podle typu falešné identity by případný útočník mohl mít i více času a  zaměstnanec se zlými úmysly by měl času libovolně.


Úvodní foto: © Minerva Studio - Fotolia.com




Komentáře