Почему не шифруем? Исследование InfoWatch
Вот уже больше года в наших новостях (равно как и в новостях конкурентов) из раза в раз появляются сообщения с одинаковым сюжетом. Некто потерял (вариант: украли, проворонил, прощёлкал) ноутбук, флэшку или иной мобильный носитель с конфиденциальной информацией Данные почему-то не были зашифрованы, и теперь предстоит неприятная и дорогостоящая процедура оправдывания перед потерпевшими и возмещения вреда.
Практически каждый день. В разных странах. С разными суммами потерь: от чисто морально ущерба до миллионов долларов. В госорганах, армии, полиции, вузах, космических агентствах, шопинг-моллах и автомастерских. Словом, повсеместно и ежечасно.
В конце концов количество перешло в качество. Нет, не в том смысле, что начали массово шифровать содержимое мобильных носителей информации. Шифровать, похоже, по-прежнему является уделом шпионов. Шифровать не начали. И это нас удивляет. Качественный переход в том, что мы (аналитический центр "Инфовотч") в конце концов задали себе вопрос: почему?
Почему, зная о риске утери носителя и регулярно слыша из новостей о подобных инцидентах, люди по всему миру не спешат покупать нашу замечательную систему шифрования? И не нашу тоже. Этих систем на рынке - на любой вкус и любой кошелёк (и его отсутствие, в том числе). Но не шифруют! Упорно теряют конфиденциальные данные, плачут, платят, но продолжают записывать их в нешифрованном виде.
Вопрос звучал так. «Что в вашем случае препятствует использованию шифрования конфиденциальной информации на ноутбуках и флэшках?» Этот вопрос мы адресовали 39 респондентам из числа как специалистов по ИБ, так и рядовых пользователей. Набора готовых вариантов ответа мы не давали. Но полученные неформализованные ответы мы переформулировали и агрегировали в несколько кластеров. Вот они.
Боюсь, что в случае сбоя шифрованные данные не удастся восстановить 10 Придётся запоминать пароль, а это напряжно (и есть риск забыть) 7 Шифровать флэшку означало бы терять её совместимость с разными компьютерами (в утверждения производителей об обратном не верю) 6 Пока не подобрал устраивающую меня систему (то дорогая, то несовместимая, то неудобная) 6 Хорошая система стоит хороших денег, а лишних средств у нас нет 4 Мне некомфортно каждый раз вводить пароль / нелегко заставить сотрудников делать это 4 Всё как-то нет времени (или лень) 3 Опасаюсь ставить новый софт на свой фирменный ноутбук; вдруг пропадут данные или ещё что-то случится 3 Да, надо бы поставить систему шифрования; вот прямо завтра и поставлю (или лучше в понедельник) 2 В этих системах шифрования есть "чёрный ход"; я им не доверяю 2 Я не придаю значения этому риску 1 Не нашёл сертифицированной системы 1 Другое 3 Сумма больше числа респондентов, потому что некоторые давали по нескольку ответов.
Что аналитики "Инфовотч" могут сказать, глядя на эти результаты исследования? Главный вывод таков: проблема не в технике, а в людях.
Улучшая свой криптографический продукт, мы существенного повышения сбыта не добьёмся. (Конкурентов это тоже касается, ага.) Причина массового неприменения такого простого и дешёвого метода защиты от утечек как шифрование данных на мобильных носителях - неполное, недостаточное осознание руководителями рисков, связанных с разглашением конфиденциальной информации. Даже в тех странах, где за подобные утечки следует наказание, оно, видимо, не сильно пугает. Тем более, что ответственность редко бывает персональная, чаще под "ответственностью" подразумеваются убытки компании. Редко наказывают того, кто потерял носитель (за это вообще наказывать бесполезно). Ещё реже - того, кто не ввёл обязательное шифрование (а вот это было бы эффективней).
Поэтому имеет смысл не только вкладывать средства в совершенствование продукта, но также и в пропаганду "здорового образа хранения данных", в разъяснение рисков, связанных с утратой носителей.
PS. А вы, дорогой читатель, почему не зашифровали свою флэшку?
Практически каждый день. В разных странах. С разными суммами потерь: от чисто морально ущерба до миллионов долларов. В госорганах, армии, полиции, вузах, космических агентствах, шопинг-моллах и автомастерских. Словом, повсеместно и ежечасно.
В конце концов количество перешло в качество. Нет, не в том смысле, что начали массово шифровать содержимое мобильных носителей информации. Шифровать, похоже, по-прежнему является уделом шпионов. Шифровать не начали. И это нас удивляет. Качественный переход в том, что мы (аналитический центр "Инфовотч") в конце концов задали себе вопрос: почему?
Почему, зная о риске утери носителя и регулярно слыша из новостей о подобных инцидентах, люди по всему миру не спешат покупать нашу замечательную систему шифрования? И не нашу тоже. Этих систем на рынке - на любой вкус и любой кошелёк (и его отсутствие, в том числе). Но не шифруют! Упорно теряют конфиденциальные данные, плачут, платят, но продолжают записывать их в нешифрованном виде.
Вопрос звучал так. «Что в вашем случае препятствует использованию шифрования конфиденциальной информации на ноутбуках и флэшках?» Этот вопрос мы адресовали 39 респондентам из числа как специалистов по ИБ, так и рядовых пользователей. Набора готовых вариантов ответа мы не давали. Но полученные неформализованные ответы мы переформулировали и агрегировали в несколько кластеров. Вот они.
Боюсь, что в случае сбоя шифрованные данные не удастся восстановить 10 Придётся запоминать пароль, а это напряжно (и есть риск забыть) 7 Шифровать флэшку означало бы терять её совместимость с разными компьютерами (в утверждения производителей об обратном не верю) 6 Пока не подобрал устраивающую меня систему (то дорогая, то несовместимая, то неудобная) 6 Хорошая система стоит хороших денег, а лишних средств у нас нет 4 Мне некомфортно каждый раз вводить пароль / нелегко заставить сотрудников делать это 4 Всё как-то нет времени (или лень) 3 Опасаюсь ставить новый софт на свой фирменный ноутбук; вдруг пропадут данные или ещё что-то случится 3 Да, надо бы поставить систему шифрования; вот прямо завтра и поставлю (или лучше в понедельник) 2 В этих системах шифрования есть "чёрный ход"; я им не доверяю 2 Я не придаю значения этому риску 1 Не нашёл сертифицированной системы 1 Другое 3 Сумма больше числа респондентов, потому что некоторые давали по нескольку ответов.
Что аналитики "Инфовотч" могут сказать, глядя на эти результаты исследования? Главный вывод таков: проблема не в технике, а в людях.
Улучшая свой криптографический продукт, мы существенного повышения сбыта не добьёмся. (Конкурентов это тоже касается, ага.) Причина массового неприменения такого простого и дешёвого метода защиты от утечек как шифрование данных на мобильных носителях - неполное, недостаточное осознание руководителями рисков, связанных с разглашением конфиденциальной информации. Даже в тех странах, где за подобные утечки следует наказание, оно, видимо, не сильно пугает. Тем более, что ответственность редко бывает персональная, чаще под "ответственностью" подразумеваются убытки компании. Редко наказывают того, кто потерял носитель (за это вообще наказывать бесполезно). Ещё реже - того, кто не ввёл обязательное шифрование (а вот это было бы эффективней).
Поэтому имеет смысл не только вкладывать средства в совершенствование продукта, но также и в пропаганду "здорового образа хранения данных", в разъяснение рисков, связанных с утратой носителей.
PS. А вы, дорогой читатель, почему не зашифровали свою флэшку?