Поведение сотрудников при доступе к данным подвергает риску австралийских работодателей

По данным поставщика услуг по защите персональных данных CyberArk, более 60% австралийских сотрудников признаются, что обходят политику кибербезопасности своего работодателя ради удобства. Многие также получают доступ к рабочим приложениям с незащищенных персональных устройств.

Опрос о рисках для сотрудников CyberArk 2024, в котором в октябре 2024 года приняли участие 14 003 работника в США, Великобритании, Франции, Германии, Австралии и Сингапуре, показал, что австралийские сотрудники в целом соблюдают политику кибербезопасности лучше, чем сотрудники других стран.

Однако большинство по-прежнему обходят киберполитику, чтобы облегчить себе жизнь. CyberArk обнаружил распространенные обходные пути среди австралийских сотрудников, включая использование одного пароля для нескольких учетных записей, использование личных устройств в качестве точек доступа WiFi и пересылку корпоративных писем на личные учетные записи.

SEE: Австралийские сотрудники выбирают удобство и скорость вместо кибербезопасности

Генеральный директор CyberArk Мэтт Коэн в своем отчете заявил, что общие результаты показывают, что «доступ с высоким уровнем риска распространен на всех должностях», что потенциально подвергает конфиденциальные организационные данные еще большему риску.

Австралийские сотрудники получают доступ к конфиденциальным данным с личных устройств

Отчет CyberArk показал, что большинство австралийских сотрудников (80%) получают доступ к рабочим приложениям — часто содержащим критически важные для бизнеса данные — с личных устройств, которые часто не имеют адекватного контроля безопасности. Этот показатель использования личных устройств значительно превышает средний мировой показатель в 60%.

Было обнаружено, что отделы маркетинга чаще всего (94%) используют персональные устройства для доступа к рабочим приложениям, за ними следуют ИТ-отделы (93%). При этом более половины (52%) сотрудников начального уровня уже имели доступ к критически важным данным с помощью используемых ими рабочих инструментов.

Австралийцы — одни из самых медленных в обновлении безопасности своих персональных устройств

Было установлено, что австралийские сотрудники являются одними из самых медленных в мире по установке обновлений прошивки или исправлений безопасности на свои личные или BYOD-устройства после их выпуска поставщиками.

В глобальном масштабе более трети (36%) опрошенных сотрудников заявили, что не устанавливают немедленно исправления безопасности или обновления программного обеспечения для всех своих персональных устройств. Кроме того, 26% не согласились с тем, что всегда используют VPN при доступе к рабочим ресурсам, что повышает риск кибератак.

Доступ к ценным для злоумышленников действиям, распространенным среди сотрудников

В отчете установлено, что широко распространенный привилегированный доступ к системам позволяет многим сотрудникам выполнять действия, которые могут представлять большую ценность для злоумышленников, завладевающих их учетными записями:

40% опрошенных по всему миру указали, что они обычно загружают данные клиентов. 33% могут изменять критически важные или конфиденциальные данные. 30% могут одобрять крупные финансовые транзакции.

Австралийские сотрудники сталкиваются с практикой повторного использования паролей

Повторное использование паролей также было распространено во всем мире. В отчете установлено, что 49% опрошенных сотрудников использовали одни и те же учетные данные для входа в несколько рабочих приложений. В Австралии 33% сотрудников решили использовать одни и те же учетные данные для входа как в личные, так и в рабочие приложения и сервисы.

Во всем мире 41% опрошенных сотрудников заявили, что они делились конфиденциальной информацией, касающейся их рабочего места, с третьими лицами, что, по данным CyberArk, повышает риск утечек и нарушений безопасности.

СМОТРЕТЬ: Темпы внедрения паролей в Австралии отстают

Во всем мире производительность становится приоритетнее политики кибербезопасности

Сотрудники по всему миру также обходят политику кибербезопасности, чтобы избежать трений. Среди респондентов по всему миру, принявших участие в опросе CyberArk:

20% использовали личные устройства в качестве точек доступа Wi-Fi. 18% избегали установки обновления, так как это занимает слишком много времени. 18% регулярно используют личные устройства вместо корпоративных. 17% пересылают корпоративные письма на личные адреса электронной почты.

Некоторые австралийские сотрудники никогда не соблюдают правила использования инструментов ИИ

Было обнаружено, что более 66% австралийских сотрудников используют инструменты ИИ. Однако CyberArk предупредил, что инструменты ИИ могут создавать новые уязвимости, например, когда сотрудник помещает в них конфиденциальные данные.

Похоже, что подобное поведение наблюдается среди австралийских сотрудников: почти 25% признались, что время от времени используют инструменты ИИ, которые не одобрены или не контролируются организацией.

SEE: Splunk призывает австралийские организации получать степени магистра права

Кроме того, более трети (33%) австралийских сотрудников утверждают, что они «только иногда» или «никогда» не придерживаются рекомендаций по обработке конфиденциальной информации при использовании инструментов ИИ.

Специалистам по ИТ и безопасности рекомендуется направлять сотрудников к более эффективным методам работы

Томас Фикентшер, вице-президент CyberArk по региону ANZ, отметил, что ожидается, что нарушения после аутентификации станут еще более распространенными со временем, поскольку австралийские организации продолжают переносить рабочие процессы в облако. Он сказал, что организации не должны полагаться только на MFA для защиты от мошеннической деятельности.

В отчете CyberArk также рекомендуется организациям снижать рискованное поведение сотрудников, принимая решения, которые расширяют возможности рабочей силы, а не замедляют ее. CyberArk заявил, что с учетом быстрого роста использования ИИ службы безопасности должны признать, что это надолго, и что использование ИИ следует учитывать при модернизации средств контроля безопасности в будущем.