Взлом через службу поддержки

21:21 28.08.2013

Рубрика Автоматизация предприятий |   994 прочтения



Социальная инженерия возглавляет список угроз безопасности при работе служб поддержки. Во многих случаях соблюдение безопасности не играет существенной роли в организации процессов ИТ-поддержки.

Результаты опроса, организованного компанией RSA, показывают, что социальная инженерия возглавляет список угроз безопасности при работе служб поддержки. Обращение в службу поддержки для большинства сотрудников остается предпочтительным способом разрешения базовых проблем, связанных с ИТ. Чаще всего обращения касаются распространенных ИТ-проблем (например, сброса пароля и проблем с приложениями и подключением). Эффективность работы специалистов определяется тем, насколько быстро они могут ответить пользователям и устранить проблему. К сожалению, во многих случаях соблюдение безопасности не играет существенной роли в этом процессе, и поэтому службы поддержки, сами того не желая, становятся точкой входа для хакеров и инсайдеров при попытке получить доступ к конфиденциальным ресурсам.

69% специалистов назвали социальную инженерию самой серьезной угрозой безопасности. Однако в большинстве организаций для идентификации пользователей используются базовые личные данные — информация, которую злоумышленник может найти без особенных сложностей. Кроме того, многие сотрудники служб поддержки обходят проверки безопасности в стремлении оказать помощь пользователям быстро и эффективно.

Помимо человеческого фактора, важную роль в недостаточном обеспечении общей безопасности при работе служб поддержки играют недостаток обучения, а также отсутствие инструментов и технологий. Более 51% респондентов заявили, что используют умеренный подход к обеспечению безопасности, но не уделяют должного внимания обучению персонала или использованию всех необходимых технологий при выполнении повседневной работы. Только 10% оценили процедуры безопасности в своей организации как надежные.

Показательно, что 43% компаний не учитывают стоимость инцидентов, подвергающих угрозе безопасность данных, при утверждении бюджета, выделяемого на службы поддержки, который чаще определяется в зависимости от количества пользователей.


Теги: Автоматизация предприятий Информационная безопасность