A BalaBit IT Security informatikai szakemberek körében végzett nemzetközi felmérése szerint a megkérdezettek közel háromnegyede már legalább egyszer visszaélt vállalata informatikai rendszerével, úgy, hogy az akár a munkahelyének elvesztésébe is kerülhetett volna.
A rendszergazda is megbotlik ■ A 2011. augusztus és október között több mint 200 közép-európai IT szakértő körében végzett felmérésből kiderült, a vállalati informatikai rendszerek üzemeltetéséért felelős munkatársak átlagosan két olyan illegális tevékenységet is megjelöltek, amelyet korábban elkövettek. Mindössze 36 százalékuk állította, hogy munkája során a TOP 6-os listában szereplő, a vállalati szabályokkal ellentétes informatikai tevékenységek közül egyet sem próbált ki.
54% ■ töltött már le illegális tartalmakat a munkahelyén;
48% ■ hozott már létre a tűzfalon vagy egyéb rendszeren öncélú kivétel szabályokat az általános policyk alóli kibújáshoz;
29% ■ “vitt már haza” céges adatokat;
25% ■ nézett már bele a cég szerverén tárolt bizalmas információkba (pl. béradatok);
16% ■ olvasta már el valamely kollégájának e-mailjét (annak tudta nélkül);
15% ■ pedig törölt, vagy módosított naplófájlokat (bizonyíték eltüntetése céljából).
A megkérdezettek közül ugyanakkor 41 százalék állította, került már olyan helyzetbe, amikor jó lett volna, ha van részletes videofelvétel a munkájáról. Ennek legfőbb oka az, hogy az IT munkatársak több mint felének az általa használt felhasználóneveket és jelszavakat más munkatársakkal is meg kell osztania a különböző rendszeradminisztrátori feladatok ellátása során. Így talán már az is érthetőbb, miért nyilatkozott harmaduk úgy, hogy kifejezetten örülne, ha monitoroznák a tevékenységét. További 58 százalék a konkrét megoldástól tette függővé, támogatná-e munkája ilyen típusú ellenőrzését, míg mindössze 8 százalék volt azok aránya, akik kifejezetten elutasítanák a megfigyelést.
Előírt megfigyelés ■ A kutatás publikálói megjegyzik: bár alapvetően senki nem szereti, ha megfigyelik a munkáját – még akkor sem, ha erről előzetesen tájékoztatták – a kiemelt jogosultsággal rendelkező felhasználók (rendszergazdák, magas beosztású vagy érzékeny adatokkal dolgozó munkatársak, külsős outsource partnerek) munkahelyi tevékenységének ellenőrzését ma már számos törvényi és iparági előírás teszi kötelezővé. A Bázel III és a Hpt. előírásainak betartása a pénzintézetekre, a Sarbanes-Oxley Act a New York-i tőzsdén jegyzett vállalatok leányvállalataira, a HIPAA az egészségügyi intézményekre, a PCI DSS a bankkártyaadatokat kezelő vállalatokra nézve kötelező érvényű, amelyet rendszeres auditok során ellenőriznek.
a melléklet támogatója az EURO ONE
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?