Nhân viên gây ra sự cố mạng cho công ty nguy hiểm không thua kém hacker tấn công

Nghiên cứu mới cho thấy nhân viên vi phạm chính sách bảo mật thông tin của tổ chức nguy hiểm như các cuộc tấn công của hacker.

Tỉ lệ nhân viên gây ra sự cố mạng công ty không thua kém so với hacker tấn công - Ảnh: KASPERSKY

Theo nghiên cứu, trong hai năm qua có tới 33% sự cố an ninh mạng tại các doanh nghiệp ở khu vực Châu Á - Thái Bình Dương (APAC) xảy ra do nhân viên cố tình vi phạm giao thức bảo mật.

Khi nhân viên cũng nguy hiểm như hacker

Con số này gần bằng thiệt hại gây ra bởi rò rỉ dữ liệu trên không gian mạng khi có tới 40% sự cố mạng xảy ra do bị hacker tấn công tại khu vực. Tại Châu Á - Thái Bình Dương tình trạng tương tự có xu hướng cao hơn khi so sánh với mức trung bình toàn cầu, lần lượt là 26% và 30%.

Kaspersky tiết lộ bên cạnh những lỗi kỹ thuật ngoài tầm kiểm soát nhân sự, việc vi phạm chính sách bảo mật thông tin của nhân viên cũng là một trong những vấn đề nghiêm trọng nhất đối với các doanh nghiệp tại khu vực.

Những người tham gia khảo sát cho rằng những hành động cố ý vi phạm các quy tắc an ninh mạng đều được thực hiện bởi nhân viên công nghệ thông tin (CNTT) và nhân viên không thuộc bộ phận CNTT trong hai năm qua.

Họ cho biết việc vi phạm chính sách của các chuyên gia bảo mật CNTT cấp cao đã gây ra 16% sự cố an ninh mạng, cao hơn 4% so với mức trung bình toàn cầu. Các chuyên gia CNTT khác và các nhân viên không thuộc bộ phận CNTT đã vi phạm các giao thức bảo mật và gây ra khoảng 12%-15% sự cố mạng.

Nhân viên cố tình vi phạm nguyên tắc doanh nghiệp

Về hành vi cá nhân của nhân viên, vấn đề thường gặp nhất là nhân viên cố tình vi phạm nguyên tắc doanh nghiệp và ngược lại, họ làm những việc không được yêu cầu. Những người tham gia nghiên cứu cho rằng 35% sự cố an ninh mạng là do mật khẩu yếu và không thay đổi mật khẩu thường xuyên, cao hơn 10% so với kết quả toàn cầu là 25%.

Bên cạnh đó, việc các nhân sự ở APAC truy cập trang web không bảo mật dẫn đến rò rỉ dữ liệu chiếm đến 32% câu trả lời trong khảo sát. Tiếp đến có 25% nhân sự báo cáo rằng doanh nghiệp phải đối mặt với sự cố mạng vì các đồng nghiệp không cập nhật phần mềm, ứng dụng khi được hệ thống yêu cầu.

Việc sử dụng các dịch vụ hoặc thiết bị không được yêu cầu cũng là một trong những nguyên nhân dẫn đến những hành vi vi phạm chính sách bảo mật thông tin có chủ đích. Gần 31% doanh nghiệp gặp phải sự cố mạng vì nhân sự sử dụng hệ thống chưa được cấp phép để chia sẻ dữ liệu.

Có đến 25% nhân sự cố tình truy cập dữ liệu thông qua các thiết bị chưa được cấp phép, trong khi đó nhân sự ở 26% doanh nghiệp khác cũng chuyển dữ liệu đến địa chỉ email cá nhân.

Một hành vi khác được báo cáo là các nhân sự dùng các thiết bị làm việc để triển khai CNTT bóng tối (shadow IT), 15% người tham gia khảo sát nhận định đây cũng là nguyên nhân dẫn đến sự cố mạng.

Bên cạnh những hành vi vô trách nhiệm đề cập bên trên, những người tham gia khảo sát cũng tiết lộ rằng có đến 26% hành vi vi phạm của nhân sự đến từ mục đích vụ lợi cá nhân. Theo đó, 18% người được khảo sát cho rằng việc cố tình vi phạm chính sách bảo mật thông tin là một vấn đề tương đối lớn trong lĩnh vực dịch vụ tài chính.