يقول 96 ٪ من قادة تكنولوجيا المعلومات في القطاع القانوني خرق من الداخل خطر هو مصدر قلق كبير ، وفقا للخارج.
يعتقد 77٪ أن الموظفين عرّضوا البيانات للخطر عن طريق الخطأ خلال الـ 12 شهرًا الماضية ويعتقد 78٪ منهم أن الموظفين عرّضوا البيانات للخطر عن قصد. عند سؤالهم عن الآثار المترتبة على هذه الانتهاكات ، قال 36٪ أن الضرر المالي سيكون هو المجال الأكثر تأثيرًا.
تم استطلاع آراء أكثر من 500 من قادة تكنولوجيا المعلومات و 5,000 موظف عبر مناطق المملكة المتحدة والولايات المتحدة ودول البنلوكس. وكان من بين هؤلاء 106 من قادة تكنولوجيا المعلومات و 1,001 موظفًا في شركات القطاع القانوني.
تظهر الردود الواردة من موظفي القطاع القانوني أنهم أكثر عرضة بمرتين من تلك الواردة من القطاعات الأخرى للاعتراف بسياسة الشركة عن قصد وعن غير قصد عند مشاركة البيانات. قال 57٪ إنهم انتهكوا سياسة الشركة عمدًا مقارنة بمتوسط 29٪ في جميع القطاعات ، وقال 56٪ إنهم فعلوا ذلك عن طريق الخطأ ، مقارنة بـ 27٪ في المتوسط.
قادة تكنولوجيا المعلومات من القطاع القانوني أكثر تشاؤمًا من المتوسط حول مخاطر الانتهاكات المستقبلية. 44٪ يقولون أنه من المرجح أن يعرض الموظفون البيانات للخطر في العام المقبل - ثماني نقاط مئوية فوق المتوسط.
بشأن الاعتماد على التقنيات التقليدية لمنع الخروقات الداخلية
كشف البحث عن وجود قلق بشأن الاعتماد على التقنيات التقليدية لمنع الخروقات الداخلية. قال ما يزيد قليلاً عن نصف قادة تكنولوجيا المعلومات في القطاع القانوني إنهم يستخدمون برامج مكافحة الفيروسات للقتال هجمات التصيد و 43٪ فقط يستخدمون تشفير البريد الإلكتروني.
هناك أيضًا اعتماد مقلق على الإبلاغ الذاتي عن الحوادث ، حيث قال 61٪ من قادة تكنولوجيا المعلومات أن الطريقة الأكثر احتمالية للكشف عن خرق البيانات الداخلية هي عبر إخطار الموظفين.
خروج يعتقد الرئيس التنفيذي توني بيبر أن النتائج تظهر كيف يستسلم قادة تقنية المعلومات لحتمية الانتهاكات الداخلية وليس لديهم عمليات وتقنيات مناسبة لإدارة المخاطر. "نظرًا لحساسية المعلومات التي يتعاملون معها ، تعد الصناعة القانونية واحدة من أكثر القطاعات المعرضة للخطر من كل من انتهاكات البيانات الداخلية العرضية والمتعمدة.
"بينما يعترفون بالمخاطر المستمرة ، لم يتبن قادة تكنولوجيا المعلومات بشكل غريب استراتيجيات أو تقنيات جديدة للتخفيف من التهديد. كما أنهم يعتمدون بشكل كبير جدًا على موظفيهم للإبلاغ الذاتي عن الحوادث ، وهو أمر يشير تحليلنا إلى أنه غير فعال تمامًا.
"من حيث الجوهر ، فإنهم يتبنون أ موقف الخطر حيث يعتبر 44٪ على الأقل من الموظفين الذين يعرضون البيانات للخطر أمرًا مقبولاً.
"إن العقوبات الشديدة على انتهاكات البيانات تعني أنه يجب على قادة تكنولوجيا المعلومات التصرف بشكل أفضل استراتيجيات إدارة المخاطر، باستخدام أدوات متقدمة لمنع الحوادث الداخلية. هم أيضا بحاجة إلى رؤية أفضل لناقلات المخاطر ؛ إن الاعتماد على الموظفين للإبلاغ عن الحوادث ليس استراتيجية مقبولة لحماية البيانات ".
رسائل البريد الإلكتروني المضللة والتصيد الاحتيالي هي السبب الرئيسي لخروقات البيانات الداخلية العرضية
قال 55٪ من موظفي القطاع القانوني الذين سربوا البيانات عن طريق الخطأ أنهم فعلوا ذلك بسبب بريد إلكتروني للتصيد الاحتيالي. قال 31٪ إنهم تسببوا في خرق من خلال إرسال معلومات إلى الشخص الخطأ ، على سبيل المثال عن طريق البريد الإلكتروني. يتم التأكيد على ذلك من خلال حقيقة أن 61 ٪ قالوا إنهم تلقوا رسالة استدعاء Outlook أو رسالة تطلب منهم تجاهل بريد إلكتروني سابق تم إرساله عن طريق الخطأ. كل هذه الأرقام تتجاوز متوسطات البحث.
يضيف توني بيبر ؛ "كانت حوادث الأشخاص الذين يرسلون بيانات عن طريق الخطأ إلى مستلمين غير صحيحين موجودة طالما كان لديهم وصول إلى البريد الإلكتروني. كأداة اتصال أساسية ، راحت المؤسسات بين مزايا الكفاءة مقابل اعتبارات أمان البيانات ، وكثيراً ما تتنازل عن الأخيرة.
ومع ذلك ، نحن في وقت غير مسبوق من التطور التكنولوجي ، حيث تم بناء الأدوات باستخدام السياقات آلة التعلم يمكنه مكافحة المشكلات الشائعة ، مثل رسائل البريد الإلكتروني الموجهة بشكل خاطئ ، والمرفقات الخاطئة التي تتم إضافتها إلى الاتصالات ، وأخطاء الإكمال التلقائي ، وعدم استخدام الموظفين لأدوات التشفير بشكل صحيح. تحتاج المؤسسات إلى ضبط هذه التطورات لتكون قادرة حقًا على جعل البريد الإلكتروني آمنًا ".
آراء الموظفين الخاطئة حول ملكية البيانات في القطاع القانوني
أظهر الاستطلاع أيضًا أن المفاهيم الخاطئة للموظفين حول ملكية البيانات لها تأثير سلبي على أمن المعلومات. من بين 57٪ قالوا إنهم أو أحد زملائهم شاركوا عن قصد بيانات ضد سياسة الشركة في العام الماضي ، قال 58٪ إنهم فعلوا ذلك عندما أخذوا البيانات معهم إلى وظيفة جديدة ، بينما قال 21٪ إنهم خاطروا عند المشاركة البيانات لعدم تزويدهم بأدوات الأمان المناسبة.
هذا النهج المتهور ل حماية البيانات يمكن تفسيرها من خلال آراء الموظفين حول ملكية البيانات والمسؤولية. لا يعتقد 56٪ من موظفي الصناعة القانونية الذين شملهم الاستطلاع أن البيانات تخص المنظمة حصريًا و 11٪ فقط يدركون أن الجميع يتحمل مسؤولية الحفاظ على أمان البيانات.
"يريد الموظفون امتلاك البيانات التي ينشئونها والعمل عليها ، لكنهم لا يريدون تحمل مسؤولية الحفاظ عليها آمنة. قال توني بيبر: "هذا مزيج سام لجهود حماية البيانات".
"عندما تضيف نزوعهم إلى أخذ البيانات معهم عندما يغيرون وظائفهم واستعدادهم لتحمل المخاطر عند مشاركة البيانات ، فإن حجم التحدي الذي يواجهه المتخصصون في مجال الأمن ينذر بالخطر."
بالنظر إلى الأحداث الأخيرة ، سيكون هناك عدد غير مسبوق من الموظفين القانونيين الذين يعملون من المنزل والذين قد يبحثون عن طرق لإرسال ملفات وسائط متعددة كبيرة أو يضطرون فجأة إلى مشاركة المزيد من البيانات عبر البريد الإلكتروني. سيساعد التحديد الاستباقي لمخاطر هذه التغييرات في سلوك العمل ومعالجتها في ضمان تشديد الأمن و الالتزام.
المصدر: https://www.helpnetsecurity.com/2020/03/25/legal-industry-breaches/
