Хакер #305. Многошаговые SQL-инъекции
Ни для кого не секрет, что служащие IT-департаментов в курсе всех тех
действий, которые мы совершаем за корпоративными компьютерами во время работы.
Однако согласно новому опросу, проведенному компанией Cyber-Ark Software в ходе
конференций Infosecurity Europe 2009 и RSA USA 2009, администраторы способны
заглянуть несколько глубже, чем мы привыкли думать. К примеру, более трети
опрошенных IT-профессионалов признали, что они просматривают личные дела
сотрудников, списки на увольнение, клиентские базы данных и планы по слиянию и
поглощению.
Всего было опрошено свыше 400 IT-администраторов, 35% из которых в открытую
сообщили, что изучают перечисленную выше документацию без необходимого
разрешения. Кроме того, 74% администраторов сообщили, что в случае необходимости
легко преодолеют те меры защиты, которые предусмотрены для охраны
конфиденциальности подобных данных.
Но еще больше настораживает другой факт – более половины системных
администраторов готовы забрать эту информацию с собой в случае, если они будут
уволены. Причем в состав сведений, которые они могут украсть, входят данные о
слияниях и поглощениях, исследовательских работах, клиентские базы данных,
электронная почта, пароли руководящих сотрудников, финансовые отчеты и списки
привилегированных кодов доступа. Эти цифры намного выше показателей,
зафиксированных в прошлом году, когда клиентские базы данных готовы были украсть
35% администраторов, пароли – 31%, а планы по слиянию и поглощению – лишь 7%.
Авторы отчета констатируют, что в условиях ухудшившегося экономического
климата количество сотрудников, готовых выкрасть критически важные для
сохранения конкурентных преимуществ и корпоративной безопасности сведения,
существенно возросло. В связи с этим глава Cyber-Ark Уди Мокади подчеркивает –
деловым кругам необходимо проснуться и осознать, что доверие – это не политика
безопасности, после чего организовать защиту важнейших данных и отслеживать
доступ к ним даже тогда, когда он осуществляется на законных основаниях.