499
В мае 2013 года институт SANS опубликовал результаты опроса «Безопасность и конфиденциальность при работе служб поддержки» за 2013 год.
В опросе, проведенном с января по март 2013 года, приняли участие более 900 экспертов. Согласно отчету, почти все организации, вне зависимости от отрасли и размера, имеют собственные службы поддержки.
Более 70% респондентов знают о существовании угрозы социальной инженерии и некоторые даже проводят специальные обучающие мероприятия для своих сотрудников службы поддержки. В то же время около 40% респондентов имеют слабо развитую политику безопасности для служб поддержки либо не имеют никакой.
Большинство респондентов назвали социальную инженерию основной угрозой службам поддержки. Тем не менее, организации по-прежнему предпочитают доверять человеческому, а не автоматизированному труду. Это касается даже тех сервисов, которые очень легко автоматизировать, например восстановление пароля и проверка статуса.
43% респондентов не принимали во внимание стоимость инцидента безопасности при определении бюджета на содержание службы поддержки, а 31% опрошенных вообще не имеют такой статьи в бюджете.
Респонденты выделили четыре наиболее острых типа угроз: социальная инженерия, раскрытие защищенной или конфиденциальной информации, проверка идентификационной информации пользователя и доступ к корпоративным источникам.
Повысить безопасность работы служб поддержки может как проведение тренингов (в этом уверены 45% респондентов), так и технические инструменты, позволяющие отслеживать действия служб поддержки и пользователей (с этим согласны 44% опрошенных).
По утверждению автора отчета Барбары Филкинс (Barbara Filkins), автоматизация может сыграть ключевую роль в снижении количества ошибок и уязвимостей, используемых для кражи личной информации.