Hét nagyvállalat 43 irodáját keresték fel az egyesült államokbeli Ponemon Institute kutatói, és tíz próbálkozás közül kilencben, az esetek 88 százalékában érzékeny üzleti információkat szereztek – amihez csak kicsit körül kellett nézniük a helyiségekben. A kutatásban részt vevő vállalatok vezetői természetesen tudtak róla, hogy a Ponemon szakemberei meghatározott időre felvett alkalmazottnak álcázva jelennek meg irodáikban, de az ott dolgozó kollégáikat ebbe nem avatták be, tette hozzá az eredményről beszámoló testvérlapunk, a CSO.
Maximum két órát töltöttek a kutatók egy-egy irodában, és ez idő alatt körbejárva a helyiségeket fotókat készítettek a PC-kijelzőkről, és belenéztek az asztalokon heverő dokumentumokba, amelyek közül néhányat táskájukba tettek, méghozzá az irodai személyzet szeme láttára.
Az esetek túlnyomó többségében az irodában dolgozó, valódi infómunkások semmilyen formában nem próbálták megakadályozni az ideiglenes „kollégák” tevékenységét. A 43-ból mindössze hét esetben akadt valaki, aki kérdőre vonta a PC-kijelzőn látható dokumentumokat fotózó kutatót. A papír alapú dokumentumok táskába süllyesztése csupán négy esetben vitte ki a biztosítékot, az íróasztalokon, nyomtatók és másolók tálcáin történő keresgélés pedig összesen két esetben vált gyanússá. A vezetőséget egyetlen esetben értesítették az iroda dolgozói a történtekről.
Többek között belső telefonkönyveket, ügyfélinformációkat, pénzügyi adatokat, felhasználóneveket és jelszavakat, valamint egyéb, bizalmas dokumentumokat szereztek a Ponemon kutatói. Mindez az egylégterű irodákban ment a legkönnyebben, különösen az ügyfélszolgálat, valamint a marketing és az értékesítés irodáiban. A tapasztalatok szerint a vállalati jogászok és a pénzügyesek sokkal jobban ügyelnek az érzékeny adatokat tartalmazó dokumentumokra, míg az IT-osztályon dolgozók a két véglet között valahol félúton állnak. Mindössze öt olyan irodában fordultak meg a kutatók, ahol semmilyen információhoz nem fértek hozzá, és ezek mindegyike a kutatási-fejlesztési osztályhoz tartozott.
A kutatást egyébként a 3M szponzorálta, és egyik célja az volt, hogy kiderítse, a rálátás szögét csökkentő kijelzővédők mennyire hasznosak az érzékeny információk védelmében. A Ponemon szerint az ilyen eszközök kis mértékben javíthatják az információbiztonságot, de hasznos lehet, ha a vállalat információbiztonsági képzést tart alkalmazottainak, és előírja a dokumentumok fiókban tartását, kötelező megsemmisítését, valamint a gyanús események jelentését.
Igaz, hogy a kutatók lényegesen hosszabb időt töltöttek egy-egy irodában, mint amennyi például egy pizzafutárnak álcázott bűnözőnek jut, akinek gyorsan kellene dolgoznia, de ez senkit ne tévesszen meg. A Ponemon szakemberei az irodák 50 százalékában már az első 15 percben begyűjtötték az első, bizalmas dokumentumot. Egy beépített embernek, rosszindulatú alkalmazottnak pedig egyáltalán nem kellene kapkodnia, a vizuális hackelés legegyszerűbb módszereivel is kényelmesen gyűjthetné az érzékeny információkat.