В современных условиях обострившейся конкуренции и проникновения информационных технологий во все виды деятельности, обладание необходимой информацией может стать ключом к победе над конкурентами. В связи с этим, организации все больше задумываются о необходимости защиты конфиденциальной информации. Многие используют изощренные методы и средства такой защиты: документы и сообщения кодируются, применяется сложная многоуровневая система доступа и защиты корпоративных информационных систем от внешнего проникновения. Однако, как показывает мировой опыт, непрозрачность и бесконтрольность внутренней информационной среды, т.е. угрозы изнутри – со стороны собственных сотрудников организации – представляют собой опасность не менее значимую, чем атаки на информационные системы извне, на которые обычно приходится основное внимание сотрудников соответствующих служб организации.

Таким образом, инвестиции, вложенные организацией в средства и мероприятия по защите информации, просто не могут окупиться до тех пор, пока не решены базовые вопросы защиты, например:

• В организации существует строгая политика по длине пароля и частоте смены пароля пользователями. Казалось бы, такая политика предотвращает от компрометации паролей, однако некоторые сотрудники никак не могут запомнить свои пароли, поэтому на их столах можно увидеть бумажки с написанными на них кодами.
• Для упрощения запоминания паролей, пользователи задают в качестве пароля простое слово, набор повторяющихся цифр, или символов, собственное имя и т.д. Такие пароли могут быть взломаны за минимальный срок. Вообще, как показывает практика, в стандартном домене Windows NT или 2000 применение простейшей программы подбора пароля методом «грубой силы» способно за сутки предоставить злоумышленнику до 90% всех паролей пользователей.
• Зачастую, для собственного удобства пользователи применяют один и тот же пароль ко всем информационным системам, доступ к которым им разрешен. Таким образом, получив один пароль, злоумышленник скорее всего получит доступ ко всему информационному пространству в принципе доступному данному пользователю – и в корпоративную сеть и в систему электронной почты и в финансовую систему организации.