Как обезопасить компанию от утечки информации

Утечка данных в бизнесе может грозить многомиллионными потерями. Менеджер ушел, прихватив с собой базу данных покупателей — готовьтесь к оттоку клиентов: возможно, он просто переманит их к конкурентам. Другой компании стали известны внутренние разработки — возможно, они первые выпустят крутой продукт по ним и соберут всю прибыль.

Давайте разберемся, как не допустить потерь. Рассказываем, как защититься от утечки данных и что делать, если она все-таки произошла.

Почему защита от утечек данных важна

Когда мы готовили статью, столкнулись с тем, что представители малого бизнеса не понимают, зачем им нужна защита от утечек данных. «Кому мы вообще нужны? С сотрудниками заключаем договор, а на почту и CRM устанавливаем пароли» — одно из распространенных мнений.

Это — то самое русское «авось». Надежда, что небольшая компания с прибылью около 100 000 рублей в месяц никому не нужна и никто не будет воровать у нее какие-то данные. А когда надежда испаряется и данные все-таки крадут, что-то делать уже поздно.

Приведем один из распространенных сценариев, по которому у вас могут украсть данные. Злоумышленники взламывают CRM и получают доступ к базе данных клиентов. Потом делают сайт точь-в-точь как у вас и регистрируют похожий адрес электронной почты. А затем рассылают клиентам предложение, от которого нельзя отказаться: например, письмо с уведомлением о скидках в 60%. Ваши клиенты переходят на сайт и оплачивают товары, думая, что покупают их у вас. Злоумышленники получают прибыль, клиенты теряют деньги, вы тонете под волной негатива. Это называется фишингом, но вам от этого не легче.

Еще один возможный сценарий — размещение ссылки на вредоносный сайт. Так же, как и в предыдущем случае, злоумышленники взламывают CRM и получают email ваших клиентов. А потом рассылают им письма со ссылкой на вредоносный сайт, который крадет пароли пользователей. Злоумышленники получат пароли и смогут, например, украсть деньги с электронных кошельков людей. А вы получите тонну негатива, потому что письмо будет якобы от вас.

Пройдемся по статистике. Cybersecurity Ventures в ежегодном официальном отчете указали, что каждые 14 секунд во всем мире происходят атаки хакеров. К 2021 году они будут происходить каждые 11 секунд, а общий ущерб от киберпреступности достигнет 6 триллионов долларов в год. А специалисты компании InfoWatch рассказали, что только за прошлый год в сеть утекло более 14 млрд конфиденциальных записей. При этом в России число утечек возросло на 40% по сравнению с прошлым годом, тогда как во всем мире только на 10%.

В прошлом году в России было много скандальных утечек — в сеть «уплывали» базы данных 30 млн автовладельцев, 20 млн налоговых деклараций, 9 млн абонентов «Билайна». И если вы не хотите, чтобы очередная хакерская атака или человеческое недомыслие коснулись вас, читайте дальше. Если продолжаете уповать на «авось», посмотрите хотя бы информацию о том, что делать в случае утечки данных.

Как предотвратить утечку коммерческих данных

Профилактика — наше все. Грамотная защита от утечек данных поможет предупредить негативные последствия, которые могут серьезно повлиять на ваших клиентов и репутацию.

Предотвращаем внутренние утечки данных

Внутренняя утечка данных — это когда ваши же сотрудники сливают информацию конкурентам или забирают с собой базы клиентов или другие данные, когда увольняются. Есть несколько способов защиты от таких недобросовестных работников.

Используйте NDA. Так называют договор о неразглашении коммерческой тайны. Сначала нужно ввести режим защиты коммерческой тайны и четко прописать, что относится к таким сведениям. А затем подписать с каждым сотрудником NDA и обязательно получить подписи работников на документах, относящихся к коммерческой тайне. А в договоре прописать ответственность работников за нарушение. Это чуть умерит пыл предприимчивых дельцов — никто не захочет таскаться по судам и выплачивать 1–2 миллиона рублей компенсации за то, что скинет какие-то данные «на сторону».

Установите DLP-систему. Это технически сложное автоматизированное решение — специальное программное обеспечение, отслеживающее попытки передачи информации посторонним. На корпоративный сервер и все устройства в офисе устанавливают программу, которая в режиме реального времени проверяет все операции и блокирует подозрительные. Например, если сотрудник попытается отправить таблицу Excel с контактами клиентов с корпоративной почты на личную. DLP-система остановит отправку и сразу уведомит о нарушении того, кто ответственен за защиту от утечек данных.

Единственный недостаток DLP-системы — то, что ее невозможно установить на все личные устройства сотрудников. Они смогут сфотографировать что-то на смартфон или записать разговор на диктофон.

Разграничивайте доступ. Один из самых простых способов обезопасить ценную информацию — разграничивать доступ к данным и давать сотрудникам только то, что им нужно для работы. Например, передавать менеджеру не всю базу, а только контакты клиентов, которых он ведет. Или настроить уровни доступа к документации — это можно сделать в CRM-системе.

Наблюдайте за сотрудниками. Это можно сравнить с DLP-системами, но на самом деле решение работает по-другому. Вы просто устанавливаете в офисе видеонаблюдение и прослушивающие устройства, а на ПК — программы для контроля всего, чем занимается сотрудник. Например, ПО для записи всего происходящего на экране. А потом можно самому просматривать и прослушивать записи, чтобы узнать о факте утечки. Это долго и дорого, но подобное решение можно использовать в качестве одного из этапов защиты. Сотрудникам будет психологически некомфортно красть данные, если они знают, что за ними наблюдают.

Дайте мотивацию. Еще один простой способ защитить коммерческие данные компании — мотивировать сотрудников на нормальную работу. Не важно чем: зарплатой, премиями, комфортными условиями труда, перспективной карьерного роста. Если сотрудники будут полностью отдаваться работе в вашей компании, у них не возникнет мысли навредить ей. Построить такую команду мечты очень сложно, но возможно.

Эти способы защиты сработают лучше, если использовать их комплексно. Например, создать нормальные условия для сотрудников, подписывать с ними NDA и дополнительно установить DLP-систему.

Предотвращаем внешнюю утечку

Внешние утечки — это когда кто-то извне ворует информацию, не связываясь с вашими сотрудниками. Например, взламывает почту или получает доступ к CRM, ворует документы из офиса. С этим тоже можно и нужно бороться.

Устанавливайте сложные пароли. Это — самое простое решение, которое часто игнорируют. И делают пароли типа «12345». Их подберет даже школьник, который играючи попытается получить доступ к почте, указанной на вашем сайте. Поэтому используйте генераторы паролей. И храните их там, куда очень сложно добраться: лучший вариант — в вашей голове.

Используйте корпоративную почту. Бесплатные почтовые агенты — не зло, но они не подходят для работы с важными коммерческими данными. Их легко взломают, особенно если этим займется хороший специалист. Купите домен и заведите корпоративную почту, арендуйте почтовый сервер у провайдера или используйте платные агенты.

Включите двухфакторную аутентификацию. Двухфакторная аутентификация — это когда чтобы зайти в систему, надо указывать не только пароль, но и другой способ идентификации, например одноразовый код из смс, уведомление на экране смартфона, отпечаток пальца. Такую защиту можно установить на почту и в некоторые CRM-системы и сервисы. Это серьезно усложнит жизнь любителям красть коммерческие данные.

Установите антивирус. Еще одно простейшее решение, которое часто игнорируют. Не скупитесь на хороший антивирус — установите его на все ПК в офисе. Он перехватит вирусы, которые «подсматривают» пароли или крадут ценные данные напрямую.

Уничтожайте документы. Безвозвратно удаляйте уже ненужные документы с серверов. А если работаете и с бумажными документами, содержащими ценные сведения, не поскупитесь на шредер. Если просто выкинуть их в мусорку, любой сможет достать их из ближайшего мусорного бака. А особо упорные — еще и из мусоровоза.

Используйте СКУД. Так называют системы контроля и управления доступом на предприятиях. Они защитят офис или производство от проникновения посторонних людей. Одно из самых простых и незатратных решений — установить шлагбаум на проходной и выдать сотрудникам именные пропуска. А еще установить видеонаблюдение: и на проходной, и на всей территории предприятия.

Подумайте о средствах сетевой защиты. Рассказывать о них можно много и долго. Если коротко, они нужны тем, кто хранит важные сведения онлайн. Среди таких есть системы контроля трафика, WAF, межсетевые экраны. У них общая цель — обеспечить легкий обмен информацией внутри компании, но полностью защитить ее от любых проникновений извне.

Используйте IRM. Это — контейнеризация каждого документа, содержащего ценные для вас сведения. Работает это так: к каждому документу привязывается информация о ключах шифрования и доступе. Даже если его украдут (например, на флешке), не смогут прочитать на своем устройстве. Внедрение такого решения обойдется дорого, но оно того стоит, если у вас на руках очень важная информация.

Сделайте шифрование дисков на ноутбуках и планшетах работников (FDE). Без специальных ключей доступа пользоваться устройством будет невозможно — даже если его украдут, все данные будут надежно защищены. Полное шифрование файловой системы особенно актуально для ноутбуков – это позволяет защитить данные от случайной кражи: например, если сотрудник забудет рабочий ноутбук в кафе или аэропорту. Подобными решениями пользуются крупнейшие корпорации типа NASA.

Вы уже догадались, что лучше использовать комплексные решения? Чтобы защита от утечек данных работала, просто установить надежный пароль недостаточно.

Что делать, если утечка уже произошла

Фактически вы ничего не сможете сделать — данные уже в руках у злоумышленников. Если вы пытались как-то их защитить, можно, например, подать на бывшего сотрудника в суд. При грамотно составленных документах и хорошем юристе вы выиграете дело и, возможно, даже сможете взыскать ущерб. Это — лучший для вас сценарий при внутренней утечке данных.
Если произошла внешняя утечка или не можете найти виновного — в принципе не знаете, к кому попали данные — остается только смириться. Конечно, можно попытаться что-то сделать: запустить в СМИ утку о том, что украденные данные бесполезны, объявить награду за поиск похитителя или предложить ему вернуть информацию за хорошее вознаграждение. Но далеко не факт, что хоть что-то из этого сработает. А кроме того, обычно все это — игры птиц крупного полета: компаний с многомиллионным ежемесячным оборотом. Малому бизнесу чаще проще смириться, чем тратить нереальные деньги на то, чтобы вернуть данные и не допустить их распространения и использования.

Что о защите коммерческих данных говорят предприниматели

Мы решили узнать, что о защите от утечек данных думают российские предприниматели. И получили интересные мнения.

Галина Камышанская, руководитель компании 42Clouds, рекомендует обращаться к надежным провайдерам. И дает рекомендации по выбору фирмы, которой можно довериться:

«Есть три нюанса, на которые надо обращать внимание.

Триал период. Тестовый период должен быть не менее недели, чтобы у вас была возможность проверить скорость работы, систему бекапирования и скорость реакции технической поддержки.

Техническая поддержка. Это один из ключевых показателей, на которые стоит обратить внимание после стоимости и скорости работы. В обязательном порядке во время тестового периода проверьте, отвечает ли следующим требованиям служба хотлайна:
— Скорость первого ответа — не более 60 сек. От этого зависит, насколько быстро специалисты реагируют на запросы и как быстро смогут устранить неполадки и защитить данные.
— Круглосуточная поддержка. Это одно из обязательных условий для безопасного хранения ваших данных. Форс-мажорные ситуации могут возникать как на стороне клиента, так и на стороне провайдера. Крайне важно своевременно отреагировать и устранить причину возникновения во избежания потери данных.
— Скорость решения задачи не более 1-х суток. Допускается скорость решения до 2-х суток, если задача касается ведения учета в вашей учетной системе. Но провайдер должен обязательно уведомить клиента, что на решение проблемы потребуется дополнительное время.
— Система бекапирования. Попросите предоставить вам копию вашей базы за позапрошлый день. Таким образом вы сможете проверить, действительно ли у них работает система бекапирования, и точно ли в случае форс-мажоров ваши данные останутся целыми. Не у всех провайдеров делаются бекапы на тестовом периоде, поэтому точно проверить это можно будет в первый оплаченный месяц.

Дополнительные инструменты защиты. Не у многих провайдеров есть индивидуальные средства защиты данных клиента. Как пример, в компании 42Clouds создается специальная «Кнопка экстренного отключения». Она очень помогает, когда к клиенту приходят «маски-шоу» с целью забрать данные. В таких случаях с помощью смс-сообщения или фактической кнопки на столе (по желанию клиента) тушится сетевой интерфейс. Сам сервер продолжает работать, но доступ к нему закрывается. Таким образом вся информация остается целой и невредимой, но доступ к ней можно получить только от самого клиента»

Илья Горбаров, СЕО digital-агентства «Атвинта», рассказал о самых простых способах защиты от утечки данных, которые часто игнорируют:

«Когда речь заходит про защиту коммерческих данных компании, нужно четко понимать, что является слабым звеном. Чаще всего слабым звеном оказываются люди. От их внимательности зависит безопасность ваших данных, а порой и коммерческий успех компании.

Давайте говорить про информацию, с которой мы имеем дело каждый день. Отбросим сложные темы типа перехвата трафика и взлома серверов специально обученными людьми.

Начинать нужно с простого — это пароли. Если у вас CRM, в которой хранятся данные тысяч ваших клиентов, и у руководителя отдела продаж с полным доступом пароль qwe123asd, у меня для вас плохие новости. Подобрать или подсмотреть такой пароль не составляет труда.

Важно не забывать про уволенных сотрудников, которых нужно лишать прав доступа к клиентской базе до увольнения, чтобы не было соблазна прихватить ее с собой. Если у вас база клиентов хранится в Excel или на Google Диске, вместо облачной CRM с разграничением прав доступа, у меня для вас тоже плохие новости. Скорее всего, ее копия уже есть у менеджеров.

Люди должны обладать минимальной компьютерной грамотностью, чтобы не открывать фишинговые сайты и подозрительные файлы в почте. У нас был случай, когда через зараженный компьютер сотрудника злоумышленники получили доступ к рекламному кабинету в Facebook и слили приличный бюджет до того, как Facebook успел его заблокировать. Деньги нам не вернули, а личный кабинет пришлось заводить новый. Потеряли мы порядка 50 000 рублей, хватило бы на зарплату среднего сотрудника.

При работе с документами Google очень важно не лениться и давать доступ не по ссылке, а расшаривать его по почте. И не забывать вычищать оттуда уволенных сотрудников. Наша невнимательность однажды привела к тому, что таблица с финансовыми данными оказалась доступна по ссылке. Узнал я об этом от знакомого, которому ее показали. Информация была за прошлые годы, но было неприятно.

И не забудьте поменять пароль по-умолчанию у вашего Wi-Fi роутера, админки сайта и… IP-видеокамер наблюдения. Поищите видео по запросу «взлом IP камер пранк», и у вас отпадут вопросы, зачем это делать»

А вы защищаете коммерческие данные компании или надеетесь на «авось»? Поделитесь своим мнением и лайфхаками по защите в комментариях!

Для многих компаний малого и среднего бизнеса утечка на сторону важной информации может стать катастрофической. К примеру, если клиентская база попадёт в руки конкурентов или важная техническая документация новейшего гаджета уплывёт в интернет, это может серьёзно пошатнуть позиции бизнеса или вообще поставить на нём крест. О том, как защитить важную служебную информацию, в своей авторской колонке рассказал начальник отдела информационной безопасности компании «СёрчИнформ» Алексей Дрозд.

Малый и средний бизнес – тоже в зоне риска

Хакеры зашифровали данные в IT-инфраструктуре корпорации Colonial Pipeline и вынудили её заплатить выкуп в 5 млн. долларов, чтобы восстановить работу нефтепровода. Сотрудника Apple поймали в аэропорту на пути в Китай с технической документацией на разработку новейшего беспилотника. Всё это касается только крупных компаний? У рядового производства или дизайн-студии нечего украсть, они никому не интересны, верно? Нет.

По статистике половина всех шпионских атак направлена на небольшие компании. Атаковать их обычно проще – и вот почему:

1. В небольших компаниях хакеры редко встречают сопротивление. Как правило, у малого бизнеса стоит простейшая антивирусная программа, возможно ещё файрвол (сетевой экран, защищающий от несанкционированного доступа), но этого недостаточно.

2. В компаниях малого и среднего бизнеса очень часто нет собственного отдела безопасности. Более того – часто в штате нет даже IT-специалиста.

3. Как логичное следствие из п. 2 – зачастую культура защиты данных в компании очень низкая. Информация может храниться и пересылаться в открытом виде, а программное обеспечение не обновляться, из-за чего злоумышленники могут использовать «незапатченные» (то есть не исправленные) уязвимости.

4. Сотрудники часто не знают базовых принципов цифровой гигиены. Поэтому хакерам порой даже не приходится заморачиваться – достаточно составить умеренно правдоподобное фишинговое письмо со ссылкой на заражённый ресурс или с вредоносным вложением, которое будет содержать вирус-шифровальщик или вирус-шпион.

Атака на босса

При этом цифровая грамотность топ-менеджеров тоже может быть невысокой. А атака на руководителя – самая опасная, т.к. у него есть доступы ко всем критически важным активам.  

Владельцам и руководителям компаний важно понимать, какие типичные риски для них существуют. Вот вероятные и опасные ситуации, которые могут быть актуальны для малого бизнеса:

1. Атака вирусами-шифровальщиками

С шифровальщиками сталкиваю многие компании, и этот тип вируса стал настоящим бичом для бизнеса. Ситуация только ухудшается, потому что мошенники постоянно меняют подход к организации атаки. Несколько лет назад хакеры использовали несовершенные вирусы, ключ шифрования мог оставаться внутри кода. Тем самым, оставался шанс успешного извлечения зашифрованных данных. Но сейчас используется новое поколение «зловредов», и если у вас не настроено резервное копирование, с данными скорее всего придется распрощаться.

Поэтому в самых критичных ситуациях компании решаются платить мошенникам, но 
нет гарантии, что данные вернут – и вернут в целости. Кроме того, мошенники сейчас всё чаще избирают стратегию двойного вымогательства. Данные они сначала могут слить себе, а только потом зашифровать. Это может стать поводом для шантажа компании. Самые креативные преступники 
заводят отдельные сайты-витрины, где выкладывают похищенные данные компаний, отказавшихся от выплаты выкупа. Данные даже 
пытаются продать конкурентам.

«Доставляться» вирус-шифровальщик может через фишинговые рассылки, подброшенные флешки, 
удалённый доступ, который злоумышленник может получить из-за слабого пароля в корпоративных сервисах и т.д. 

2. Несанкционированный доступ к активам компании

Не нужно объяснять, что случится, если третьи лица получат доступ к вашим счетам, базе 1С или даже к электронной почте. Злоумышленники могут сделать это, используя те же способы, которые описаны выше. А могут получить учётные данные через инсайдера, воспользоваться учёткой уволенного сотрудника. Проблема в том, что шпион в сети может оставаться незамеченным многие месяцы. За это время злоумышленник может завершить в сети все свои дела, а может передать доступ кому-то ещё.   

3. DDoS-атаки

Эти атаки нагружают сервер компании запросами до тех пор, пока он не начнёт «зависать» или вовсе не «ляжет». Главная опасность для бизнеса в том, что DDoS-атаки стали популярным механизмом заказного вредительства. Например, если ваша компания организует распродажу в «Чёрную пятницу», конкурирующий интернет-магазин может заказать DDoS-атаку на ваш сервер, что сделает невозможным покупки в этот день и нанесёт прямой финансовый ущерб. Заказать такую атаку, к сожалению, несложно – «услугу» оказывают обитатели даркнета. 

4. Утечки данных и промышленный шпионаж

Данные компании могут быть интересны злоумышленникам и сами по себе – для пополнения массовых баз в даркнете, особенно если в вашей компании хранятся персональные данные клиентов (а это скорее всего так). Часто их удаётся просто собрать с помощью программы (спарсить), если базы данных лежат в открытом виде. И это очень распространённая проблема. 

Также охотиться на данные могут и прицельно. Конкуренты выходят на определённых людей в компании, чтобы подкупом или шантажом заставить слить нужную информацию. Другой вариант – использовать инсайдеров обманом: выманить документы и сведения, используя упомянутый выше фишинг или другие методы социальной инженерии.

Атаки с помощью инсайдера – самый опасный и трудно фиксируемый вид угрозы, и самый главный враг малого и среднего бизнеса.

5. «Боковые» и мошеннические схемы сотрудников

В открытом доступе сложно найти статистику про реальный масштаб этих нарушений на стыке информационной и экономической безопасности. Компании предпочитают не распространяться насчёт злоупотреблений сотрудников и не обращаются по этому поводу в суды. Но ещё чаще – могут просто не знать о наличии проблемы.

Мы работаем с компаниями сектора МСБ как аутсорсеры внутренней безопасности, и собрали некоторые наблюдения о распространённости нарушений. Так, в каждой из компаний, с которой мы сотрудничаем, встречаются попытки слива данных о клиентах, технологиях и других документов с коммерческой тайной. 81% компаний 
сталкиваются с попытками сотрудников создать откатные и другие мошеннические схемы. В 76% компаний обнаруживают, что сотрудники подрабатывают или ведут параллельный бизнес на рабочем месте.

Удалёнка негативно отражается на этой ситуации, т.к. сотрудников становится сложнее контролировать, а в МСБ часто нет проработанных регламентов на этот счёт и редко применяется контролирующее ПО. 

Что делать

Такой внушительный перечень угроз при существующем уровне защищённости – не приговор для малого бизнеса. По большому счёту, главные векторы достаточной защиты таковы: 

1. Безопасная IT-инфраструктура: 

• Проверьте, как и где хранятся данные, кто из сотрудников может к ним обращаться. Доступ к конфиденциальной информации должен быть разграничен и предоставлен только тем сотрудникам, которым он нужен по роду деятельности, а не всем подряд.

• Для передачи данных нужно использовать только шифрованные каналы (https, ftps, VPN-сервисы).

• Обновление ПО должно быть обязательным – устаревшие приложения могут содержать критические уязвимости, о которых злоумышленники всегда знают.

• Настройте резервное копирование данных.

Это не полный перечень необходимых технических мер, но достаточный для старта. Наши специалисты готовили более подробный 
чек-лист, по которому можно двигаться последовательно.

2. Устранение риска человеческого фактора:

• Обучите сотрудников основам информационной безопасности. Минимум «образовательной программы» – это рассказ о приёмах социальной инженерии и фишинге, в частности, правилах парольной политики, безопасном поведении на рабочем месте (необходимость блокировать компьютеры, избегать непроверенных флешек и т.п.).

• Вводите регламенты и подписывайте соглашения о неразглашении данных. Не делайте из этого пустую формальность, пусть ваша команда осознаёт, что в компании к вопросу защиты данных относятся серьёзно.

• Установите программу для контроля сотрудников. Базовый вариант – тайм-трекер с расширенными функциями. В идеале – DLP-система, которая фиксирует все коммуникации и пересылку информации в компании. У хорошего ПО также бывают доступны функции смежных продуктов, что позволит оптимизировать затраты.

Выбирая IT-продукты, узнайте насчёт того, хорошо ли они интегрируются друг с другом – это в перспективе также позволит сэкономить силы и деньги. Многие продукты доступны сегодня по подписке, в облачном формате или по программам аутсорсинга. В этом случае вы сможете обойтись без сотрудника в штате. Это ценная возможность, так как при существующем кадровом дефиците даже крупные корпорации испытывают трудности с наймом специалистов по информационной безопасности.

P.S.

Наступил момент, когда бизнес больше не может избежать расходов на информационную безопасность. Вопрос в том, как сделать это оптимально. Практика показывает, что выигрывает всегда тот, кто подумал о проблеме заранее. В контексте нашего разговора – тот, кто заложил основы безопасной работы в саму культуру бизнес-процессов.

Чтобы не пропустить интересную и полезную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в Facebook и канал на «Яндекс.Дзен».

Доступ к чужим сведениям дает значительное преимущество в конкурентной борьбе. Утечки критически важной информации ведут к крупным финансовым потерям и вредят бизнес-репутации, поэтому предприятия и организации независимо от размеров, формы собственности и рода деятельности стремятся предупреждать утечки информации. Вот лишь несколько общих рекомендаций, как обезопасить информационное пространство компании.

В чем опасность утечки информации

Конкуренты корпорации General Electric, крупнейшего в США производителя техники, украли инновационные разработки и запустили на их основе собственную продукцию. Компания General Electric понесла огромные убытки из-за утечки закрытой информации. Это очевидный пример прямого ущерба из-за потери информации.

Кроме материального ущерба утечка данных причиняет вред репутации пострадавшей компании. В результате аннулируются выгодные контракты, теряются клиенты, массово уходят квалифицированные сотрудники.

Подсчеты экспертов Ponemon Institute показали, что потери компаний от информационных утечек только в Великобритании составили 1 млн 700 тыс. фунтов. Риск пострадать от хищения информации велик для бизнеса в любом государстве независимо от состояния экономики, уровня развития технологий и прочих факторов.

Утечка сведений по вине сотрудников, или внутренние риски

Ущерб, который наносят компаниям собственные сотрудники, в разы превышает ущерб от хакерских атак. Чтобы предотвратить утечку информации из-за халатности, случайных или преднамеренных действий персонала, требуется внедрить комплекс защитных мер на разных уровнях. Сложность заключается в том, что в группу риска входят все сотрудники компании, и оказаться инсайдером может как рядовой специалист, так и топ-менеджер. Выявить и «обезвредить» потенциальных нарушителей – главная задача службы безопасности.

В самом общем виде утечки информаций делятся на преднамеренные, когда сотрудник умышленно передает конфиденциальную информацию посторонним лицам, и непреднамеренные, когда утечка происходит из-за халатности или ошибки работника.

Способы борьбы с утечками

Согласно отчету Data Breach Investigation Report, только 10% работников виновны в утечках. Но даже при таком узком «круге подозреваемых» определить, кто именно нарушил правила информационной безопасности, бывает нелегко. Для борьбы с хищением информации используют специальные инструменты и методы, которые в зависимости от целей условно делятся на две общие категории.

1. Поиск аномалий в действиях персонала

Каждый день сотрудники действуют по привычному алгоритму. На возникновение риска утечки указывает момент, когда поведение сотрудников внезапно меняется. Такой способ можно сравнить со схемой выявления мошенничества, которым пользуются банки. Если клиент живет в России и регулярно расплачивается картой за покупки в российских магазинах, то факт получения наличных денег с карты в Австралии будет расцениваться как подозрительный и приведет к блокировке операции, а также активизации службы безопасности банка.

1. Защита техники

Вторая группа методов борьбы с утечками данных направлена на то, чтобы обнаружить уязвимые процессы в компании. Критические точки работы организации, в которых может произойти хищение информации, невозможно обнаружить при помощи простого алгоритма – необходим системный анализ. Защитить информацию и усилить корпоративную безопасность помогут простые меры.

• Установка антивирусных программ. Вредоносные программы, вирусы-шпионы и вымогатели уничтожают данные, портят файлы, открывают доступ злоумышленникам к паролям и кодам. Восстановление утраченной информации обходится дороже, чем лицензионный антивирус, поэтому экономить на защитных решениях не стоит. Пиратские копии не гарантируют адекватную работу и полноценную защиту, а отсутствие актуальных обновлений не позволит вовремя обнаружить новую модификацию вируса.
• Использование межсетевого экрана. Программное обеспечение инспектирует входящий и исходящий из корпоративной сети трафик в соответствии с правилами и определяет, передать или блокировать сведения в случае нарушения политик безопасности. Таким образом, файрвол своевременно пресекает несанкционированный доступ к информации.
• Повышение квалификации пользователей. Обучающие курсы для сотрудников; разъяснение, почему рискованно загружать файлы с неизвестных адресов, публиковать сведения на сторонних ресурсах, устанавливать непроверенное программное обеспечение и другие образовательные меры помогут предупредить потери информации по незнанию работников.
• Строгое разграничение доступа персонала к базам данных и интернету. Мера включает блокировку автозапуска приложений с внешних носителей и запуска на компьютере исполняемых файлов, скачанных в интернете; настройку брандмауэра и антивируса; отслеживание перемещения общедоступных файлов внутри корпоративной сети.
• Систематическое обновление программного обеспечения. Своевременная установка обновлений на компьютере, обновление серверов, проверка и «чистка» ресурсов общего пользования обезопасит закрытую информацию от утечки.

Корректировка бизнес-процессов, выявление потенциальных инсайдеров и усиление контроля за действиями персонала в комплексе помогут снизить вероятность утечки информации.

DLP-система – комплексная защита от утечки информации

Основным рабочим инструментом для борьбы с хищением конфиденциальных сведений служат системы DLP – Data Leak Prevention, которые предупреждают утечки данных. DLP-решения для защиты корпоративной информации использует половина зарубежных и российских компаний, хотя сам подход к внедрению DLP отличается.

DLP-системы обеспечивают безопасное информационное пространство, в котором контролируют и анализируют входящий и исходящий трафик. Современные DLP-комплексы контролируют передачу файлов по интернет-протоколам, через внешние носители, мобильные устройства, Bluetooth-подключение, принтерную печать.

Чтобы облегчить задачу по мониторингу конфиденциальной документации в контролируемом трафике применяют несколько способов, например, маркировку документов или анализ содержания в документах. Практики ИБ предпочитают второй способ, так как при конвертации файла в другой формат маркировка документов нарушается.

Таким образом, результаты работы службы безопасности, а значит и сохранность закрытых сведений, напрямую зависит не только от стабильной работы техники и программного обеспечения, но и от квалификации сотрудников.

Как часто мошенники атакуют бизнес

Атакам мошенников подвергаются все виды бизнеса. Злоумышленники получают доступ не только к данным клиентов, но и инфраструктуре организации, а также к аккаунтам в соцсетях.

Не имеет значения масштаб бизнеса: пострадать может как маленький салон красоты, так и крупный банк. Целью злоумышленников может быть компьютер или любое другое устройство, используемое в бизнесе.

Интерес злоумышленников даже к небольшому бизнесу объясняется легкой доступностью платежных данных клиентов. С ростом аудитории онлайн-магазинов увеличивается число атак.

В 2022 году в мире каждые десять секунд программы-вымогатели наносили удар по безопасности сайтов и приложений. 71% случаев имели финансовую мотивацию. 

Какая информация интересна мошенникам

Любой бизнес собирает пользовательские данные. Поисковые сайты анализируют геолокацию и ключевые слова. Службы доставки еды спрашивают адрес и номер телефона.

Многие приложения хранят данные банковских карт для автоматического заполнения. Соцсети имеют подробное досье на каждого пользователя. Чем больше персональной информации известно одному источнику, тем выше риск утечки.

По подсчетам компании InfoWatch, в первом полугодии 2022 утекло более 100 млн записей, содержащих персональные данные россиян. Чаще всего в этом виноваты сотрудники компаний, ответственные за сбор информации. 

При атаке на сервера компаний хакеры интересуются финансовыми операциями и документами. Под угрозой номера банковских счетов, конфиденциальные договоры и аналитика. 

Как распознать попытку украсть данные

В «Лаборатории Касперского» сообщили, что в России компании чаще страдают от вредоносного программного обеспечения (ПО), спама и фишинга.

Встречаются также уязвимости в установленном ПО и случайные утечки по вине сотрудников. Кроме того, злоумышленники могут использовать программы сканирования сети и перебора паролей.

Многие популярные схемы мошенничеств связаны с рассылкой фишинговых писем. Они ведут на вредоносный сайт, крадущий пользовательские пароли, или на поддельную страницу с дизайном и URL как у знакомого сервиса.

Еще одна распространенная схема — Man in the Middle — атака посредника. Мошенник встраивается в взаимодействия клиента и поставщика услуг, подменяя обе стороны сделки. Клиенту он представляется продавцом, а продавцу — клиентом.

Чтобы минимизировать кибератаку, необходимо:

Как защитить данные от мошенников

Специалисты делят утечки данных на две группы: внутренние и внешние. Первые происходят по вине сотрудников компании. Они продают информацию конкурентам или забирают с собой базы данных при увольнении.

Для защиты от подобных угроз используются следующие методы:

Внешние утечки — воровство данных извне, без посредничества сотрудников. Это может быть взлом корпоративной почты или базы данных, кража документов из офиса.

Что делать, если данные угодили к злоумышленникам

Согласно 152-ФЗ «О персональных данных», операторы обязаны сразу сообщать о случаях кибератак и утечки пользовательской информации. Компании в любом случае придется столкнуться с последствиями. 

Когда информация находится в руках злоумышленника, ущерб уже нанесен. Но можно попытаться компенсировать убытки и позаботиться о безопасности данных в будущем.

Лучший из возможных вариантов для компенсации потерь — сценарий внутренней утечки данных, при котором известен виновник и есть доказательства его причастности. Тогда можно подать на него в суд для взыскания ущерба.

Сначала истцу предложат мирно урегулировать спор, направив претензию виновнику. Для запуска судебного процесса нужно написать заявление в полицию.

Доказательства кражи данных следует заверить у нотариуса: это могут быть переписки с предложением продать базу данных. 

В случае внешней утечки с потерями придется серьезно поработать над репутацией.

По словам экспертов, в первую очередь нужно обратиться в Роскомнадзор и другие компетентные органы. Вторым шагом следует грамотно представить ситуацию в СМИ. В-третьих, выявить ошибки и восстановить данные после кибератаки.

Коротко, увлекательно и с пользой о деньгах — в нашем телеграм-канале @life_profit. Присоединяйтесь!

С проблемой хищения интеллектуальной собственности сталкивается каждая вторая компания. Для этого необязательно быть IT-гигантом или секретным оборонным заводом. Базы данных клиентов интернет-магазина автозапчастей, стоматологической клиники или частной школы – тоже важный актив. 

Попадают в неприятную ситуацию не только жертвы опасных хакеров. Иногда достаточно нелояльного работника. Передать конкурентам важные данные или же уволиться, чтобы самому воспользоваться собственностью бывшего работодателя – типичная практика. Понести убытки от потери информации – реальный риск для бизнеса. Анатолий Земцов, сооснователь компании DFCenter, рассказал, как защитить данные от кражи.

NDA вас не спасет

Сотрудники часто подписывают договор о неразглашении информации при найме на работу. Разработчики, ученые, менеджеры и инженеры обязуются сохранять секреты внутри компании. Однако, к удивлению руководителей, недобросовестный сотрудник отправляет код конкурентам, рассказывает о внутренних процессах в СМИ или вообще крадет технологии и создает собственный проект на стороне.

Для юридической защиты нематериальных активов компании часто используют коммерческую тайну. Пример — «секретная формула» Coca Cola. Все, что связано с коммерческой тайной в России регулируется соответствующим законом. Если коротко, то компания сама решает, что сделать секретом. Для этого информация должна соответствовать нескольким критериям:

• любые сведения для заработка или сохранения денег. Например, ноу-хау, техническое знание на разработку или стратегический план на год;
• секретная информация, принадлежащая компании и не являющаяся государственной тайной; 
• сведения, известные только вам.

Если вы уже решились обезопасить данные статусом «коммерческая тайна», следует выполнить ряд мер внутри компании. Среди них — переоформление трудовых договоров, покупка сейфов, шифрование сообщений, распределение прав доступа и другие.

Регистрация прав на разработку

Если продукт уже создан, код написан, а документация составлена, то можно воспользоваться еще одним инструментом защиты прав компании. Сотрудник похитит инновационное программное обеспечение или скопирует готовые технические характеристики. Регистрация прав на разработку обезопасит от фатальных последствий. 

Способ подходит для компаний, которые занимаются созданием «результатов интеллектуальной деятельности» (РИД), в перечень которых входит 16 видов объектов. Для кого-то это может показаться забавным, но в одном списке с программами для ЭВМ и изобретениями находится литература и искусство.

Для разных РИД существуют свои способы регистрации. Например, право на текст книги, мелодию или фотографию регистрировать необязательно. Закон защищает с того момента, когда автор придал произведениям объективную форму — написал текст на лист, нарисовал эскиз картины и другое. Софт охраняется как литературные произведения. 

Но для дополнительной защиты своих прав компания может провести процедуру государственной регистрации программ для ЭВМ и баз данных. Свидетельство государственного образца не только подтвердит наличие у компании высокотехнологичного актива, что юридически обезопасит его от хищений, но и окажется полезным в переговорах с инвесторами, B2B-клиентами, а также налоговыми органами.

Патент — сложно и дорого

Получение патента — сложная процедура для компаний, разрабатывающих оборудование или устройства, макет здания или дизайн изделия. А вот на программы для ЭВМ патент получить нельзя. Однако возможно оформить патент на «систему и способ», выполняющие определенные действия с гарантированным техническим результатом. Инструментом пользуются Samsung, Apple, Microsoft, Google и другие ИТ-гиганты. В России лидер патентования ИТ-инноваций — «Лаборатория Касперского».

Оформление патента может обойтись в крупную сумму. На самостоятельное заверение документов, написание текстов, подготовку заявки могут уйти месяцы. На юридическом рынке работают профессиональные поверенные, готовые взяться за составление бумаг. Цены за услугу варьируются от 50 до 500 тысяч рублей. Поэтому заранее обдумайте, возможно ли обойтись введением коммерческой тайны или государственной регистрацией.

Вам не принадлежат права

Вложив деньги в разработки и защиту от конкурентов, компании забывают об еще одном «игроке» — авторе произведения. Это может быть только человек, творческим трудом которого получен результат. Мнение, что «все авторские права принадлежат нашей компании» – распространенное заблуждение.

Важнее, кому принадлежат исключительные права, позволяющие зарабатывать деньги, монетизируя разработку. Для того, чтобы исключительные права достались компании, в которой работает автор-разработчик, очень важно разобраться, что такое «служебные произведения».

В трудовом договоре должны быть четко прописаны обязанности сотрудника. Работа, выходящая за рамки, не имеет отношения к компании. Пример: вы нанимаете копирайтера, который по договору должен только писать статьи. На важном мероприятии вручаете работнику фотоаппарат и просите сделать снимки. Позже обнаруживаете, что статья опубликована в личном блоге, а фотографии — в социальных сетях копирайтера. 

В трудовом договоре среди обязанностей не значилось «фотосъемка». Следовательно — закон на стороне сотрудника. Это безобидный пример юридической неграмотности. Примеры на практике могут быть гораздо плачевнее.

О чем еще нужно знать

Если дело все-таки дошло до суда, то закон позволяет привлечь нарушителя к уголовной ответственности. Но на практике таких случае мало. Большинство же инцидентов с кражей интеллектуальной собственности становятся предметом арбитражных разбирательств.

Экспертиза — основной инструмент в разрешении спора двух компаний о схожести их продуктов. Многие из таких дел сводятся к банальному плагиату или пиратству. Например, бывший программист (а иногда – команда) «чуть-чуть улучшил там», «немного дописал тут» и решил, что теперь разрабатываемый компанией продукт принадлежит ему. 

Это заблуждение грозит нарушителю существенной финансовой ответственностью, но для доказательства необходимо изучить код. Сделать это могут только знающие специалисты, услуги которых могут доходить до нескольких миллионов рублей. Выбирать не приходится, поэтому доводить дело до суда, конечно, не стоит. Поэтому лучше заранее убедиться, что ваши права защищены правильно составленными документами, чтобы впоследствии иметь изначально сильную позицию, если дело дошло до суда. 

Чек-лист предпринимателя

• Для сохранения безопасности важных данных используйте режим коммерческой тайны. Если вы дорожите эскизами, архитектурными планами, программным кодом, базой данных с контактами клиентов и другой важной информацией, то ознакомьтесь с соответствующей статьей.
• NDA не обезопасит компанию от хищения информации. Без введения коммерческой тайны документ о неразглашении информации — простая бумажка.
• Компаниям-разработчикам софта важно оформлять свидетельства о регистрации прав на разработки. Несложная процедура официально подтвердит их наличие. Таким образом, вы не только обезопасите себя, но и добавите «веса» перед потенциальными инвесторами.
• Оформление патента — сложная процедура для тех, чьи разработки имеют серьезную научную основу, которую компания готова раскрыть и подтвердить. Подготовка документов обезопасит компанию от краж, но потребует много времени и денег.
• Четко пропишите должностные обязанности работника в трудовом договоре и должностной инструкции. Утверждение «все авторские права принадлежат нашей компании» — заблуждение. Официально оформляйте постановку важных задач разработчикам и получение от них результатов. Прочитайте про служебные произведения.

Фото в материале и на обложке: Unsplash

Утечка информации компании – одна из самых значимых угроз для современного бизнеса. Раскрытие конфиденциальных данных может привести к срыву контрактов, потере ключевых контрагентов, расторжению договоров и как итог – потере прибыли. Предупредить подобные инциденты можно с помощью специальных информационных систем защиты. Например, система Solar Dozor обеспечивает защиту от информационных утечек, контролирует коммуникацию сотрудников, позволяет обнаружить признаки и попытки корпоративного мошенничества.

Основные виды утечек информации

Передача информации – неотъемлемый элемент коммуникации, однако незаконная передача сведений о компании, ее намерениях и активах наносит бизнесу и репутации непоправимый вред. Утечкой информации называется неправомерное разглашение данных. Оно касается как отдельных персон, так и организации в целом. Утечки информации бывают случайными или умышленными. Предупредить подобные происшествия призвана политика безопасности, проводимая на предприятии. Логины, пароли, номера счетов и банковских карт, промышленные и корпоративные секреты необходимо защищать от попадания в общедоступные сети.

Различают:

• случайные утечки – происходят из-за потери физических носителей (сим-карты, флешки, планшеты, смартфоны), раскрытия паролей в следствие ошибочных действий человека;

• умышленные утечки из-за предоставления избыточных прав доступа – разглашение допускают сотрудники, имеющие доступ к закрытым IT-данным;

• умышленные инсайдерские утечки – сотрудник может специально раскрыть данные за пределами компании, иногда даже не имея легального доступа к информации;

• кража информации – осуществляется извне при помощи IT-инструментов (вирусы, вредоносные программы, хакерские атаки) или технических устройств (фото-, видеонаблюдение, подслушивающая аппаратура);

• кража носителей информации – физическое хищение устройств, непосредственно использующихся для хранения: банка данных, паролей, персональной информации;

• взлом ПО – проникновение в систему предприятия с помощью неучтенных уязвимостей или вредоносных программ.

Причины утечек информации и возможные ситуации

Чтобы защитить бизнес, на предприятии необходимо определять и закрывать возможные каналы утечки информации. Наиболее эффективно такая работа ведется на базе применения различных систем безопасности.

Утрата данных возможна:

• при отсутствии логичной системы охраны, включающей контроль персонала, физических носителей и каналов передачи информации;

• при неправильном обращении с техникой – вынос за пределы предприятия дисков, планшетов с секретной информацией, разглашение паролей/логинов;

• из-за недостаточной компетентности сотрудников, имеющих права доступа к закрытым базам;

• при установке нелицензионных программ или приложений, использовании пиратских копий ПО;

• при использовании не сертифицированных или не прошедших аттестацию систем, оборудования;

• при крупных авариях на технических станциях, поломках оборудования, глобальных сбоях системы.

Как отслеживать утечку информации

Безопасность компании требует, чтобы каждая утечка коммерческой информации тщательно отслеживалась и пресекалась. Наиболее эффективный и экономный способ защиты данных – установка специализированной системы. Рассмотрим возможности IT-продуктов на примере DLP-системы Solar Dozor.

Реализовано:

• сканирование архива электронной переписки;

• установка DLP-системы для текущего анализа каналов передачи информации;

• визуализация полученных сведений для оперативного анализа обстановки;

• отрисовка тепловых карт коммуникаций и графа связей;

• управление расследованиями с помощью встроенного workflow;

• профилирование сотрудников по устойчивым паттернам поведения.

Предотвращение утечки информации на предприятии требует установки комплексной системы. Она не только отслеживает движение данных, но и показывает текущие события с трех точек зрения: с позиции ИБ, сотрудников компании, происходящих внутренних процессов.

Способы и советы по уменьшению рисков утечки информации

Для компании утечка защищаемой информации несет финансовые и репутационные риски. Чтобы снизить риски, необходимо использовать специальные средства по идентификации пользователей при доступе к корпоративной системе, ограничить вынос физических носителей информации за пределы предприятия.

Для аутентификации сотрудников на разных уровнях можно использовать:

• пропускную систему при входе в офис и на объекты;

• криптографическую защиту данных и шифрование каналов передачи важных сведений.

• биометрические данные для доступа к объектам, имеющим статус коммерческой тайны;

• цифровые ключи или пароли для открытия информации конфиденциального характера;

Как защититься от утечек информации

Чтобы в организации не произошла утечка информации, необходимо обеспечить:

• систему контроля сотрудников – доступ с помощью идентификации по паролю или биометрии к каждому значимому объекту или базе данных;

• криптографическую защиту информации, которая передается или может попасть в открытый доступ в интернет;

• обеспечить шифрование данных с помощью современных программных систем.

Заключение

Чтобы минимизировать ущерб от утечки информации, необходимо заранее предусмотреть несколько степеней защиты данных на предприятии. Для этого используются различные DLP-системы, потоковое шифрование данных, аутентификация пользователей, также физические методы охраны объекта.

Решение, как отслеживать утечку информации и построить систему контроля, могут предложить специалисты компании «Ростелеком-Солар». Как разработчики Solar Dozor, они являются экспертами в вопросах безопасности. Она окупается в самые короткие сроки и способствует повышению доверия к компании со стороны партнеров, клиентов, потенциальных покупателей.

Любое использование материалов медиапортала РШУ возможно только с разрешения

редакции.