Утечки информации из компании: как их предусмотреть

Как противодействовать утечкам информации. К каким последствиям для бизнеса они приводят. Рассказывает директор ООО «НПТ» (борьба с утечками информации) Александр Барановский.

– Любая утечка информации, будь то месть сокращенного сотрудника или целенаправленный саботаж, во время кризиса имеет серьезные последствия. Достаточно вспомнить урок 2008 в России, когда сотрудники увольнялись и прихватывали с собой всё: клиентские базы, аналитику, исследования рынка и т.д.

Кроме того, сейчас некоторые сферы переходят на систему электронного документооборота. Частный пример: в медицинских учреждениях заводятся электронные карточки больных. Естественно, у многих возникает интерес к личным данным пациентов.

Можно вспомнить и про утечку в одном из белорусских банков, случившуюся пару лет назад. В Сети тогда появилась личная информация о порядка 5000 клиентов.

Кто и какую информацию ворует у белорусского бизнеса

Как таковой селективности нет. Воруют абсолютно всю информацию. И актуально это для компаний из всех сфер. Далеко не всегда это делается со злым умыслом или злоумышленниками. Часто причинами утечки становятся:

• Халатность сотрудников.
• Желание сотрудника украсть информацию «на всякий случай, а вдруг пригодится».
• Банальное «слабо?». Часто информацию воруют из любопытства: «а слабо с завода вынести ракету?».

 Большинство атак на бизнес – это атаки собственных же сотрудников. Часто в компаниях информация не охраняется вообще. Например, до начала XXI века критически важные данные хранились на бумаге. Документы описывали и запирали в сейф. Доступ к ним был ограничен. Все приемы сохранения «бумажной» тайны были хорошо отработаны и эффективны.

Ситуация изменилась с появлением электронной информации. Тут-то и выяснилось, что старыми средствами контроль над ней удержать не удается. Поэтому ее легко украсть.

Для похищения данных активно используются следующие каналы:

• Электронная почта.
• Социальные сети.
• Облачные сервисы. Например, Dropbox.
• Сервисы обмена сообщениями. Например, Skype или WhatsApp.
• Внешние носители информации. Те же флешки.

Флешки особенно часто используют для похищения больших объемов данных, так как интернет в белорусских офисах еще не так хорош, чтобы быстро выкачивать целые терабайты.

Чем грозит компании утечка данных

Стандартный набор последствий утечки таков:

1. Ухудшение имиджа компании. Становится понятно, что она не способна хранить свои и клиентские данные.

2. Утрата технологических секретов. Результаты разработок и исследований могут стать известны конкурентам.

3. Ослабление позиций в конкурентной борьбе. Это может быть вызвано имиджевыми потерями, утерей технологических тайн и т.д.

4. Затраты на устранение последствий утечки.

5. Увольнение сотрудников, допустивших утечку.

6. Снижение числа новых и отток старых клиентов, которые просто не захотят работать с ненадежным партнером.

Не так давно у нас был случай, когда утечка коммерческих данных не позволила крупному белорусскому бизнесу выиграть интересный для него тендер в России, который компания обязана была выигрывать по всем условиям.

Пример. Застройщика интересовал конкретный участок. Он хотел выкупить у частных владельцев интересное ему имущество, однако из-за утечки информации о планах, этого сделать не удалось: имущество выкупила иностранная компания. И застройщик был вынужден впоследствии выкупать эту собственность у нее. Естественно, обошлась она ему существенно дороже.

Пример. Даже малый бизнес становится жертвой утечек. Одна компания, планировавшая расширить сферу деятельности из-за утечки данных потеряла «красивое» доменное имя. Его перехватил киберсквоттер. В итоге за доменное имя пришлось заплатить уже киберсквоттеру и уже намного большую сумму, чем стоила бы его регистрация.

Это как раз тот пример, когда случайная утечка, которую совершил сам директор без злого умысла, оказалась весьма дорогостоящей.

Как защищаться от утечек

Прежде всего, нужно понять, что затраты на информационную безопасность – это не расходы, а инвестиции в собственное устойчивое развитие. Можно защищаться без внедрения сложных технологических систем. Для этого нужно следовать следующим рекомендациям.

1. Выделить для обеспечения информационной безопасности хотя бы одного человека, а не «вешать» это на всю ИТ-службу.

2. Нужно проанализировать свой бизнес и определить риски: от чего вообще следует защищаться и какую информацию охранять.

3. Разграничить доступ к конфиденциальным данным. Данные должны быть доступны только сотрудникам, которым они нужны в работе.

4. Тщательно отбирайте персонал. Это нужно, чтобы исключить нечестность со стороны потенциальных сотрудников.

Существуют технологичекие системы, позволяющий избегать утечек информации, обладающие широким функционалом. Они умеют:

• Отслеживать трудовую дисциплину работников. Мониторить то, чем занимаются сотрудники в рабочее время.
• Контролировать использование ресурсов организации. Например, рабочих компьютеров в личных целях.
• Выявлять связи между сотрудниками и внешним миром. Отслеживать, кому сотрудники отправляют письма и сообщения.
• Вскрывать мошеннические схемы и саботаж. Например, путем отслеживания в переписке сотрудника ключевых слов.

Как правило, все предлагаемые решения на рынке модульные и могут поставляться в различной комплектации, в зависимости от потребностей заказчика. Цена одного модуля может начинаться от 300 тыс. белорусских рублей на одно рабочее место и достигать 7 млн белорусских рублей за одно рабочее место. Если это сложная система.

Конечная стоимость всегда зависит от количества пользователей и модулей.

Для обеспечения безопасности важно само понимание – самым главным фактором риска для компании может стать ее же собственный сотрудник.