Количество кибератак на российский бизнес и госструктуры в прошлом году выросло почти в два раза, говорится в статистическом отчете МИД России. Хотя в медиа чаще всего причинами называли атаки из-за рубежа, все же более реальную угрозу несут внутренние утечки. И если жертвами атак хактивистов становятся большие и известные компании, действия инсайдеров угрожают бизнесу любого размера. Инсайдеры – это сотрудники, которые продают конфиденциальную информацию компании, чаще всего клиентские данные. Некоторые делают это в знак протеста, некоторые зарабатывают на продаже личных данных.
По подсчетам InfoWatch, 96% всех утечек за первое полугодие 2022 года были неслучайны. Две трети из них слили изнутри. Из-за таких инцидентов страдает и репутация компании, и финансовые показатели.
В 7 из 10 случаев сливов данных виноваты сотрудники
Количество утечек может увеличиться – внешнеполитическая ситуация остается нестабильной, и спрос на инсайдерскую информацию становится больше.
В России участились случаи утечек личных данных клиентов – всего за 2022 год слили порядка 300 млн записей. По оценке Минцифры, доля утечек персональных данных и конфиденциальной информации из-за умышленных или неумышленных действий сотрудников достигает 70%. Не исключено, что зачастую причиной становится политическая позиция сотрудника. К примеру, в январе в сеть попал исходный код сервисов «Яндекса». В архиве все файлы были датированы 24 февраля 2022 года – вполне вероятно, что это был своеобразный личный протест против событий.
Инсайдерами могут стать и проверенные временем сотрудники. В нашей практике был кейс, когда логист транспортной компании после многолетней работы на фирму отправил конкурентам клиентские данные и информацию о заказах. После этого, скопировав на флешку базу клиентов, удалил ее с сервера.
Как защититься от инсайдеров
Эксперты уверены, что в этом году киберзлоумышленники станут активнее и придумают новые способы атаковать корпоративные сети. В 2023 году в зоне риска все коммерческие компании, которые не внимательны к информационной безопасности. Как обезопасить бизнес?
1. Введите режим коммерческой тайны и NDA
Наверняка, вы подписываете NDA (договор о неразглашении) с новыми сотрудниками, однако если в компании не введен режим коммерческой тайны, то при утечке данных суд не примет во внимание договор и вполне может принять сторону работника. В документе необходимо строго определить перечень объектов коммерческой тайны, перечислить способ передачи информации, ее объем, также перечисляется ответственность сторон, сроки действия и реквизиты.
2. Внедрите DLP-систему
Чаще всего ценную коммерческую информацию крадут одним из трех способов:
- Копируют на внешние носители.
- Отправляют по почте / в соцсетях / мессендерах.
- Фотографируют экран монитора/ делают скриншот.
Чтобы предотвратить слив данных одним из этих способов, компании устанавливают DLP-систему – программу, которая позволяет контролировать каналы передачи данных, выявлять и предотвращать утечки критичной информации.
Система мониторинга разворачивается на корпоративном сервере и компьютерах сотрудников. Программа анализирует всю информацию, которая передается между устройствами в корпоративной сети.
Служба безопасности (СБ) может задать «опасные» слова, которые работники могут использовать в переписке, аудио-сообщениях или даже на видео-встречах. Кроме этого, СБ может запретить использовать флешки и поставить метки на документы с коммерческой тайной. Некоторые сервисы выявляют запрещенное действие, совершенное сотрудником, и мгновенно отправляют уведомление СБ. Это предупреждает копирование конфиденциальной информации на съемные носители, а также ее пересылку по почте, в соцсетях и мессенджерах.
Порядка 10-15% информации, выставленной на продажу в даркнете, была сфотографирована с рабочего экрана – это сложно отследить с помощью стандартных систем, а использование обычного видеонаблюдения не дает возможности пресечь кражу и обеспечить надежные доказательства ответственности инсайдера за фотосъемку экрана с корпоративными данными.
3. Сократите количество сотрудников с доступом к конфиденциальной информации
Определите минимальное количество сотрудников, которым необходим доступ к корпоративной информации. В идеале каждому специалисту выдавать только ту часть данных, которая понадобится ему для работы. Также можно провести обучение по информационной гигиене и утечкам информации, где рассказать о последствиях подобных инцидентов для предприятия, а также для каждого сотрудника.
Выводы
Несмотря на угрозы инсайдерства, существуют и способы их предотвращения. Пока в России нет серьезного наказания за слив персональных данных, инсайдеров ответственностью не напугать. Единственный надежный способ от них защититься – выстроить свою корпоративную защиту самостоятельно.
Внутренние угрозы несут огромные риски для компаний, но с помощью правильных мер и политик информационной безопасности можно снизить вероятность их возникновения до абсолютного минимума.
Также читайте:
Все равно будут утечки -- хоть NDA, хоть DLT.
План продаж -- это сугубо коммерческая информация.
Бюджет компании -- то же самое.
Но это рабочие инструменты компании, с которыми работает офис. Тут ничего не ограничишь.
Мое личное мнение -- нужно выстраивать бизнес-процессы компании так, чтобы бизнес был мнее чувствителен к know what в пользу know how.
Другими словами -- если вы закупаете в Китае какой-то продукт и тупо продаете его в РФ. То здесь бизнес чрезвычайно чувствителен к know what -- весь он строится на знании поставщика и закупочной цены. И легко клонируется при наличии этих знаний.
А, когда ваш продукт заметно сложнее и, например, компилируется из суб-продуктов от разных поставщиков. И ему сопутствует продвижение сугубо в каналах его нишевой ЦА. Да плюс ему сопутствует глубокая экспертиза специалистов компании, которые активно консультируют покупателей. То в этом случае уже будет недостаточно просто купить и привезти, и чуть провалиться по цене. Нужно будет воспроизвести часть процессов компании -- а это существенно сложнее и дороже.
Если кратко.
Чтобы творить как Микеланджело -- нужно жить как Микеланджело.
А чем проще продукт -- тем уязвимей бизнес к шпионажу.
Бизнесы с большим количеством эмпирической информации, которые выстраиваются годами -- практически не чувствительны к шпионажу. Они чувствительны к потере людей, которые выступают носителями и генераторами know how -- но это уже совсем другая история.
Выполнение п.1 сознательное воровство информации не остановит.
Детали практической реализации п.2 можно и нужно обсуждать. Хотя - на первый взгляд - это влияет только на цену.
Что касается п.3, то это просто правила гигиены. Сотрудник должен иметь доступ только к той информации, которая необходима именно ему и только для выполнения им своих должностных обязанностей.
Автор в какой-то момент начал говорить об утечке персональных данных, хотя с другими категориями корпоративной информации это может быть не связано. Неизбежное зло массовой цифровизации и слабой защищенности большинства систем и приложений.
К сожалению, большинство бизнесов уязвимы к шпионажу и утечкам данных. Вдобавок ко всему, утечка не всегда подразумевает «копирование» бизнес-процессов, но всегда опасна репутационными рисками, что чревато снижением лояльности со стороны клиентов, падением продаж и оборотными штрафами в перспективе.
Персональные данные - это часть корпоративной информации, за сохранность которой компания несет ответственность. Что касается NDA и режима коммерческой тайны, разумеется, они, как и другие инструменты, не могут гарантировать 100% защиту от воровства, но значительно снижают риски необдуманных поступков со стороны сотрудников и, в случае инцидента, помогут защитить компанию при судебных разбирательства
Если мы говорим, например, о воровстве корпоративной информации и её продаже или передаче третьей стороне (всё нужно доказать), то это вполне сознательный и вполне обдуманный поступок. Возможны варианты, включая внешние атаки и разнообразные технические проблемы.
Ответственность компании и её должностных лиц регулируется законодательно. Суд будет руководствоваться именно этим.