Материалы больше не секретные. Как остановить утечку информации?

Утечки конфиденциальной корпоративной информации – головная боль для многих компаний. Ущерб измеряется в валюте – в 2010 году российский бизнес лишился порядка $200 млн. И это не предел: эксперты отмечают ежегодный рост потерь. Ситуацию усугубляет закон «О персональных данных», который вступил в силу с 1 июня 2011 года и фактически вынуждает руководителей компаний защищать персональные данные, в том числе путем внедрения специальных систем безопасности. Игнорирование «указаний свыше» также встанет организациям в копеечку: Роскомнадзор обещает раздать всем провинившимся по невкусной конфете. Максимальный штраф за несоблюдение закона – 500 тыс. руб. В отдельных случаях предусмотрена даже уголовная ответственность. Как избежать утечек данных и незапланированных финансовых потерь? С этим вопросом E-xecutive обратился к техническому консультанту Symantec – Олегу Головенко.

Кто выносит сор из избы?

Сегодня организация сама определяет, что считается конфиденциальной информацией. В первую очередь, это персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), а потом уже внутрикорпоративная информация: закрытые данные о слияниях и поглощениях, финансовые отчеты – все то, что не должны видеть конкуренты. Отдельным пластом выделяется интеллектуальная собственность: чертежи, дизайн-проекты, формулы, исходные коды.

Закон «О персональных данных» обязывает все организации, независимо от размера и формы собственности, защищать этот тип информации, но не предусматривает, какими средствами нужно это делать.

Golovenko.jpgОлег Головенко поделился результатами исследования Symantec «Как утекают секретные мегабайты», в котором приняли участие российские компании. «Полученные данные в целом коррелируют с общемировой статистикой. Хотя некоторые западные исследования дают нам дополнительную информацию – ранее считалось, что интерес к защите корпоративной информации проявляют, в первую очередь, финансовые организации. Но сегодня банки находятся на втором месте. На первом – относительно небольшие компании, занимающиеся розничной продажей. Но в целом, у всех свои причины обращать внимание на эту проблему».

Подобное исследование проводилось в США, где общая картина по утечкам данных напоминает российскую. В целом, причины потери конфиденциальной информации одинаковые – нерадивость и злой умысел сотрудников компании. «В том, что они выносят корпоративные данные за пределы офисов, признались 70% респондентов – как российских, так и американских, – заявляет Олег Головенко. – Но реальная цифра определенно выше: разглашать информацию о своей причастности к утечкам многие все-таки боятся».

Респонденты (40%) признались: они крадут информацию с целью получения дополнительного заработка – продать конкурентам, оставить себе и заработать самостоятельно или унести в новую компанию. На случайные потери приходится 50%. Олег Головенко: «Сотрудник может отправить по ошибке конфиденциальную информацию по электронной почте не тому адресату. Или записать данные на флеш-накопитель, унести домой и сохранить на домашнем компьютере без злого умысла. Факт в том, что мы сталкиваемся с этим постоянно».

Что делать?

Самые распространенные каналы утечки – электронная почта, флеш-накопители и ноутбуки. Многие компании, зная об этом, самостоятельно борются с потерей данных – ограничивают доступ к сетевым дискам, отключают возможность использовать портативные устройства, а иногда заставляют сотрудников подписывать специальные документы, запрещающие выносить данные из офиса.

В отношении нерадивых сотрудников будут применяться административные наказания. Олег Головенко: «Денег с людей никто не возьмет. Скорее, будет применяться административный или трудовой кодекс, а в некоторых случаях – уголовный. Хотя сейчас законоприменительная практика в России в этой области довольно бедная, и сложно сказать, чем грозит человеку, например, вынос информации с предприятия».

Но вот компании всыпать по первое число может Роскомнадзор, который обязан проверять инфраструктуру российских организаций на предмет защиты системы хранения данных. И если требования не учтены, организация получает рекомендации и ожидает повторной проверки. И только потом – штрафы. Чтобы этого не случилось, компания обязана задуматься об эффективной защите конфиденциальной информации. Но гарантии эффективности нет.

Олег Головенко: «Важно отметить, что ни одна система безопасности не сможет дать 100%-ой гарантии, но позволит значительно снизить риски утечек. 95% утечек данных являются непреднамеренными, и только 5% – это злонамеренные похищения информации. И те, и другие утечки могут пресекаться системами DLP (Data Loss Prevention – контроль утечки информации). С помощью системы DLP осуществляется мониторинг и блокировка попыток выноса конфиденциальной информации за пределы организации практически по всем известным каналам (запись на флэшки, печать, отправка по почте и т.д.)».

До поры, до времени

Многие российские менеджеры уверены – утечек корпоративной информации в их компаниях нет. Это заблуждение. Олег Головенко: «Основываясь на нашем опыте, могу сказать: либо они этого не знают, либо по каким-то причинам скрывают – неприятно признавать такие вещи».

40% российских компаний пришло к идее внедрения систем DLP после серьезных инцидентов – как говорится, пока рак на горе не свистнул. Чтобы защитить данные, компания должна не только определить, что считается конфиденциальной информацией, но и знать, где она хранится. Настоящие системы DLP позволяют найти такую информацию внутри предприятия автоматически.

Существует несколько технологий определения конфиденциальности информации. Самая простая в реализации – описательная технология. Олег Головенко: «Нужно задать ключевые слова или сочетания слов, которые определяют конфиденциальность документов. Можно задать идентификаторы, имеющий строгий формат записи (номер кредитной карты, IP-адрес, телефонный номер, номер российского паспорта, ИНН и т.д.). Кроме того, в системах DLP применяется система так называемых цифровых отпечатков секретных документов. Например, при отправке по электронной почте или записи файлов на портативные устройства, система сравнивает их с цифровыми отпечатками и определяет степень конфиденциальности». Новым словом в развитии технологий можно считать самообучающиеся алгоритмы. Они позволяют автоматически определять конфиденциальность документов на основе первичного обучения и накопленного опыта.

Сложно предугадать, что будет наиболее тяжелой потерей для компании – намеренная утечка или случайная потеря. В США компания, потерявшая персональные данные пользователей, обязана уведомить об этом каждого клиента, а также сообщить СМИ о произошедшей утечке. В России же организации предпочитают не сообщать о потере данных, так как боятся потерять клиентов.

Олег Головенко: «Прямые убытки – то, что выливается в денежные затраты сразу же после инцидента: перевыпуск карт в банках, «обзвон» клиентов, увольнение сотрудников и т.д. Но, согласно мировой статистике, косвенный ущерб не уступает прямым убыткам. Это снижение лояльности клиентов или их отток, снижение стоимости брендов, котировок акций».

Ежегодно в мире количество утечек увеличивается в 1,5 раза. Из-за небольшого проникновения систем DLP, объем потерянных данных в России также растет. В будущем появятся новые каналы передачи конфиденциальных данных и новые варианты обхода систем защиты информации. Постепенно процент утечек будет снижаться, но до нуля он не дойдет никогда.

Павел Расходов, E-xecutive

Также смотрите:

«Заразный» бизнес

CeBIT-2011: кто убил ваш компьютер?

Пять способов улучшить корпоративный сайт

Эта публикация была размещена на предыдущей версии сайта и перенесена на нынешнюю версию. После переноса некоторые элементы публикации могут отражаться некорректно. Если вы заметили погрешности верстки, сообщите, пожалуйста, по адресу correct@e-xecutive.ru
Комментарии
Партнер, Украина

Несколько историй из личной практики.

Работал когда-то в конторе, в которой система безопасности была (как они думали) самая совершенная. Ее строили бывшие СБушники. Подписывали документы, по которым нельзя было выносить цифровые носители информации за пределы офиса и т.д. К ним причислялись флеш-накопители и т.д.

Но! на сервере была папка public, в которую доступ был у всех. Один человек туда файлик выкладывал, второй забирал. За день периодического наблюдения за ней мимо пробегали - ведомость по зарплате, финансовый план компании на следующий год... и другие похожие документы. Скопируй себе и изучай на досуге, если интересно.

Еще был случай. Большая контора. Почтовый сервер имеет интернет-интерфейс. При мне за 5 минут толковый ИТ специалист взломал снаружи 50% почтовых ящиков. Просто народу по умолчанию выдают пароль типа ''123456'' и они его не меняют. В том числе взломаны ящики директора компании, главного бухгалтера, директора по развитию и т.д. А там опять же ведомости по зарплатам, финансовые документы...

Просто начальники отделов безопасности обычно бывшие оперативники спецслужб. Они думать не умеют, они делают как их учили. Они ставят прослушку на внутренние телефоны, монтируют скрытые видеокамеры. Но пропускают простые дырки в ИТ системах, которые по своей сложности недоступны их пониманию. Нужны аналитики, технические специалисты и специалисты по психологии.

В системы, которые находят паттерны в файлах и определяют автоматически степень их конфиденциальности, я не верю. Все уже влают языком падонков и сцука абайдут ети патэрны как двапальцаабасвальт. :)

Как говорил известный хакер Левин на встрече с американскими парламентариями, пока люди будут наклеивать бумажки с паролями на мониторы, можно вкладывать миллиарды в системы безопасности и они не помогут.

Нач. отдела, зам. руководителя, Москва

По-моему, все эти шпионские игры процентов на 90 - паранойя и желание всяких бывшых милиционеров, ставших вдруг ''ДирБезами'', оправдать свое существование.
Той информации, которую действительно нужно защищать - не так уж и много.
А тотальные запреты всего - флешек, дисков, телефонов и проч. - это просто смешно. :)

Хорошая СБ та, - присутствие и работу которой никто не замечает. ;)

Однажды пришел на конференцию, которую проводила на своей базе одна компания. Так там чтобы презентацию с флешки загрузить пришлось чуть ли не заявление на имя гендиректора писать и в восьми местах подписывать. :)
''Ну чисто как дети, ей Богу''. (с) :D :D

Нач. отдела, зам. руководителя, Москва
Лев Соколов пишет: Хорошая СБ та, - присутствие и работу которой никто не замечает.
Нужно предоставить почти одинаковые возможности для работы в офисе и дома - удалённый офис (за исключением некоторых подразделений). http://www.e-xecutive.ru/forum/forum14/topic11640/messages/?FID=14&TID=11640&PAGEN_1=3 Решается множество проблем. Копировать всю базу или достаточно большой объём данных, этом случае не позволит ИС, т.к. просто не включает в себя подобный функционал. Ограничение каждого сотрудника по доступу тоже есть. Есть возможности ограничить возможности на любом рабочем месте, даже компьютер Генерального директора 8) Существуют решения и для многостраничных отчётов. Подготовить свою часть отчёта можно и удалённо, а распечатать и посмотреть полный отчёт можно только в головном офисе. Если придумаете ещё как контролировать системных администраторов, то вопрос решаемый на достаточно высоком уровне :D Ту же презентацию можете загрузить через Интернет. Да , и ещё, работа СБ тоже упрощается :)
Председатель совета директоров, Москва
Александр Соловьев пишет: Есть возможности ограничить возможности на любом рабочем месте, даже компьютер Генерального директора...
и все это работает до тех пор пока работодатель соблюдает взятые на себя обязательства... в том числе и по ГД :| :| :D
Генеральный директор, Новгород

''Просто начальники отделов безопасности обычно бывшие оперативники спецслужб.
Они думать не умеют, они делают как их учили.
Они ставят прослушку на внутренние телефоны, монтируют скрытые видеокамеры.
Но пропускают простые дырки в ИТ системах, которые по своей сложности недоступны их пониманию.
Нужны аналитики, технические специалисты и специалисты по психологии.''

Большинство внутренних сетей ''вырубить'' несложно. Несложно пройти на территорию. Несложно вынести, вывезти и т.д....

Бывшие сотрудники спецслужб, действительно, не смыслят в ISO27xxx и других стандартах обеспечения безопасности.
Отчасти поэтому разогнали большую часть МВД.
В большинстве случаев проблема находится за пределами понимания руководителя.
Если руководитель не понимает важности защиты информации, то фирма неизбежно теряет в конкуренции и других проблемах.

Удобнее работать там, где поддерживается порядок - легче выполнять задачи.

Директор по R&D, Санкт-Петербург

Принцип: ''разделяй и властвуй'' никто не отменял. Человек не сможет слить информацию, которой не владеет. Не будет полезной и информация, в которой присутствует неизвестная и неотделимая доля дезинформации. Помните анекдот о часах командирских, имеющих 21 стрелку? Три показывают точное время - остальные сбивают с толку вероятного противника.

Есть и специалисты по тому, как это делается. В народе их зовут особистами. Конечно, все мы учились понемногу, и особисты - не исключение. Кроме теории нужна и практика.

Вопрос лишь в том, всем ли нужны затраты на подобную организацию дел?

Есть много мифов, запутывающих и без того не простую информацию. Чтобы украсть идею, нужно вариться в том же котле, что и тот, кто ее придумал. Поэтому иногда кажется, что идеи витают в воздухе. Чуть упусти - и сделает другой.

Отсюда вывод: придумал - молчи, сделал - кричи ;)

Директор по R&D, Санкт-Петербург

Кстати, насчет информационной безопасности. Нужно понимать, что есть техническая составляющая безопасности, а есть политика безопасности компании. Что и почему мы бережем - это политика. Как и от кого - это техника.

Перегибы и недоработки бывают везде и у всех.

Вообще, риски в бизнесе весьма разнообразны. Можно бизнес потерять, можно за бизнесом утопить еще и много других бизнесов, можно бизнес подвергнуть ненужным стрессам, суете, можно потерять часть доходов, лояльность клиентов, сотрудников. Бизнес может потерять привлекательность для собственников или топ-менеджеров. Бизнес может быть украден, клонирован, заблокирован.

Управление рисками - это в том числе главная пища для политики безопасности. Главное - не путать, кто сержант, кто лейтенант, кто майор, кто полковник, кто генерал, и кто главнокомандующий. Сержант всегда считает, что главное - устав. Лейтенант понимает, что главное, чтобы сержанты думали, что главное - устав. Майор уверен, что главное, чтобы лейтенанты не знали того, что знают майоры. Полковник точно знает, зачем ему майоры, лейтенанты, сержанты и рядовые. Генерал верит, что у него достаточно хорошие полковники, чтобы ему не приходилось думать о майорах, лейтенантах, а тем более сержантах. Главнокомандующий знает в лицо пару полковников, и не задумывается, сколько рядовых находятся на кончике пера его авторучки, когда он рисует стрелочку на карте.

Людям тяжело быть не на своем месте, особенно, если они не понимают, какое место свое, и чье место они сейчас занимают.

Тем не менее - безопасность это вопросы особистов. Никакие айтишники этот вопрос не закроют с политической точки зрения. Только будут ныть, что уставы нынче не те.

IT-менеджер, Москва

Все гораздо проще. Как говорят классики - если затраты на защиту данных превышают стоимость самих данных, смысла в защите нет. Поэтому оценка рисков первична. Есть конторы в которых при любом подозрении сотрудника ведут на полиграф, подозреваю, что климат там не очень здоровый. Где грань между необходимыми и достаточными мерами? Как не впасть в параною?

В больших компаниях существуют отделы корпораимвной безопасности в рамках которых или тесно взаимодействуя существуют специалисты по информационной безопасности, вероятнее всего бывшие ИТшники. Каждый специалист в своей сфере, а вместе дают эффект синергии.

Директор по производству, Украина

Есть два правила работы с охраняемой информацией:
1. «Нельзя класть все яйца в одну корзину».
2. Доступ к частям информации – адресный, условный и персонифицированный.

Разбивку охраняемой информации на части, хранящиеся отдельно, надо осуществлять с пониманием «теории», объединяющей части информации. Проиллюстрирую это простым гипотетическим примером.
Допустим, охраняется информация о движении материальной точки. Элементы информации:
m – масса точки.
a – ускорение точки.
f – сила, действующая на точку.
Теория, объединяющая элементы – это уравнение движения: m*a = f.
В одном месте нельзя хранить все три элемента информации. Нарушается правило 1.
Двух мест хранения, тоже, недостаточно. В одном из них окажется два элемента. Добавив к ним знание теории (знание уравнения движения), можно определить недостающий третий элемент.
Значит, необходимо ТРИ места хранения.
-------------------------------------------.

Кстати, с физиками-теоретиками – в части охраны информации – просто беда.
Например.
Э.Ферми оценил энергию взрыва атомной бомбы по разлёту мелких клочков бумаги.
Р.Фейнман имел хобби, нервировавшее работников режима – открывать сейфы.

Менеджер, Воронеж
Владимир Зонзов пишет: Р.Фейнман имел хобби, нервировавшее работников режима – открывать сейфы.
а я думал его хобби - игра на ударных по ночным клубам))
Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии