Для многих компаний малого и среднего бизнеса утечка на сторону важной информации может стать катастрофической. К примеру, если клиентская база попадёт в руки конкурентов или важная техническая документация новейшего гаджета уплывёт в интернет, это может серьёзно пошатнуть позиции бизнеса или вообще поставить на нём крест. О том, как повысить уровень информационной безопасности компании, в своей авторской колонке рассказал эксперт-профайлер Иван Бируля.
Иван Бируля, эксперт-профайлер, директор по безопасности компании
«СёрчИнформ». Опыт работы в IT-индустрии - 12 лет. Работал инженером-проектировщиком систем безопасности, руководил отделами безопасности «Паритетбанка» и группы компаний Transeuropean Logistic Service. Разработал авторскую методику профайлинга. Обучался по программе МАШАВ (Израиль). Постоянный спикер конференций в сфере информационной безопасности.
Вплотную заниматься информационной безопасностью бизнес чаще всего вынуждает одна из трёх причин: нормы закона и отраслевые стандарты, вероятный ущерб от утечки данных и потребность «управлять страхом». Последнее означает, что компания начинает беспокоиться о защите информации, когда сама сталкивается с утечкой или под впечатлением от крупных инцидентов.
2017 год стал «годом утечек данных», которые обнаружили проблемы с безопасностью как у монстров вроде IBM, Yahoo!, Uber, Amazon, Equifax, так и у множества компаний меньшего масштаба. Так что в ближайшие месяцы многие бизнес-структуры начнут с утроенной силой выстраивать защиту корпоративных IT-систем и данных внутри компании.
Давайте рассмотрим три основополагающих правила, без которых «строение» выйдет непрочным.
Больше всего конфиденциальным данным угрожают не хакеры, а сотрудники, которые ежедневно пользуются IT-ресурсами компании. По данным ежегодного исследования «СёрчИнформ», на долю «человеческого фактора» приходится серьёзный процент общих угроз. Почему пользователи становятся угрозой номер один? Есть мнение, что от скуки и безделья, но прежде всего – потому что не знают правил информационной безопасности не следуют им.
Сотрудники одного нашего клиента, которым пришлось работать в выходные, от скуки решили погулять по территории. Менеджер, не задумываясь, опубликовал в социальных сетях селфи на фоне секретного объекта. У нарушителя не было злого умысла, он просто пожаловался, что работает, пока остальные отдыхают. DLP-система детектировала отправленное в интернет фото, и сотрудник удалил снимок по «просьбе» службы безопасности. После инцидента коллективу ещё раз напомнили о важности правил безопасности и закрепили «урок» штрафными санкциями.
- Пройти тест на знание правил информационной безопасности
Проводить «ликбез» по информационной безопасности и следить за выполнением правил безопасности – главное условие защиты конфиденциальной информации. Причём эти знания помогут сотрудникам и в обычной жизни. Использовать сложные пароли, не хранить в «облаках» важную информацию, не смешивать рабочую и личную почту, распознавать фишинговые письма и другие уловки социальной инженерии – полезные навыки, которые обезопасят от посягательств мошенников и корпоративные данные компании, и частные данные сотрудников.
Профессионалы в сфере информационной безопасности убеждены: чем меньше у сотрудника возможностей для спланированного или спонтанного нарушения, тем выше степень защиты информации. Поэтому «урезают» права пользователей максимально, но без ущерба для рабочего процесса.
Если юристу запретить доступ к «песочнице» разработчиков, продуктивность юридического отдела не пострадает. Если разработчика лишить доступа к панели управления сайтом для редактирования новостей компании, разработка продолжится в прежнем режиме.
Следовать правилам разграничения доступа на руку и самим сотрудникам, поскольку снижается риск нарушения по неосторожности.
Служба безопасности нашего клиента обратила внимание, что на компьютере штатного сотрудника хранится конфиденциальная информация, доступа к которой у него быть не должно. Расследование показало, что на этом компьютере регулярно запускали ПО для удалённого доступа, и неподготовленный пользователь этого не замечал. К делу оказался причастен системный администратор. Он организовал на компьютере «жертвы» временное «хранилище» данных ограниченного доступа, которые затем передавал третьим лицам. Так честный сотрудник поневоле стал соучастником «слива» информации.
Обученные и осведомлённые пользователи плюс регулярная проверка и распределение прав доступа – основополагающие, но отнюдь не исчерпывающие правила информационной безопасности.
Главный бухгалтер компании–оператора грузоперевозок решила загрузить в «облако» большой архив документов в обход внутренних правил работы с информацией. Корыстных мотивов у сотрудницы не было, ей просто было удобно работать с документами из дома. Служба информационной безопасности обратила внимание на действия бухгалтера, так как по структуре предприятие – закрытое акционерное общество, и разглашать определённые сведения недопустимо. Проверка архива с помощью DLP-системы показала, что информация не подлежит раскрытию, и загрузку заблокировали. Окажись данные из архива у конкурентов, финансовый ущерб компании составил бы минимум 30 млн. рублей.
Наиболее надёжную защиту данных от случайных «сливов» и спланированных утечек обеспечивает комплекс организационных и технических мер. Организационный уровень защиты включает, но не ограничивается подбором кадров, утверждением регламента работы с конфиденциальными документами и носителями данных. Включение пункта о неразглашении в трудовой договор, размер зарплаты, тренинги по информационной безопасности также относят к организационным мерам защиты.
Техническую сторону обеспечивают аппаратные и программные средства, например, разнообразные системы контроля сотрудников. По оценке исследовательской компании Gartner, половина компаний использует для контроля DLP-системы, которые фиксируют пересылку документов внутри компании и внешним адресатам, отслеживают посещение нерабочих и подозрительных ресурсов, анализируют переписку в мессенджерах и предупреждают о риске утечки данных.
Российские компании всё чаще создают отделы информационной безопасности: в 2017 году 36% участников исследования «СёрчИнформ» отметили, что защитой данных у них занимаются профильные специалисты. Ещё два года назад этот показатель составлял 22%. И тенденция роста сохранится.
Читайте также:
Как защитить корпоративный сайт от кибератак.
Как устроен сервис по защите сделок в интернете.
SSL-сертификат: что это, зачем он нужен и где его взять.