Журнал о системах электронного документооборота (СЭД)
Информационная безопаснось в ECM

Материалы больше не секретные. Как остановить утечку информации?

  1 комментариев Добавить в закладки

Ваши сотрудники – умышленно или случайно – сливают информацию. Передача секретных документов третьим лицам, среди которых могут оказаться прямые конкуренты, происходит в каждой российской организации. Рынок информационной безопасности пестрит системами защиты конфиденциальных данных. Насколько эффективны эти инструменты, E-xecutive выяснил у эксперта.

 

Утечки конфиденциальной корпоративной информации – головная боль для многих компаний. Ущерб измеряется в валюте – в 2010 году российский бизнес лишился порядка $200 млн. И это не предел: эксперты отмечают ежегодный рост потерь. Ситуацию усугубляет закон «О персональных данных», который вступил в силу с 1 июня 2011 года и фактически вынуждает руководителей компаний защищать персональные данные, в том числе путем внедрения специальных систем безопасности. Игнорирование «указаний свыше» также встанет организациям в копеечку: Роскомнадзор обещает раздать всем провинившимся по невкусной конфете. Максимальный штраф за несоблюдение закона – 500 тыс. руб. В отдельных случаях предусмотрена даже уголовная ответственность. Как избежать утечек данных и незапланированных финансовых потерь? С этим вопросом E-xecutive обратился к техническому консультанту Symantec – Олегу Головенко.

Кто выносит сор из избы?

Сегодня организация сама определяет, что считается конфиденциальной информацией. В первую очередь, это персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), а потом уже внутрикорпоративная информация: закрытые данные о слияниях и поглощениях, финансовые отчеты – все то, что не должны видеть конкуренты. Отдельным пластом выделяется интеллектуальная собственность: чертежи, дизайн-проекты, формулы, исходные коды.

Закон «О персональных данных» обязывает все организации, независимо от размера и формы собственности, защищать этот тип информации, но не предусматривает, какими средствами нужно это делать.

Golovenko.jpgОлег Головенко поделился результатами исследования Symantec «Как утекают секретные мегабайты», в котором приняли участие российские компании. «Полученные данные в целом коррелируют с общемировой статистикой. Хотя некоторые западные исследования дают нам дополнительную информацию – ранее считалось, что интерес к защите корпоративной информации проявляют, в первую очередь, финансовые организации. Но сегодня банки находятся на втором месте. На первом – относительно небольшие компании, занимающиеся розничной продажей. Но в целом, у всех свои причины обращать внимание на эту проблему».

Подобное исследование проводилось в США, где общая картина по утечкам данных напоминает российскую. В целом, причины потери конфиденциальной информации одинаковые – нерадивость и злой умысел сотрудников компании. «В том, что они выносят корпоративные данные за пределы офисов, признались 70% респондентов – как российских, так и американских, – заявляет Олег Головенко. – Но реальная цифра определенно выше: разглашать информацию о своей причастности к утечкам многие все-таки боятся».

Респонденты (40%) признались: они крадут информацию с целью получения дополнительного заработка – продать конкурентам, оставить себе и заработать самостоятельно или унести в новую компанию. На случайные потери приходится 50%. Олег Головенко: «Сотрудник может отправить по ошибке конфиденциальную информацию по электронной почте не тому адресату. Или записать данные на флеш-накопитель, унести домой и сохранить на домашнем компьютере без злого умысла. Факт в том, что мы сталкиваемся с этим постоянно».

Что делать?

Самые распространенные каналы утечки – электронная почта, флеш-накопители и ноутбуки. Многие компании, зная об этом, самостоятельно борются с потерей данных – ограничивают доступ к сетевым дискам, отключают возможность использовать портативные устройства, а иногда заставляют сотрудников подписывать специальные документы, запрещающие выносить данные из офиса.

В отношении нерадивых сотрудников будут применяться административные наказания. Олег Головенко: «Денег с людей никто не возьмет. Скорее, будет применяться административный или трудовой кодекс, а в некоторых случаях – уголовный. Хотя сейчас законоприменительная практика в России в этой области довольно бедная, и сложно сказать, чем грозит человеку, например, вынос информации с предприятия».

Но вот компании всыпать по первое число может Роскомнадзор, который обязан проверять инфраструктуру российских организаций на предмет защиты системы хранения данных. И если требования не учтены, организация получает рекомендации и ожидает повторной проверки. И только потом – штрафы. Чтобы этого не случилось, компания обязана задуматься об эффективной защите конфиденциальной информации. Но гарантии эффективности нет.

Олег Головенко: «Важно отметить, что ни одна система безопасности не сможет дать 100%-ой гарантии, но позволит значительно снизить риски утечек. 95% утечек данных являются непреднамеренными, и только 5% – это злонамеренные похищения информации. И те, и другие утечки могут пресекаться системами DLP (Data Loss Prevention – контроль утечки информации). С помощью системы DLP осуществляется мониторинг и блокировка попыток выноса конфиденциальной информации за пределы организации практически по всем известным каналам (запись на флэшки, печать, отправка по почте и т.д.)».

До поры, до времени

Многие российские менеджеры уверены – утечек корпоративной информации в их компаниях нет. Это заблуждение. Олег Головенко: «Основываясь на нашем опыте, могу сказать: либо они этого не знают, либо по каким-то причинам скрывают – неприятно признавать такие вещи».

40% российских компаний пришло к идее внедрения систем DLP после серьезных инцидентов – как говорится, пока рак на горе не свистнул. Чтобы защитить данные, компания должна не только определить, что считается конфиденциальной информацией, но и знать, где она хранится. Настоящие системы DLP позволяют найти такую информацию внутри предприятия автоматически.

Существует несколько технологий определения конфиденциальности информации. Самая простая в реализации – описательная технология. Олег Головенко: «Нужно задать ключевые слова или сочетания слов, которые определяют конфиденциальность документов. Можно задать идентификаторы, имеющий строгий формат записи (номер кредитной карты, IP-адрес, телефонный номер, номер российского паспорта, ИНН и т.д.). Кроме того, в системах DLP применяется система так называемых цифровых отпечатков секретных документов. Например, при отправке по электронной почте или записи файлов на портативные устройства, система сравнивает их с цифровыми отпечатками и определяет степень конфиденциальности». Новым словом в развитии технологий можно считать самообучающиеся алгоритмы. Они позволяют автоматически определять конфиденциальность документов на основе первичного обучения и накопленного опыта.

Сложно предугадать, что будет наиболее тяжелой потерей для компании – намеренная утечка или случайная потеря. В США компания, потерявшая персональные данные пользователей, обязана уведомить об этом каждого клиента, а также сообщить СМИ о произошедшей утечке. В России же организации предпочитают не сообщать о потере данных, так как боятся потерять клиентов.

Олег Головенко: «Прямые убытки – то, что выливается в денежные затраты сразу же после инцидента: перевыпуск карт в банках, «обзвон» клиентов, увольнение сотрудников и т.д. Но, согласно мировой статистике, косвенный ущерб не уступает прямым убыткам. Это снижение лояльности клиентов или их отток, снижение стоимости брендов, котировок акций».

Ежегодно в мире количество утечек увеличивается в 1,5 раза. Из-за небольшого проникновения систем DLP, объем потерянных данных в России также растет. В будущем появятся новые каналы передачи конфиденциальных данных и новые варианты обхода систем защиты информации. Постепенно процент утечек будет снижаться, но до нуля он не дойдет никогда.

Источник: e-xecutive.ru

Ещё материалы автора
Похожие записи
Комментарии (1)
Вячеслав Смирнов 01 сентября 2011 г. 11:22  

А если бы процент был 90, то всё равно бы кто-нибудь сказал, что реальные цифры выше.

Например, компания SailPoint опубликовала 28.07.2011 отчёт в ктором сказано, что лишь 5% американцев продали бы корпоративные секреты в сети Интернет если бы они могли (http://blog.sailpoint.com/2011/07/market-pulse-survey-2/).

Тут же говорится о цифре в 40%.

Видимо, те кто отвечал Symantec отвечали очень честно и у них было очень плохое настроение. Или Symantec перед тем как задать вопрос совершенно случайно открыла чемодан с сотней миллионов крупных банкнот).

Подвергаю сомнению цифру 40%. Остальное верно.

Главное - люди. Ограничивать возможности людей - один из вариантов действий. Брать с них подпись о неразглашении - другой. А можно ещё учить людей, почеловечески обяснять что является важным, и почему это надо защищать. Неведение пораждает слухи, догадки и разжигает любопытсво. Если при этом всё обнести DLP (колючая проволка и минные поля), то большого положительного эффекта не будет. Представьте ситуацию, внедрили DLP, многое стало нельзя, часто стали вызывать, и люди срашивают - а зачем это? А тут ответ - по статистике 40% сотрудников воруют и продают секреты. Результат - кто-то обидится, стерпит и останется работать, а кто-то уволится. Поэтому обучение, разъяснение, плакаты, правдивые истории из жизни - вот с этого лучше начинать.

Сейчас обсуждают
Больше комментариев