Необходимость предотвращения разглашения утечки какой либо информации

Обновлено: 02.05.2024

В п 2.3 ГОСТ Р 50922−2006 упоминается о способах защиты информации от несанкционированного воздействия/доступа, непреднамеренного воздействия/доступа, разглашения и получения разведками. По сути, это и есть виды утечек информации, от которых требуется организовать защиту. Давайте рассмотрим подробнее каждый из них, разберемся с причинами, из-за которых утекают важные данные, и способами, помогающими предотвратить подобные инциденты.

Несанкционированное воздействие и доступ к информации

Несанкционированное воздействие/доступ приводит к уничтожению, разрушению, искажению информации, сбоям в работе информационных систем и носителей, а также к утечкам важных данных путем копирования или незаконного перехвата. Такие виды утечки информации возникают по следующим причинам:

· Кража носителей информации (флеш-карт, SSD, HDD дисков).

Защита важных данных от несанкционированного доступа и воздействия

Для защиты от указанных выше видов несанкционированных утечек информации используются технические и организационные меры. Организационные меры защиты включают в себя разработку политик безопасности, должностных инструкций, управление правами доступа сотрудников к определенным данным.

Технических мер защиты от основных видов утечки информации немало. Для этого могут использоваться:

· Антивирусное программное обеспечение. Современные антивирусы защищают от широкого спектра различных угроз, в том числе от некоторых видов вредоносного ПО, при помощи которого злоумышленники получают доступ к уязвимым данным. Благодаря использованию технологий искусственного интеллекта и методов сигнатурного сканирования они обеспечивают эффективную защиту даже от новых угроз, которых еще нет в антивирусных базах.

· Программные и аппаратные файрволы (межсетевые экраны). Отвечают за фильтрацию трафика, обеспечивают защиту от несанкционированного доступа к корпоративной сети извне.

· IDS и IPS-системы. Такие решения отслеживают активность программного обеспечения в сети, анализируют трафик и происходящие в охраняемом информационном периметре события. IDS системы формируют оповещения для администратора (специалиста по информационной безопасности) о возможных угрозах, а IPS, также могут блокировать нежелательные действия.

· DLP-системы. С их помощью вы сможете организовать комплексную внутреннюю защиту информационной системы компании. Такие решения следят за трафиком, анализируют активность пользователей в приложениях, могут использоваться для анализа переписки по email, в мессенджерах и решения других задач. Внедрив DLP в инфраструктуру компании, вы защититесь от основных утечек информации без необходимости использования набора разносортных решений, за которыми нужно следить и организовать централизованное управление ими.

Защитить важные корпоративные данные помогают и физические средства. Это: элементы СКУД, средства блокирования доступа в помещения (замки и пр.), заглушки для портов, постановщики помех для предотвращения перехвата разговоров и иные решения.

Непреднамеренное воздействие на информацию и утечки

Непреднамеренное воздействие ведет практически к тем же последствиям и возникновению таких же видов утечки информации, как и умышленное. Возникает оно по различным причинам. Среди них:

· Непреднамеренные действия пользователей из-за недостаточных знаний в области информационной безопасности (далее — ИБ). Предотвратить такие явления помогут регулярные занятия и контроль знаний персонала.

· Отсутствие эффективной системы разграничения доступа к информации. Сотрудники, которые знают то, что им не положено, могут непреднамеренно допустить утечки информации, т.к. не понимают ее ценности и последствий попадания в третьи руки.

· Экономия на средствах защиты информационной системы, ошибки в настройках систем безопасности.

Утечки информации в результате проведения разведки

Нечистые на руку компании активно пользуются таким способом получения конфиденциальных сведений. Многие мировые гиганты из различных сфер становились жертвами промышленного шпионажа. Пример — компания Kodak, бывший сотрудник которой Гарольд Уорден похитил важные данные и хотел использовать их для создания собственной консалтинговой фирмы (это громкое событие произошло в 90-х годах прошлого века).

Меры защиты от промышленной разведки/шпионажа аналогичны тем, что используются для предотвращения рассмотренных выше видов утечки информации: организационные и технические. Так что, каких-то специальных сложных мероприятий для этого проводить не придется. Если у вас внедрены эффективные решения защиты конфиденциальной информации, от промышленного шпионажа они тоже помогут защититься.

Стоит отметить, что какой-то общепринятой и утверждённой нормативно-правовыми актами классификации видов утечек информации не существует.

Уделять внимание человеческому фактору в информационных преступлениях компании не спешат: всего 20% респондентов запускают программы по обучению персонала грамотной работе с IT-системами и чувствительной информацией.

В США ежегодно проводится конкурс по социальной инженерии Social Engineering CTF, на котором участники соревнуются в умении добывать корпоративную информацию о гигантах мирового бизнеса: UPS, FedEx, Verizon, AT&T, Shell, Wal-Mart, Cisco, HP. Баллы конкурсантам начисляются за выяснение, какие антивирусные решения установлены в корпоративной системе объекта, название и версию используемого браузера, имена сотрудников обслуживающего персонала и другие интересные данные.

Александр Писемский советует компаниям, которые не хотят оказаться на месте Wal-Mart, уделять внимание корпоративной культуре и открыто наказывать нарушителей.

Поймите, кто ваш враг

Утечки информации из компании бывают как преднамеренные, так и непреднамеренные, при этом вне зависимости от типа большинство из них остаются незамеченными. Одни из самых частых — случайные, происходящие по вине внутренних сотрудников компании. Чаще всего работники невнимательны к заполнению адресной строки (и письмо с конфиденциальной информацией попадает в третьи руки), громко обсуждают внутренние вопросы за обедом в общей столовой, теряют внутренние документы, забывают или с помощью злоумышленников расстаются с гаджетами в аэропортах, отелях, такси.

Гораздо реже случаются утечки с вмешательством третьих лиц. Такие атаки еще реже раскрываются и почти никогда не предаются огласке, ведь каждое такое дело — серьезный ущерб для имиджа компании.

Преднамеренные утечки информации по вине внутренних сотрудников также случаются. Часто это плохо спланированные или эмоциональные действия: например, месть начальству или коллегам, обида за понижение и штраф. Как правило, такие преступления легко раскрываются — найти виновного сотрудника довольно просто: его выдают либо оставленные в спешке улики, либо явный мотив.

Сузьте круг подозреваемых

На самом деле в компании не так много конфиденциальной информации, раскрытие которой способно нанести серьезный ущерб.

Крупные фирмы предпочитают заранее сузить круг лиц, имеющих к ней доступ. Я всегда советую всем применять умный подход к защите данных: сфокусируйтесь на информации, от которой зависит успех вашего бизнеса, и выберите удобные и простые средства контроля доступа к ней. Руководители компании должны четко понимать, какую информацию стоит защищать, а какая не несет в себе серьезных рисков.

Как только мы понимаем, сотрудники какого отдела имеют доступ к ускользнувшим данным, мы начинаем проводить интервью и собирать электронные доказательства с компьютеров и мобильных устройств.

Обратите внимание на поведение: преступников выдает нервозность. Проверить стоит и наличие конфликтов с руководством, планы по увольнению из компании или потенциальная аффилированность к другим компаниям.

Чтобы заранее как-то обезопасить себя от нечестных сотрудников, следует при трудоустройстве проводить проверку благонадежности соискателя. Чем выше должность, тем глубже и тщательнее должна быть проверка. Для особо рисковых групп сотрудников проверки надо устраивать на постоянной основе.

Соберите улики

Перед тем как приступить к расследованию мы всегда производим оформление всех необходимых разрешений на доступ к корпоративной и персональной информации. В нашей практике крайне редко встречались случаи, когда подозреваемые отказывали в доступе к своим корпоративным устройствам. Такое поведение сразу наталкивает на определенные выводы.

Привлечь сотрудника к ответственности за нарушение режима конфиденциальности зачастую сложно.

Во-первых, из-за несовершенства внутренних политик в компании, во-вторых, из-за отсутствия подготовленных специалистов для проведения расследований. Поэтому часто виновных в утечке конфиденциальной информации увольняют за какие-то другие проступки, например, за нарушение трудовой дисциплины или расторгают трудовой договор по соглашению сторон.

Иногда руководители решаются на возбуждение гражданских дел или обращаются в полицию, но такие действия редко заканчивается успехом. Да и далеко не все компании готовы раскрывать такие дела.

Проведите культурно-воспитательную работу

Лучшее предотвращение утечек — воспитание правильной корпоративной культуры. В компании должна быть постоянная программа по обучению работе с конфиденциальной информацией. Формальный подход не работает. Если вы просто введете режим коммерческой тайны и напишите соответствующий регламент, это вряд ли даст нужный результат. Когда человек приходит на работу, на него вываливают кучу всяких политик, он их читает, расписывается и забывает.

Каждый работник должен понимать, какие данные конфиденциальные и как с ними обращаться. Например, у нас в PwC регулярно проходят тренинги и мастер-классы по этой теме, обязательные для каждого сотрудника.

Плюс мы постоянно получаем письма от партнеров, касающиеся практик обращения с чувствительной информацией. Без развитой корпоративной культуры по работе с конфиденциальной информацией даже самое дорогое и продвинутое техническое средство не даст нужного результата.

Устройте публичное наказание

Показательные наказания — крайне эффективны. Ощущение неизбежности наказания и страх перед ним — это отличный мотиватор для того, чтобы не нарушать правила работы с информацией. Если такие дела будут спускаться на тормозах, люди в компании почувствуют безнаказанность. Если с виновным сотрудником разойдутся по-хорошему, другие тоже могут последовать его примеру. Ведь в компании скрыть что-то невозможно: слухи быстро распространяются.

Проведите расследование и сделайте его результаты публичными внутри компании, продемонстрируйте, что кража информации точно такое же преступление, как мошенничество или любое другое, и оно несет за собой вполне осязаемое и суровое наказание.

Об эксперте

Александр Писемский,
руководитель направления компьютерной криминалистики PwC Russia. До работы в PwC был одним из руководителей и сооснователем компании Group-IB. Под его руководством лаборатория компьютерной криминалистики Group-IB заняла лидирующую позицию на территории России и СНГ. Специалисты лаборатории выполняли исследование цифровых доказательств по различным преступлениям, связанным с компьютерной информацией, и корпоративным инцидентам: мошенничества в системе дистанционного банковского обслуживания, хакерские атаки, хищение конфиденциальной информации. DDoS-атаки, нарушение прав интеллектуальной собственности и др.
Александр является сертифицированным специалистов в области информационной безопасности и компьютерной криминалистики: GCFA (GIAC Certified Forensic Analyst), CISM (Certified Information Security Manager), CISA (Certified Information System Auditor), MCP (Microsoft Certified Professional).

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Потеря или утечка конфиденциальной информации может стать для бизнеса серьезной проблемой. Рассказываем, как этого избежать.

12 августа 2021

Бизнеса, у которого нет конфиденциальных данных, просто не существует. Даже если это маленькая компания, занимающаяся розничной торговлей, у нее как минимум есть документы с информацией о сотрудниках — а это персональные данные, утечка которых может стать причиной для претензий со стороны регуляторов. Есть банковские бумаги, которые проблематично восстанавливать в случае утраты. Есть договоры с поставщиками и подрядчиками, которые могут составлять коммерческую тайну.

Чтобы не потерять важные данные — или же чтобы они не достались посторонним, — мы рекомендуем следовать следующим советам.

1. Включите полнодисковое шифрование на всех устройствах

На устройствах, где хранятся конфиденциальные данные или через которые они передаются (то есть, по большому счету, на всех), стоит включить полнодисковое шифрование данных (FDE, Full Disk Encryption). Это обезопасит данные, если устройство попадет в чужие руки. На большинстве телефонов обеих основных платформ (iOS и Android) такое шифрование включено по умолчанию, и отключать его без острой необходимости не стоит. В системе Windows инструмент полнодискового шифрования называется BitLocker. Аналог в macOS — FileVault.

2. Не выносите конфиденциальные данные из офиса

Еще один способ, как важные данные могут попасть не в те руки — потеря или кража физических носителей: внешних жестких дисков или флешек. Оптимальный вариант — вообще не выносить их из офиса. При крайней необходимости, прежде чем записывать данные на флешку или внешний жесткий диск, зашифруйте их. Например, многие защитные решения для малого бизнеса поддерживают создание криптоконтейнеров — зашифрованных хранилищ для файлов.

3. Не передавайте незашифрованные данные через Интернет

Иногда может возникнуть необходимость переслать конфиденциальные данные через Интернет — по электронной почте или через файлохранилище. В этом случае информация потенциально может быть перехвачена, поэтому лучше всего передаваемые файлы зашифровать. Самый простой способ сделать это — заархивировать их с паролем. Такую функцию поддерживают практически все программы-архиваторы. Причем пароль следует пересылать адресату не по тому каналу, через который вы передаете сами файлы (скажем, информацию вы отправляете вложением в письме, а пароль к ней — через мессенджер, поддерживающий сквозное шифрование).

4. Удаляйте конфиденциальные данные, которые вам больше не понадобятся

Лишняя информация вряд ли когда-либо вам пригодится, а вот проблемы в случае утечки доставить может. Поэтому разумно не хранить конфиденциальные данные, которые вам больше не нужны. Удалять такие данные лучше всего при помощи специальной программы — файлового шреддера. В противном случае удаленные файлы можно восстановить. Ну или как минимум убедитесь, что вы не просто положили их в корзину, где они благополучно продолжают лежать.

5. Шифруйте бэкапы

Резервные копии делать очень важно, но они также могут послужить источником утечки. Поэтому перед созданием резервных копий конфиденциальных данных имеет смысл также поместить их в криптоконтейнер.

6. Не храните важные данные в единственном экземпляре

Если вы не хотите лишиться какой-то информации, следует хранить ее в нескольких изолированных друг от друга местах. Например, одну копию на компьютере, а вторую на внешнем жестком диске или в надежном облачном хранилище. Опять же — не забывая предварительно ее зашифровать и вообще учитывать все советы, которые мы дали выше.

7. Надежно храните пароли от архивов и криптоконтейнеров

Если вы внезапно потеряете пароль от архива с важными для бизнеса данными, то, в сущности, вы потеряете и сами данные — восстановить их будет невозможно. Поэтому разумно хранить пароли в специально созданном для этого приложении.

В состав нашего решения для защиты малого и среднего бизнеса входит, среди прочего, приложение для создания сложных паролей и надежного их хранения. В нем же есть инструмент для создания криптоконтейнеров и средство для автоматизации создания резервных копий данных. Ну и, разумеется, оно же защищает ваши компьютеры и мобильные телефоны от зловредов, которые, помимо всего прочего, могут охотиться за секретами вашей фирмы.

Читайте также: