Утечка информации

Потеря контроля над конфиденциальной информацией может обернуться для компании санкциями, финансовым ущербом и потерей клиентов. Не всегда причиной становятся кибератаки — утечки часто происходят из-за совокупности факторов. Рассказываем, какие данные в первую очередь под угрозой, как они могут утечь и что предпринять для защиты.

Что такое утечка информации

Утечка — попадание информации к третьим лицам, для которых она не предназначена. Способы могут быть разными: случайное или намеренное разглашение, несанкционированный доступ, взлом приложений и систем.

Утечки бывают внутренними и внешними. Внутренние происходят из-за халатности, ошибок или злого умысла сотрудников-инсайдеров. Внешние — в результате атак хакеров, которые используют уязвимости корпоративных систем или внедряют вредоносное ПО.

Главный риск утечки

Опасность утечки заключается в потере контроля. Компания не знает, кто и с какой целью будет использовать чувствительные данные.

Утечки информации вне зависимости от способа их реализации могут обернуться для компании финансовым и репутационным ущербом, потерей доверия клиентов, прекращением деятельности. Также за инциденты предусмотрены различные виды ответственности:

Чтобы предотвратить последствия, компания должна определить круг конфиденциальных данных, которые в первую очередь нужно защищать от посторонних.

Виды утечек информации

Виды утечек информации обычно определяют по характеру данных, которые могут попасть в чужие руки. Такая классификация помогает точнее спрогнозировать ущерб для компании в результате инцидента.

Какие данные могут утечь:

• Персональные. Информация, по которой можно идентифицировать конкретного человека. Примеры: ФИО, телефонный адрес, паспортные данные, ИНН, СНИЛС, должность.
• Финансовые. Это информация, отражающая экономическое положение и результаты деятельности. К ней относятся бухгалтерские и налоговые отчеты, номера счетов и банковских карт, платежные реквизиты, транзакционные данные, кредитная история, сведения о задолженностях, акты и счета.
• Коммерческая тайна. Конфиденциальные сведения, которые имеют для компании ценность и дают ей конкурентные преимущества. Примеры: планы развития, условия договоров, ценовая политика, бизнес-стратегии, маркетинговые исследования, данные о партнерах и поставщиках.
• Государственная тайна. Это конфиденциальная информация, связанная с нацбезопасностью: специальные разработки, мобилизационные планы, внешнеполитические решения, данные разведки, материалы силовых структур и прочее.
• Биометрические данные. Чувствительная информация, позволяющая идентифицировать людей по физическим особенностям. Примеры: рисунок вен, изображение лица, голос, отпечаток пальца.
• Медицинские. Сведения о состоянии здоровья человека. Это результаты обследований, диагнозы, история болезни, ход лечения, врачебные назначения.
• Интеллектуальная собственность. Результаты творческой или умственной деятельности. Сюда относятся изобретения, авторские разработки, товарные знаки, промышленные образцы, ноу-хау, патенты, программные продукты и базы данных, исследования, уникальный контент.

Компании должны не просто знать виды утечек информации, а выделять для себя наиболее критичные. Например, для интернет-магазинов основные риски связаны с персональными и платежными данными. Для IT-бизнеса — с интеллектуальной собственностью. Для госструктур — с государственной тайной. Определение критичности рисков позволит правильно выстроить защиту.

Основные причины утечки информации

К инциденту обычно приводят организационные упущения, недостаточный контроль действий сотрудников и внутренние уязвимости. Распространенные причины:

• Человеческий фактор. Самая банальная причина утечки информации — халатность или ошибки сотрудников. Например, можно случайно отправить файлы не тому человеку, переслать рабочие документы на личную почту, передать конфиденциальную информацию в разговоре.
• Умышленные действия сотрудников. Инсайдеры могут собирать данные по заказу конкурентов, ради личной выгоды или из-за конфликта с руководством. Такие ситуации особенно опасны, поскольку сотрудники знают, где хранятся данные и насколько они важны для компании.
• Избыточные права доступа. Сотрудники и подрядчики получают доступ к данным, которых видеть не должны. Это увеличивает потенциальный ущерб при взломе аккаунта, ошибках в работе и злонамеренных действиях инсайдеров.
• Слабая парольная политика. Риски утечки информации повышаются из-за коротких простых паролей, которые легко подобрать. Другие упущения: одинаковый пароль для разных систем, отсутствие ротации, ненадежное хранение учетных данных.
• Фишинг и социальная инженерия. Сотрудники могут сами передать злоумышленникам доступ к аккаунту или конфиденциальные данные. Например, ввести логин и пароль на сомнительном сайте, открыть файл с программой-шпионом, ответить на сообщение якобы от коллеги.
• Отсутствие контроля удаленного доступа. Во многих компаниях есть внештатные сотрудники, которые работают со своих устройств. Нужно контролировать их доступы и действия.
• Использование устаревшего ПО. В старых версиях могут быть уязвимости, которые становятся точкой входа для хакеров. Через них злоумышленники получают доступ к системам и данным, а компания не успевает отреагировать.
• Неразвитая культура ИБ. Сотрудники могут не знать, какие данные нельзя передавать посторонним, какими программами не нужно пользоваться и прочее. Так бывает, если компания пренебрегает обучением и разработкой строгих политик безопасности.
• Отсутствие контроля за перемещением данных. Если не следить за действиями сотрудников, можно не заметить, что кто-то массово скачивает документы или отправляет файлы вовне.

Каналы утечки информации

Каналами утечки называют пути попадания чувствительных данных к посторонним лицам. Их масштаб зависит от того, как в компании выстроены коммуникация и работа с информацией. Основные каналы утечки:

• Сетевые каналы — утечка через мессенджеры, электронную почту, облака.
• Видео-конференц-связь (ВКС) — несанкционированный доступ к онлайн-встрече, перехват аудио или видео, запись переговоров.
• Мобильные телефоны — прослушивание, вредоносные приложения, перехват данных при передаче через небезопасные сети.
• Локальные сети — утечка информации в результате незащищенных соединений, взлома или фишинга.

К конкретным каналам утечки информации относятся электронная почта, мессенджеры, облачные сервисы, приложения для видеосвязи, файлообменники. Также возможна физическая потеря данных — утрата или кража ноутбуков, флеш-накопителей, дисков и других носителей.

Участились случаи утечек через нейросети. В первую очередь это связано с тем, что около 60% российских компаний не имеют формализованных политик, которые регулировали бы работу с ИИ. Массовое и неконтролируемое использование публичных сервисов на основе нейросетей приводит не только к утечкам, но и к заражению корпоративной инфраструктуры.

Признаки уязвимости информации в организации

Риски утечки возрастают, если должным образом не контролируется хранение и использование информации. В таких ситуациях компания может не заметить инцидент до того, пока не проявятся последствия. Следовательно, не успеет оперативно отреагировать.

Один из очевидных признаков слабого уровня ИБ — отсутствие понимания, какие данные есть в компании, где они хранятся и кем используются. Если компания не может четко ответить на эти вопросы, значит, сама создает серьезную уязвимость, которую не исправить средствами защиты.

Еще один признак уязвимости данных — неконтролируемый или неправильно назначенный доступ к корпоративным ресурсам. Если сотрудники могут взаимодействовать с информацией, которая для них не предназначена, риски утечки возрастают.

Третий признак — использование общедоступных каналов коммуникаций. Например, компания может пересылать важные документы через публичные мессенджеры или электронную почту вместо корпоративных. В них не предусмотрены дополнительные меры безопасности. К тому же есть риск случайно отправить данные личному контакту.

Четвертый признак — отсутствие четкой классификации данных. Сотрудники могут не знать, какие сведения считаются конфиденциальными и не подлежат разглашению. В компании должны быть строгие политики безопасности, с которыми следует ознакомить всех пользователей.

Также к признакам уязвимости информации можно отнести слабую защиту учетных записей, устаревшие системы и программы, неконтролируемое использование внешних носителей. Все это создает риски утечки и других инцидентов ИБ.

Действия при утечке

Если утечка информации уже произошла, главное — не терять время. Чем быстрее будут приняты релевантные меры, тем больше шансов минимизировать ущерб. Как действовать:

• Зафиксировать факт утечки. Нужно убедиться, что инцидент ИБ действительно произошел, и установить, каких данных он коснулся. По возможности следует найти канал утечки.
• Ограничить дальнейшее распространение чувствительных данных. Можно временно отозвать доступ к критической информации, заблокировать сомнительные каналы коммуникации и внешние подключения, отключить учетные записи привилегированных пользователей.
• Сохранить следы инцидента. Нельзя удалять информацию, которая поможет разобраться в ситуации. Нужно сохранять сообщения, копии документов, логи, записи с рабочих станций.
• Оповестить ответственных лиц. Необходимо подключить IT-отдел, ИБ-специалистов и руководителей подразделений.
• Провести внутреннее расследование. Следует выяснить, кто виноват в инциденте, из каких соображений действовал и какими методами.
• Уведомить лиц, которых может затронуть утечка. Например, клиентов, если утекли персональные данные. Люди должны знать об инциденте, чтобы оценить возможные последствия и обезопасить себя.
• Оповестить контролирующие органы. Это нужно делать в случае серьезных инцидентов ИБ, чтобы смягчить меры ответственности.
• Пересмотреть внутренние процессы и усилить защиту информации от утечек. Нужно объективно оценить причины инцидента, найти слабые места и проработать их.

Если ограничиться только срочными мерами по предотвращению последствий инцидента, в будущем могут снова произойти утечки информации. Поэтому реагирование должно быть направлено не столько на устранение конкретной ситуации, сколько на повышение качества защиты данных.

Защитите чувствительные данные с помощью DLP-системы Solar Dozor

Получить консультацию

Программные средства защиты от утечек

Защита информации от утечек подразумевает использование специализированных программных решений для контроля действий сотрудников, доступов, перемещений информации. Они должны работать в комплексе, закрывая все слабые места в инфраструктуре. Примеры средств защиты:

Ключевую роль в защите информации от утечек играют DLP-системыDLP-системы — решение для предотвращения утечек и корпоративного мошенничества., поскольку позволяют контролировать работу сотрудников и каналы коммуникации. Они мониторят трафик и с помощью фильтрации, контентного и контекстного анализа распознают в нем конфиденциальные данные. При выявлении нарушений система действует в зависимости от настроек, например блокирует действие или отправляет уведомление сотруднику ИБ-отдела.

Пример DLP-системы корпоративного класса — Solar Dozor. В ней реализовано несколько технологий для предотвращения утечек информации. Например, модуль поведенческой аналитикиUBA помогает по различным паттернам поведения определить потенциальных инсайдеров. Endpoint Agent позволяет отслеживать действия сотрудников на рабочих станциях: использование внешних носителей, печать, создание скриншотов, открытие программ и приложений. Mail Connector отслеживает передачу файлов в корпоративных почтовых системах. Новый модуль DCAP обеспечивает контроль данных в покое и выполнение аудита прав доступа. Также реализованы запись звука с микрофонов на рабочих станциях и функция LiveSound для анализа звуковой информации в режиме реального времени.

Получить презентацию

Защита данных на практике

Утечка информации может произойти в любой компании, даже если на первый взгляд с защитой все в порядке. Чтобы снизить риски, нужно сочетать организационные меры, строгий контроль доступа и мониторинг каналов передачи данных. Отслеживать пути коммуникаций и действия сотрудников поможет DLP-система Solar Dozor. Она позволит не только обнаруживать нарушения в моменте, но и прогнозировать их.

Познакомьтесь с модулями системы и узнайте, как они могут быть полезны вашей компании

Узнать больше

Часто задаваемые вопросы