Защита данных банковских карт
Узнать большеМировые экономические потери из-за деятельности киберпреступников растут с каждым годом. Львиную долю финансовых потерь бизнес несет из-за недостаточно эффективной защиты от утечки данных, составляющих коммерческую тайну или сведения, предназначенные для служебного пользования.
Защиту информации, основные понятия и термины в этой сфере в России регламентирует ГОСТ Р 53114-2008. Документ называет утечку сведений неконтролируемым распространением охраняемых данных при их разглашении, получения неразрешенного доступа.
Проблема контроля ценной информации стоит перед компаниями любого уровня – от мегакорпораций с многомиллионными доходами до малого бизнеса. Своевременное получение нужных сведений, в том числе незаконным путем, поможет получить преимущества в конкурентной борьбе, нанести имущественный или репутационный вред конкретной компании, предприятию или государственной организации.
Даная статья рассказывает о причинах утечки сведений, их видах, способах противодействия, а также о том, как вести себя в случаях, когда защищенная информация все же попала в руки третьих лиц.
Причины информационных потерь
Утечка данных происходит под влиянием двух основных факторов: человеческого и технического. В первом случае она может быть умышленной или непреднамеренной, во втором чаще всего связана со сбоями в работе программного аппаратного информационного комплекса или уязвимостями программного обеспечения (полным отсутствием такой защиты).
Действия или бездействие персонала
Незнание или несоблюдение сотрудниками регламентов информационной безопасности основная причина, по которой защита от утечек информации равна нулю. Высокая загруженность вынуждает работников брать работу «на дом», перемещая файлы на флэш-накопители или в облачные сервисы, делая снимки бумажных документов на смартфон, отправляя сведения по незащищенным каналам связи (электронная почта, популярные менеджеры или соц. сети). Информация может быть разглашена в ходе неформальных бесед со знакомыми сотрудниками компаний-конкурентов.
Умышленное создание условий для утечки или прямое хищение данных происходит по разным мотивам – от финансовой заинтересованности до мести руководству за наказание, увольнение и т.п. Так, из-за недостаточного контроля за несанкционированным доступом на территорию или в здание может проникнуть посторонний нанятый злоумышленник или экс-сотрудник, чтобы похитить накопители, компьютерную технику с информацией.
Командированные сотрудники берут в поездку корпоративные или личные ноутбуки, планшеты, флэш-карты, которые могут быть похищены или оставлены в гостинице, такси, общественном транспорте.
Еще одним фактором, негативно влияющим на информационную безопасность, называют кадровые проблемы. Высокая текучесть кадров из-за низких зарплат, высокой нагрузки, минимальных требований к соискателям позволяет посторонним лицам легко проникнуть в административный или производственный сектор компании, предприятия, завладеть средствами легального доступа к коммерческим или служебным данным.
Средства программного и/или технического контроля утечек информации
По представлению немалой части руководителей бизнеса и государственных организаций меры защиты информации сводятся к установке антивирусного ПО и доступа через логин/пароль. Приемлемый уровень информационной безопасности получают комбинированием программ и оборудования в виде многоступенчатого барьера. Однако есть ряд причин, по которым контроль утечек информации оказывается малоэффективным.
– Сбои в работе ПО. Ошибки в работе программного обеспечения – брешь в обороне информационной безопасности, которую активно используют злоумышленники. Уязвимости есть как у недорогого ПО, так и у сервисов всемирно известных брендов.
– Неисправности корпоративных ПК, ноутбуков, видеокамер, серверов. Физические элементы хранения и обмена информацией, отслужившие свой срок или не получающие своевременных обновлений драйверов, усложняют работу службы безопасности компании.
– Технические каналы передачи данных. Обмен информацией между сотрудниками, отделами компании через письма бесплатных почтовых сервисов – наименьшая из проблем. Конкурент или случайный злоумышленник может перехватить данные при помощи незаконного ПО, которыми обмениваются подразделения, филиалы организации. От таких потерь не спасают многие DLP-системы (Data Leak Prevention – англ., защита от утечки данных) из-за однобокого подхода к анализу сведений, основанных лишь на основе поведения человека, работающего со стационарным ПК или мобильным устройством.
Почему важно защищать информацию от утечки
Своевременное предотвращение утечки данных повысит доверие со стороны персонала, клиентов, проверяющих органов, уменьшит или полностью нивелирует не предусмотренный бюджетом расход средств. Но как думает владелец компании с оборотом, например, до 20 000 000−30 000 000 рублей? «Мое маленькое дело никому не интересно». Спешим вас заверить: многим это может быть очень интересно – от бывших сотрудников, уволенных за неблаговидные проступки до конкурентов, которым мешает развиваться качественная продукция или услуга.
Рассмотрим конкретные примеры. Конкурент взломал вашу CRM и получил доступ к e-mail адресам покупателей. Теперь вместо рассылки сведений об изменении модельного ряда обуви или одежды каждый клиент получит новое коммерческое предложение, а нечистый на руку конкурент расширит покупательскую базу.
Для обеспечения нормальной деятельности государственные, финансовые организации собирают сведения граждан, относящиеся к конфиденциальной информации. ФИО, адрес, паспортные данные, место работы – неполный перечень сведений, за неправомерное разглашение или недостаточно надежное хранение которых законодательством РФ предусмотрена административная и уголовная ответственность.
Зона риска
Непреднамеренная потеря конфиденциальных сведений или умышленная кража данных грозит большими финансовыми и репутационными потерями для предприятий, компаний, организаций независимо от формы собственности. В зоне риска находятся:
-
индивидуальные предприниматели;
-
интернет-магазины;
-
предприятия-изготовители продовольственной продукции, непродовольственных товаров (стройматериалов, узлов, агрегатов, механизмов и т.п.);
-
поставщики сырья;
-
государственные ведомства, министерства;
-
медицинские учреждения;
-
ВУЗы, школы, лицеи;
-
другие компании, которые используют собственные наработки, аккумулируют конфиденциальные сведения граждан.
При своевременном предотвращении утечки данных владелец бизнеса повысит доверие со стороны персонала, клиентов, проверяющих органов, уменьшит или полностью нивелирует не предусмотренный бюджетом расход средств.
Методы контроля утечек информации
Введение политики информационной безопасности. Каждый сотрудник подписывает договор об индивидуальной материальной ответственности и NDA (Non-disclosure agreement – англ., договор о неразглашении). Отдел HR, кадровая служба или специалист по персоналу под роспись ознакомляет каждого работника с регламентом соблюдения коммерческой тайны.
Разделение служебной информации на несколько уровней. При этом рядовой менеджер, инженер получают только те данные, которые нужны для непосредственного исполнения обязанностей.
Установка вспомогательных технических систем. Камеры видеонаблюдения в кабинетах административного, исследовательского отделов, цехах помогут выявить недобросовестных сотрудников на стадии подготовки к передаче инсайдерской информации. СКУД (системы контроля и управления доступом) – достаточно надежный барьер для недопуска в здание посторонних лиц.
Использование криптографических систем. Информация, помещенная в криптоконтейнер на жестком диске компьютера или флэш-накопителе, становится доступной только на определенном устройстве с ключом для расшифровки.
Покупка, установка, настройка контролирующего ПО. DLP-системы с функциями контроля работы персонала помогают своевременно выявить инсайдера на основе анализа поведенческих факторов. Так, если специалист часто задерживается на рабочем месте без предварительного согласования с руководством, копирует большие объемы данных, чем это необходимо для выполнения задач – это уже часть «тревожных звонков» для службы безопасности компании. Так же для проверки и обеспечения безопасности возможно использование других методов защиты, соответствующих законодательству РФ.
Произошла утечка. Что делать?
В большинстве случаев о потере сведений, составляющих коммерческую тайну или личных данных, собственник узнает спустя некоторое время после инцидента. Если с сотрудником, допустившим утрату данных, заключен договор о неразглашении, следует подать в суд. К исковому заявлению прилагают:
-
записи камер видеонаблюдения;
-
логи и отчеты DLP-системы;
-
объяснения фигуранта;
-
публикации СМИ или других общедоступных источников, другие данные, которые потребует предоставить суд.
Справедливости ради следует отметить, что такие временные и материальные издержки для восстановления своих прав чаще всего позволяют себе крупные корпорации со штатом юристов. Если меры предосторожности не были предприняты заранее, единственный возможный алгоритм действий выглядит так:
-
смириться с потерей;
-
выполнить пункты из предыдущего раздела, чтобы не совершать похожих ошибок.
Выводы
Защита от утечек данных – не прихоть и не пустая рекомендация специалистов по ИБ. Вовремя полученные сведения способны предоставить как преимущество конкуренту, так и массу неудобств работодателю и сотрудникам. Расходы на судебные издержки, восстановление информации на накопителях, наработка новой базы клиентов обойдутся гораздо дороже, чем покупка специализированного ПО и систем охраны.