Защита финансовой информации: как избежать утечек
Узнать большеУтечка информации в государственных учреждениях – широко распространенная проблема, которая затрагивает широкий перечень организаций госсектора. Государственный сектор представляет собой совокупность предприятий и учреждений, которые находятся в государственной собственности. По разным оценкам, доля госсектора в российской экономике колеблется между 46% и 70%. Государственные учреждения обрабатывают и хранят большие объемы информации ограниченного доступа и требующие принятия защитных мер:
-
Данные, которые относятся к категории «государственная тайна» (военные и разведывательные секреты, сведения об экономической политике государства, информация о внешнеполитической деятельности и т.д.);
-
Персональные данные граждан. Правительственные учреждения (министерства, ведомства, агентства и т.д.) собирают и хранят персональные сведения о резидентах в масштабах всей страны.
Реальных примеров утечек информации в госучреждениях – масса, и этот тренд усилился в 2022 году – государственные учреждения все чаще находятся под прицелом не только внешних злоумышленников, но и внутренних инсайдеров. В связи с этим государственные организации должны обеспечивать многоуровневую модель защиты таких данных. Одним из первых эшелонов защиты должны быть средства защиты от утечек со стороны внутренних нарушителей, на долю которых приходится немалая часть зафиксированных инцидентов.
Нужно не забывать о том, что утечки бывают двух типов – неумышленные, возникают под действием факторов среды, форс-мажорных обстоятельств и умышленные, спровоцированные определенными людьми, их действиями с конкретной целью. Проведенное в 2021 году исследование «Случайные утечки информации в госорганах», показало, что свыше 90% управленцев госпредприятий видят наибольшую угрозу именно в случайных инцидентах, нежели в подготовленных заранее сливах конфиденциальных сведений. Однако, на практике доля умышленных случаев информационных утечек составляет 36,2%, в то время как самопроизвольно произошедших – всего 12,8%. Взять тот же пример с утечкой информации в медицинских учреждениях. Здесь заинтересовано немалое количество лиц из персонала компании имеющих доступ к конфиденциальным данным клиентов с целью личного обогащения.
Причины утечки информации в государственных учреждениях, виновники
На основании данных нашего исследования виновными лицами произошедших случайных утечек информации в госорганах чаще всего являются сотрудники руководящего среднего звена – 53,2% случаев инцидентов. Утечки, спровоцированные сотрудниками руководящего высшего звена, составляют лишь 10,6% случаев.
Рис. 1. Виновные лица в случайных утечках данных в государственном секторе
В качестве движущих причин умышленных утечек информации в госучреждениях выступают корыстные мотивы и злой умысел с целью получить выгоду. Согласно упомянутому выше исследованию спровоцировать случайную утечку информации могут отсутствие или поверхностные знания в области информационной безопасности – свыше 55% респондентов, перегруженность сотрудников госорганов многочисленными задачами – свыше 30% респондентов. Свыше 10% респондентов считают, что провоцируют случайные утечки информации в госорганах банальная невнимательность, обеспечивающая пресловутый человеческий фактор, негативный эффект от которого можно побороть только с помощью применения автоматизированных систем защиты информации, таких как DLP-системы.
Перечень каналов, по которым зафиксированы утечки в госсекторе
Большая часть (51,1%) неумышленных информационных инцидентов, связанных с утечками в госорганах, происходит через интернет-каналы (соцсети, файлообменники, корпоративные облака). Также довольно часто важная информация становится достоянием третьей стороны благодаря служебной электронной почте (свыше 23% инцидентов), через приложения-мессенджеры (17% инцидентов). Регулярная утечка информации в вузах – наглядный тому пример.
Рис. 2. Основные каналы разглашения данных в госсекторе
Требования законодательства и регуляторов
Учреждения госсектора обязаны выполнять требования законодательства и регуляторов в сферах информационной и экономической безопасности. Они включают требования в части профилактики коррупционных правонарушений, соблюдения принципов, требований, ограничений и запретов, накладываемых на госслужащих. Ниже приведен список главных законодательных актов, устанавливающих правила и требования работы с информацией:
- 152-ФЗ «О персональных данных»;
- 182-ФЗ «О безопасности КИИ»;
- Закон РФ N 5485-1;
- Постановление Правительства РФ №1119;
- Приказ N 21 ФСТЭК России;
- Указ Президента РФ N 188 от 6.03.1997;
Также полезная информация для государственных организаций касаемо требований и рекомендаций по защите информации и тому как предотвратить утечку информации в государственных учреждениях содержится в федеральных законах 273, 79, 44, 223. Для того чтобы исполнить требования регуляторов и не нарушить действующее законодательство организации государственного сектора должны использовать всю доступную нормативно-правовую базу и создать условия для ее исполнения в рамках организации. Соответствовать требованиям законодательства и регуляторов помогают такие средства защиты информации, как DLP-системы.
Как защитить организации государственного сектора от утечек
Первым эшелоном защиты от случайных и умышленных утечек конфиденциальной информации выступают DLP-системы Solar Dozor (Data Leakage Prevention – системы предотвращения утечек). Они осуществляют мониторинг каналов передачи конфиденциальных данных, анализируют характер коммуникаций и поведение сотрудников, умеют работать как в режиме копии трафика, так и в режиме блокировки, благодаря чему утечку чувствительной информации можно реально предотвратить. DLP-системы собирают весь объем коммуникаций в архив, который можно использовать для проведения внутренних расследований инцидентов и в качестве доказательной базы при судебных разбирательствах.
DLP-системы учитывают специфику организации, в которой они используются, «понимая» контекст коммуникаций и характер конфиденциальной информации. Например, для государственных органов – это служебные документы, приказы, конфиденциальная переписка, документы с грифами и т.д. Например, утечка информации в Школах, Вузах, Банках, Медицинских учреждениях и разглашение конфиденциальных данных об учениках или клиентах происходит из-за отсутствия контроля и общем доступе к данным среди сотрудников. Установка DLP-системы позволяет взять под контроль ситуацию с использованием данных, выявить ее нецелевое использование и обнаружить лиц, которые действуют подобным образом системно. Контроль осуществляется в автоматическом режиме, поэтому не придется глубоко вникать в происходящее. Достаточно получать отчеты, анализировать их, принимать ответные меры, тогда утечка информации в государственных учреждениях не будет столь массовым явлением.