Говорим о работе, делимся советами, разбираем ошибки

Как сохранить в безопасности корпоративную информацию




Кто владеет информацией, тот владеет миром», так братья Ротшильды объясняли свой стремительный финансовый успех. Владеть, в данном случае, не только – получать нужную информацию. Это еще и уметь ее сохранить. В видовой и конкурентной борьбе побеждает тот, кто может защитить свою информацию на максимально долгое время. Нынче «снять» данные можно с практически любого устройства, без малейшего согласия владельца. И по статистике, чаще всего конфиденциальные данные (и людей, и компаний) «утекают» через веб-сервисы (21,9% случаев), и чуть реже - из мобильных компьютеров и планшетов (14,1%). Такие данные за 2015 предоставляет компания Zecurion Analytics, один из ведущих независимых аналитических центров по исследованиям в области информационной безопасности и защиты данных от утечек.

Согласно тому же отчету, постепенно уменьшается доля хакерских атак на частных пользователей, и растет число атак на корпорации. Это не повод расслабиться обычному человеку: частные данные конкретных людей (адреса, пароли, детали интимной переписки) могут быть «слиты» вследствие глобального «хака» компании-работодателя. Среди типов «вынимаемой» информации лидируют персональные данные типа паролей и паспортных данных (показатель превышает 58%), но в 2015 году почти в 2 раза выросла доля финансовых данных физлиц (превысила 19% от всех инцидентов). То есть - чем ценнее, важнее и серьезнее компания-работодатель, тем выше риски взлома. Хотя, конечно, серьезные компании имеют и серьезную защиту своих данных. Базы данных защищаются от копирования, разбиваются на части, кодируются и так далее. И все равно информацию крадут, перекупают, копируют. Потому что, как показывает практика, чаще всего наибольшую угрозу для корпоративных данных представляют сами сотрудники.

Во что обходится беспечность
Многие люди «сливают» информацию ненамеренно, по незнанию или небрежности – так называемые случайные утечки информации составляют 40% от всего статистического массива. Вдумайтесь: более 60% служащих забирают важные корпоративные данные домой, а 41% сообщают коллегам свои пароли от рабочих аккаунтов. Наконец, важные документы не уничтожаются, а выбрасываются в мусорку – статистика Zecuricon Analytics говорит, что 72% сотрудников поступают так с бумажными документами!

«Да, больше половины не задумывается об этом; похожие данные мы не раз получали из обучения сотрудников нормам безопасности, - комментирует эти данные HR-консультант Светлана Малиновская. В зависимости от типа компании и ее профиля, уровень технической грамотности работников может быть разный. Но, работая совместно с ИТ-службами и «безопасниками» в обучающих проектах по работе с конфиденциальной информацией, отмечаю непонимание важности рутинных процедур по сохранению конфиденциальности. Ну, подумаешь, не вышел человек из служебного аккаунта – забыл, с кем не бывает. А если и ноутбук со служебной перепиской и незакрытыми аккаунтами он забыл где-то в баре или такси?...» Важно постоянно разъяснять сотрудникам такие моменты и контролировать их выполнение. Причем, по мнению Светланы, разъяснение формирует у сотрудника более четкое понимание конфиденциальности, чем просто запрет.

Конечно, не у всех компаний есть ресурсы и время на «профилактические» беседы. Чаще всего, у HR, ИТ и служб безопасности есть миллион других задач, и, что лукавить, «безопасники» руководствуются простым принципом «Не пущать!». Например, закрывают всем сотрудникам доступ к копированию чего бы то ни было куда бы то ни было. В моей личной практике был случай, когда приходилось генеральному директору доказывать, что дизайнеру рекламного отдела необходим доступ к ftp-серверам, файлообменникам и usb-разъемам – потому что иначе нельзя ни передать, ни получить нужные макеты. Служба безопасности смотрела на рекламистов как Дзержинский, ища подвох и вероятное желание передать конкурентам данные об акциях, но месяц спустя не нашла ничего и переключилась на кого-то другого. А спустя 3 года эта же самая СБ допустила «слив» очень важного документа из отдела маркетинга. Тогда сотрудник ушел к конкуренту, предварительно скопировав маркетинговый план на полугодие.

История о мести

Человек казался неопасным и лояльным: где надо – подписывал, куда надо – приходил, когда надо – молча слушал. Вероятно, был недоволен своим статусом, чего-то ждал, но его никто об этом не спрашивал. Один малозначительный конфликт с руководством запустил механизм адского мщения. Человек уволился, и через неделю удивленным коллегам стало известно – не с пустыми руками. Дело происходило накануне 4-го квартала – когда любой ритейлер особенно нацелен на сезонный рост продажи, и потому «слив» маркетингового плана конкуренту может стать для него фатальным.

Наш сотрудник готовился заранее, копируя детали планограмм и подробные планы еженедельных акций.  Результат труда десятков людей – коммерсантов, маркетологов, розничных специалистов – с товарными списками, ценами  и бюджетами оказался в руках прямого конкурента. В ноябре у него в ассортименте появились аналогичные товары, но по цене, ниже нашей.

С технической стороны система оказалась недостаточно защищенной. Взыскать какой-либо ущерб не удалось – это только в кино вопросы промышленного шпионажа решаются с эффектной стрельбой и падениями грузовиков с большой высоты (как в прекрасном норвежском фильме «Охотники за головами»). В нашей реальности план не был защищен как объект интеллектуальной собственности. В плане не фигурировали пометки «конфиденциально», а факты копирования не были формально подтверждены. Запланированные дважды товарные поставки, вложения в уже отпечатанные каталоги и рекламные конструкции, а также все потери во времени (за которое конкурент получил преимущество в продажах) можно было бы оценить в десятки миллионов рублей.

Как защитить свои данные?
Намеренное воровство данных сотрудниками, по данным Zecuricon Analytics, связано с самым ярким трендом 2015 – кризисом в экономике. Снижение реальных доходов, масштабные сокращения, и в целом нестабильная ситуация на рынке труда отразились на настроениях сотрудников многих компаний. Опасаясь за собственное будущее, люди принялись копировать доступную конфиденциальную информацию. Иногда, что характерно – без злого умысла, а просто на всякий случай. Мало ли.
И эту тенденцию, бесспорно, заметили и работодатели. Поэтому, вопреки всем ожиданиям, рынок DLP-систем (Data Leak Prevention – Защита данных от утечек) не только не сократился, но и вырос – потому что компании всерьез инвестируют в безопасность. Потому что сохранность информации в ускоряющемся мире – важное конкурентное преимущество. Внедрение DLP-систем – дело непростое, поскольку предполагает и вложения, и переработку документооборота (документы необходимо типизировать, чтобы впоследствии по их специфике и типу контролировать их движение). Однако, их использование упрощает работодателю и «смежные» вопросы: архивирование данных, контроль рабочего времени, отсечение нежелательной переписки и общая систематизация документооборота. Хотя понятно, что, если злоумышленнику очень нужна какая-то информация, он найдет способ обойти DLP-систему. Тем более, что DLP, как и бизнесы, бывают, разные и не к любому процессу применимые.

Мало что сможет уберечь, например, бренд – да пусть хоть, D&G, от копирования новых моделей. Здесь технологии воруют и перекупают выставках, лекала снимают с фото – качество копии зависит от степени физической близости к оригиналу. Среднее время выпуска копии в продажу на Aliexpress колеблется от нескольких часов до нескольких недель (в зависимости от сложности конечного изделия). Так, знаменитые «сочинские» олимпийские футболки с нераскрывшимся пятым кольцом появились на китайском агрегаторе через 3 дня после показа оригинального дизайна, а копии платьев с иконописными принтами от тех же D&G - спустя 2-3 недели. Такой «слив» часто невозможен без подкупа. Zecuricon Analytics сопровождает отчетные цифры таким замечанием: «Человек является наиболее уязвимым звеном в деле обеспечения информационной безопасности. Большинство атак, в том числе на крупные компании и предприятия нереализуемы без участия их сотрудников». Всегда можно найти слабое звено - сотрудника, готового за небольшую мзду дать доступ на склад, передать какие-то данные. Это слабое звено может даже не работать на вас, а быть из «смежников» - логист, типограф, сотрудник фурнитурной мастерской. Всегда можно найти того, кто жаднее других или не выплатил ипотеку. И это касается и модного дома, и гаражной мастерской.

Люди или системы?
«Правила информационной безопасности для бизнеса можно разделить на технические и административные,  – рассказывает Александр Демидов, руководитель направления арендных решений «1С-Битрикс».
Первые относятся к возможностям информационных систем, работающих в компании. Обратите внимание на сохранность данных в используемых бизнес-решениях. Выясните у вендора, как осуществляется резервное копирование. Выбирая облачный сервис, уточняйте, работает ли он по сертификату SSL и защищенному соединению HTTPS.
Полезное решение - двухфакторная аутентификация с одноразовым паролем: через SMS, приложение или другим удобным для вас способом. Это защитит от кражи логины и пароли и исключит потерю данных.
Важный для любой системы механизм - ограничение доступа для разных категорий пользователей. Если все пользователи вашей CRM имеют одинаковый уровень доступа, это может привести к утечке данных. Рядовой менеджер не должен иметь возможность сделать экспорт данных из CRM.
Со своими сотрудниками нужно подписывать договор о неразглашении конфиденциальной информации. Если, например, работник при увольнении из компании решит украсть данные, то заработает административное воздействие — наказание, штраф, суд».

>>> По теме: "Корпоративное хранилище данных в Битрикс24"

Как всегда, истинное решение – где-то посередине, и оно очень индивидуально. Компаниям необходимо защищать свои данные. Надо подписывать с работниками соглашения о нераспространении корпоративных данных, или соглашения о не-сотрудничестве с прямыми конкурентами компании в течение 1-5 лет со дня увольнения. Необходимо использовать технические возможности для блокировки нежелательной информации снаружи и внутри. DLP-системы, роботы-перлюстраторы, «песочницы». Можно перенастроить CRM так, чтобы доступ ко всему ее объему имел только начальник отдела, а менеджеры могли бы работать только в определенных вкладках. Важно прописать в бизнес-процессах информирование клиентов при увольнении менеджера. Всё это можно и нужно делать, понимая: какие-то сотрудники все равно будут неблагонадежны и, уходя, попытаются увести либо данные, либо клиентов.

HR-консультант Светлана Малиновская соглашается с выводами Zecuricon Analytics относительно человеческого фактора: «Мало набрать сотрудников, у которых нет «приводов и судимостей» - при отборе кадров нужно четко оценивать потенциал нечистоплотности человека. И постоянно мониторить психологический климат в коллективе: кто устал, недоволен, молчит, переживает – из этого сора, невыговоренных обид, надуманных подчас претензий, во внешне хороших людях просыпается желание мстить самым подлым образом. Да, «в кризис не до такой роскоши, как личностные вещи» - но чаще всего это не требует так уж много времени и сил».


Текст: Саша Фурман
Изображение: jinterwas, Flickr.com, CC BY 2.0

Лучшие статьи по теме

Комментарии