Защита от утечки информации: поиск и предотвращение

Защита от утечки информации: поиск и предотвращение

Успех многих компаний зависит от сохранности и целостности данных: персональной информации сотрудников и клиентов, стратегических планов, других сведений, составляющих коммерческую тайну. С развитием технологий компании сталкиваются с новыми рисками и угрозами, которые могут привести к репутационным и финансовым потерям. В статье разберёмся, почему защита от утечки информации одинаково важна для малого и крупного бизнеса. Расскажем, как предотвратить несанкционированный доступ к данным, что делать, если произошла утечка.

Почему необходима защита от утечки информации

Утечка информации — это процесс, при котором конфиденциальные данные организации выходят за пределы её границ и становятся доступны третьим лицам. Бывает случайной и умышленной, направленной на получение выгоды. Украденная информация может содержать сведения о клиентах, пароли от онлайн-сервисов, паспортные данные, интеллектуальную собственность.

Опыт показывает, что большинство владельцев малого бизнеса не видят необходимости в дополнительной защите корпоративных сведений. Считают достаточными мерами подписание договора с сотрудниками, установление паролей на электронную почту и CRM. К сожалению, этих мер недостаточно, чтобы предотвратить хищение данных и избежать таких последствий, как:

Репутационный ущерб, потеря лояльных клиентов. Часто используемый сценарий кражи информации — взлом CRM и получение доступа к базе данных клиентов. Затем злоумышленники делают сайт, как две капли воды похожий на ваш, и рассылают письма с выгодным предложением. Люди переходят по ссылке, оплачивают товары или услуги, уверенные, что оплата поступит вам. В итоге мошенники получают прибыль, клиенты теряют деньги, а вы — клиентов и репутацию.

Финансовые потери, упущенная выгода. Конкуренты, завладевшие разработками компании, могут на их основе выпустить собственный продукт. Такая утечка информации грозит убытками, иногда приводит к закрытию бизнеса.

Судебные иски со стороны клиентов из-за раскрытия их персональных данных. За последние пять лет в России было много громких утечек информации: в открытый доступ попали сведения о пользователях «Яндекс.Еды», абонентах «Билайн», злоумышленники продавали базы с данными клиентов языковой школы SkyEng, «Альфа-Банка», банка ОТП, московских автовладельцев. Люди обращались в суд, чтобы получить компенсацию за утечку данных, и выигрывали.

Как предотвратить утечку информации

Важно! Часто утечка происходит по вине сотрудников компаний. Работники воруют информацию, когда снижается их доход, пропадает уверенность в завтрашнем дне. Некоторые работники копируют базу данных клиентов или другие сведения при увольнении.

Существует несколько способов предотвращения внутренней утечки информации.

Разделение доступа. Самый простой способ обезопасить данные — настроить права доступа и давать сотрудникам доступ только к необходимым для работы базам и программам. Например, настроить в CRM уровни доступа к документации, менеджеру дать контакты клиентов, с которыми он взаимодействует.

Мониторинг действий персонала. Можно установить систему видеонаблюдения, записывать разговоры по служебному телефону. Наиболее информативным способом контроля является установка комплексных систем наблюдения на рабочий компьютер сотрудника. Например, Staffcop, Kickidler, Инсайдер. Вы сможете контролировать все действия на ПК: отслеживать нажатие клавиш, работу с файлами, посещение сайтов, получать информацию обо всех нарушениях безопасности.

Установка DLP-системы. DLP-система — это специальное программное обеспечение, с помощью которого можно выявлять и предотвращать попытки кражи конфиденциальной информации. На корпоративный сервер и рабочие компьютеры устанавливается программа, которая в реальном времени проверяет все выполняемые операции, блокируя подозрительные.

Мотивация. Выстройте систему мотивации. Поощрения показывают работникам ценность их труда для компании, повышают чувство значимости. В результате сотрудники лояльно настроены к компании, замотивированы на ответственное выполнение служебных обязанностей. Мотивацией может быть денежное поощрение, улучшение условий труда, дополнительные дни отдыха, удобное парковочное место.

Введение корпоративных аккаунтов. Для решения рабочих вопросов используйте корпоративные каналы связи: почтовые аккаунты, мессенджеры, при работе с программным обеспечением — персональные аккаунты. Доступ к этим каналам связи должен быть только у действующих сотрудников, в момент увольнения работника его доступы следует удалять.

Обучение сотрудников IT-культуре. Большинство компаний не обучают персонал IT-культуре, ограничиваясь подписанием соглашения о неразглашении персональных данных, коммерческой тайны. Это приводит к потере данных по незнанию сотрудников. Объясняйте работникам важность кибер-безопасности, проводите семинары самостоятельно или силами приглашённых специалистов.

Важно! Перечисленные способы лучше использовать комплексно. Например, наладить мотивацию, установить на ПК комплексную систему наблюдения, использовать корпоративные каналы связи.

Защитить информацию от внешних угроз помогут:

Двухфакторная аутентификация на корпоративной почте, CRM-системах. Двухфакторная аутентификация — это вход в систему по паролю и дополнительному способу идентификации, например, одноразовому коду из SMS, отпечатку пальца.

Хороший антивирус. Установите антивирусную защиту на офисные компьютеры, она перехватит вирусы, крадущие логины, пароли, данные банковских карт.

Уничтожение ненужных документов. Удаляйте с компьютера и серверов ненужные файлы. Для бумажных документов используйте шредер. Собрать разрезанный на тонкие полосы документ сложнее, чем достать листок из мусорки.

Шифрование данных. Можно шифровать отдельные документы, файловую систему. Это особенно актуально для ноутбуков: если сотрудник забудет ноутбук в гостинице или кафе, без специальных ключей доступа никто не сможет прочитать зашифрованные данные.

Сложные пароли. Одно из простых решений, которое часто игнорируют. Пароли только из цифр или букв в одном регистре легко подобрать. Мы рекомендуем использовать сложные пароли: с буквами из разных регистров, цифрами, знаками препинания, специальными символами. И не сохраняйте пароли в браузере! Это небезопасно.

Средства защиты от утечки информации

Для борьбы с хищением конфиденциальной информации используются DLP-системы (Data Leak Prevention — предотвращение утечек данных). Они контролируют передачу файлов по различным каналам, анализируют исходящий и входящий трафик, отслеживают работу сотрудников. С помощью DLP системы можно обнаружить слабые места в цифровой безопасности до наступления инцидента.

Важно! Система мониторит рабочий процесс, не затрагивая личную жизнь работника, поэтому установка DLP не противоречит российскому законодательству.

Множество инструментов для мониторинга рабочего процесса позволяет выбрать лучший вариант для вашего бюджета и потребностей. Например:

• Solar Dozor — первая российская DLP-система. Блокирует передачу конфиденциальной информации, анализирует поведение пользователей, помогает предотвращать инциденты безопасности. Собранные сведения хранятся в долгосрочном архиве.
• Staffcop — российский продукт для контроля продуктивности и эффективности сотрудников, защиты корпоративных данных. Предотвращает внешние атаки, мониторит действия персонала на ПК, фиксирует действия с файлами, принтерную печать. Подходит организациям государственного сектора, средним и крупным компаниям.
• SecureTower — DLP-система с функциями наблюдения за активностью сотрудников. Помогает защищать корпоративную информацию, анализирует содержание текстовых файлов, аудиозаписей, изображений.

Что делать, если утечка уже произошла

Постарайтесь определить канал утечки. Проверьте, прекратились ли атаки на сервер, покинул ли злоумышленник периметр, отследите последние действия персонала.

Оцените масштаб утечки. Проанализируйте, какие сведения могли попасть в руки злоумышленников: база клиентов, финансовый план, коммерческие предложения.

Сообщите в Роскомнадзор об утечке данных. С 1 сентября 2022 года работодатель обязан это делать, если украденные сведения содержали персональные данные сотрудников или клиентов. Расскажите, какие меры приняты компанией, кто будет взаимодействовать с ведомством по этому вопросу (п. 1 ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Расследуйте утечку. Без специализированных программ определить канал утечки практически невозможно. Ситуация осложняется, если в компании беспорядок с данными, не ведётся журнал взаимодействия с базами, нет корпоративных аккаунтов для каждого сотрудника. Поэтому рекомендуем задуматься об информационной безопасности как можно раньше, пока база данных ваших клиентов не утекла в интернет и репутации компании ничего не угрожает.