Как остановить «шпионов», сливающих данные компании: 3 совета

Количество кибератак на российский бизнес и госструктуры в прошлом году выросло почти в два раза, говорится в статистическом отчете МИД России. Хотя в медиа чаще всего причинами называли атаки из-за рубежа, все же более реальную угрозу несут внутренние утечки. И если жертвами атак хактивистов становятся большие и известные компании, действия инсайдеров угрожают бизнесу любого размера. Инсайдеры – это сотрудники, которые продают конфиденциальную информацию компании, чаще всего клиентские данные. Некоторые делают это в знак протеста, некоторые зарабатывают на продаже личных данных.

По подсчетам InfoWatch, 96% всех утечек за первое полугодие 2022 года были неслучайны. Две трети из них слили изнутри. Из-за таких инцидентов страдает и репутация компании, и финансовые показатели.

В 7 из 10 случаев сливов данных виноваты сотрудники

Количество утечек может увеличиться – внешнеполитическая ситуация остается нестабильной, и спрос на инсайдерскую информацию становится больше.

В России участились случаи утечек личных данных клиентов – всего за 2022 год слили порядка 300 млн записей. По оценке Минцифры, доля утечек персональных данных и конфиденциальной информации из-за умышленных или неумышленных действий сотрудников достигает 70%. Не исключено, что зачастую причиной становится политическая позиция сотрудника. К примеру, в январе в сеть попал исходный код сервисов «Яндекса». В архиве все файлы были датированы 24 февраля 2022 года – вполне вероятно, что это был своеобразный личный протест против событий.

Инсайдерами могут стать и проверенные временем сотрудники. В нашей практике был кейс, когда логист транспортной компании после многолетней работы на фирму отправил конкурентам клиентские данные и информацию о заказах. После этого, скопировав на флешку базу клиентов, удалил ее с сервера.

Как защититься от инсайдеров

Эксперты уверены, что в этом году киберзлоумышленники станут активнее и придумают новые способы атаковать корпоративные сети. В 2023 году в зоне риска все коммерческие компании, которые не внимательны к информационной безопасности. Как обезопасить бизнес?

1. Введите режим коммерческой тайны и NDA

Наверняка, вы подписываете NDA (договор о неразглашении) с новыми сотрудниками, однако если в компании не введен режим коммерческой тайны, то при утечке данных суд не примет во внимание договор и вполне может принять сторону работника. В документе необходимо строго определить перечень объектов коммерческой тайны, перечислить способ передачи информации, ее объем, также перечисляется ответственность сторон, сроки действия и реквизиты.

2. Внедрите DLP-систему

Чаще всего ценную коммерческую информацию крадут одним из трех способов:

  • Копируют на внешние носители.
  • Отправляют по почте / в соцсетях / мессендерах.
  • Фотографируют экран монитора/ делают скриншот.

Чтобы предотвратить слив данных одним из этих способов, компании устанавливают DLP-систему – программу, которая позволяет контролировать каналы передачи данных, выявлять и предотвращать утечки критичной информации.

Система мониторинга разворачивается на корпоративном сервере и компьютерах сотрудников. Программа анализирует всю информацию, которая передается между устройствами в корпоративной сети.

Служба безопасности (СБ) может задать «опасные» слова, которые работники могут использовать в переписке, аудио-сообщениях или даже на видео-встречах. Кроме этого, СБ может запретить использовать флешки и поставить метки на документы с коммерческой тайной. Некоторые сервисы выявляют запрещенное действие, совершенное сотрудником, и мгновенно отправляют уведомление СБ. Это предупреждает копирование конфиденциальной информации на съемные носители, а также ее пересылку по почте, в соцсетях и мессенджерах.

Порядка 10-15% информации, выставленной на продажу в даркнете, была сфотографирована с рабочего экрана – это сложно отследить с помощью стандартных систем, а использование обычного видеонаблюдения не дает возможности пресечь кражу и обеспечить надежные доказательства ответственности инсайдера за фотосъемку экрана с корпоративными данными.

3. Сократите количество сотрудников с доступом к конфиденциальной информации

Определите минимальное количество сотрудников, которым необходим доступ к корпоративной информации. В идеале каждому специалисту выдавать только ту часть данных, которая понадобится ему для работы. Также можно провести обучение по информационной гигиене и утечкам информации, где рассказать о последствиях подобных инцидентов для предприятия, а также для каждого сотрудника.

Выводы

Несмотря на угрозы инсайдерства, существуют и способы их предотвращения. Пока в России нет серьезного наказания за слив персональных данных, инсайдеров ответственностью не напугать. Единственный надежный способ от них защититься – выстроить свою корпоративную защиту самостоятельно.

Внутренние угрозы несут огромные риски для компаний, но с помощью правильных мер и политик информационной безопасности можно снизить вероятность их возникновения до абсолютного минимума.

Также читайте:

Расскажите коллегам:
Комментарии
Researcher, Москва

Все равно будут утечки -- хоть NDA, хоть DLT.
План продаж -- это сугубо коммерческая информация.
Бюджет компании -- то же самое.
Но это рабочие инструменты компании, с которыми работает офис. Тут ничего не ограничишь.

Мое личное мнение -- нужно выстраивать бизнес-процессы компании так, чтобы бизнес был мнее чувствителен к know what в пользу know how.
Другими словами -- если вы закупаете в Китае какой-то продукт и тупо продаете его в РФ. То здесь бизнес чрезвычайно чувствителен к know what -- весь он строится на знании поставщика и закупочной цены. И легко клонируется при наличии этих знаний.
А, когда ваш продукт заметно сложнее и, например, компилируется из суб-продуктов от разных поставщиков. И ему сопутствует продвижение сугубо в каналах его нишевой ЦА. Да плюс ему сопутствует глубокая экспертиза специалистов компании, которые активно консультируют покупателей. То в этом случае уже будет недостаточно просто купить и привезти, и чуть провалиться по цене. Нужно будет воспроизвести часть процессов компании -- а это существенно сложнее и дороже.

Если кратко.
Чтобы творить как Микеланджело -- нужно жить как Микеланджело.
А чем проще продукт -- тем уязвимей бизнес к шпионажу.
Бизнесы с большим количеством эмпирической информации, которые выстраиваются годами -- практически не чувствительны к шпионажу. Они чувствительны к потере людей, которые выступают носителями и генераторами know how -- но это уже совсем другая история.

Генеральный директор, Москва

Выполнение п.1 сознательное воровство информации не остановит.

Детали практической реализации п.2 можно и нужно обсуждать. Хотя - на первый взгляд - это влияет только на цену.

Что касается п.3, то это просто правила гигиены. Сотрудник должен иметь доступ только к той информации, которая необходима именно ему и только для выполнения им своих должностных обязанностей.

Автор в какой-то момент начал говорить об утечке персональных данных, хотя с другими категориями корпоративной информации это может быть не связано.  Неизбежное зло массовой цифровизации и слабой защищенности большинства систем и приложений.

 

 

Исполнительный директор, Москва

К сожалению, большинство бизнесов уязвимы к шпионажу и утечкам данных. Вдобавок ко всему, утечка не всегда подразумевает «копирование» бизнес-процессов, но всегда опасна репутационными рисками, что чревато снижением лояльности со стороны клиентов, падением продаж и оборотными штрафами в перспективе. 

Сергей Средний пишет:

Все равно будут утечки -- хоть NDA, хоть DLT.
План продаж -- это сугубо коммерческая информация.
Бюджет компании -- то же самое.
Но это рабочие инструменты компании, с которыми работает офис. Тут ничего не ограничишь.

Мое личное мнение -- нужно выстраивать бизнес-процессы компании так, чтобы бизнес был мнее чувствителен к know what в пользу know how.
Другими словами -- если вы закупаете в Китае какой-то продукт и тупо продаете его в РФ. То здесь бизнес чрезвычайно чувствителен к know what -- весь он строится на знании поставщика и закупочной цены. И легко клонируется при наличии этих знаний.
А, когда ваш продукт заметно сложнее и, например, компилируется из суб-продуктов от разных поставщиков. И ему сопутствует продвижение сугубо в каналах его нишевой ЦА. Да плюс ему сопутствует глубокая экспертиза специалистов компании, которые активно консультируют покупателей. То в этом случае уже будет недостаточно просто купить и привезти, и чуть провалиться по цене. Нужно будет воспроизвести часть процессов компании -- а это существенно сложнее и дороже.

Если кратко.
Чтобы творить как Микеланджело -- нужно жить как Микеланджело.
А чем проще продукт -- тем уязвимей бизнес к шпионажу.
Бизнесы с большим количеством эмпирической информации, которые выстраиваются годами -- практически не чувствительны к шпионажу. Они чувствительны к потере людей, которые выступают носителями и генераторами know how -- но это уже совсем другая история.

 

Исполнительный директор, Москва
Евгений Равич пишет:

Выполнение п.1 сознательное воровство информации не остановит.

Детали практической реализации п.2 можно и нужно обсуждать. Хотя - на первый взгляд - это влияет только на цену.

Что касается п.3, то это просто правила гигиены. Сотрудник должен иметь доступ только к той информации, которая необходима именно ему и только для выполнения им своих должностных обязанностей.

Автор в какой-то момент начал говорить об утечке персональных данных, хотя с другими категориями корпоративной информации это может быть не связано.  Неизбежное зло массовой цифровизации и слабой защищенности большинства систем и приложений.

 

 

Персональные данные - это часть корпоративной информации, за сохранность которой компания несет ответственность. Что касается NDA и режима коммерческой тайны, разумеется, они, как и другие инструменты, не могут гарантировать 100% защиту от воровства, но значительно снижают риски необдуманных поступков со стороны сотрудников и, в случае инцидента, помогут защитить компанию при судебных разбирательства

Генеральный директор, Москва
Александр Канатов пишет:
Евгений Равич пишет:

Выполнение п.1 сознательное воровство информации не остановит.

Детали практической реализации п.2 можно и нужно обсуждать. Хотя - на первый взгляд - это влияет только на цену.

Что касается п.3, то это просто правила гигиены. Сотрудник должен иметь доступ только к той информации, которая необходима именно ему и только для выполнения им своих должностных обязанностей.

Автор в какой-то момент начал говорить об утечке персональных данных, хотя с другими категориями корпоративной информации это может быть не связано.  Неизбежное зло массовой цифровизации и слабой защищенности большинства систем и приложений.

Персональные данные - это часть корпоративной информации, за сохранность которой компания несет ответственность. Что касается NDA и режима коммерческой тайны, разумеется, они, как и другие инструменты, не могут гарантировать 100% защиту от воровства, но значительно снижают риски необдуманных поступков со стороны сотрудников и, в случае инцидента, помогут защитить компанию при судебных разбирательства

Если мы говорим, например, о воровстве корпоративной информации и её продаже или передаче третьей стороне (всё нужно доказать), то это вполне сознательный и вполне обдуманный поступок. Возможны варианты, включая внешние атаки и разнообразные технические проблемы.

Ответственность компании и её должностных лиц регулируется законодательно. Суд будет руководствоваться именно этим.

Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
В 70% компаний в 2024 году выросли заработные платы

Однако 55% работников недовольны своими доходами.

В США стали давать отпуск по уходу за домашними животными

Такой отпуск можно использовать для приучения животного к туалету, адаптации в новом доме или визита к ветеринару.

В России растет число увольнений по собственному желанию

Доля россиян, уволившихся по собственному желанию, достигла максимальной отметки за последние десять лет.

Forbes назвал лучших работодателей России

В список вошли 167 компаний, которые разделили на четыре группы: «платина», «золото», «серебро» и «бронза».