На правах рекламы.
Андрей Заикин, руководитель направления информационной безопасности КРОК
Если верить статистике, большинство компаний сталкиваются с утечкой корпоративных данных. Чаще всего от них страдают финансовые и торговые предприятия, а также госсектор. Ситуация безусловно усугубляется и кризисом: по данным исследования InfoWatch, за последний год количество инцидентов по краже корпоративной информации в России выросло на 73%.
Что характерно, в большинстве случаев виновниками являются именно сотрудники компаний, а не внешние злоумышленники. Возможности инсайдеров в плане получения той самой закрытой информации намного превосходят возможности внешних злоумышленников, взламывающих IT-системы и сети.
Поэтому перед руководством организаций встает вопрос – как защитить корпоративную информацию, но при этом не сковать деятельность компании организационными проверками и ограничениями. Я остановлюсь на тех решениях, которые помогут сохранить комфортный режим работы компании и предотвратить случаи утечки данных. Применить их выгоднее, чем бороться с последствиями внутреннего мошенничества.
Способов предотвращения утечек несколько:
- мониторинг каналов передачи данных с помощью DLP (Data Loss/Leakage Prevention)
- контроль передаваемого содержимого с помощью IRM (Information Rights Managemet)
- разграничение прав доступа пользователей к IТ-ресурсам компании (а также автоматизация процесса согласования и выдачи этих прав)
Для осуществления контроля за всеми основными каналами обмена информацией в организации, включая электронную почту, Интернет и соцсети, съемные носители и другие средства связи, используются системы класса DLP (Data Loss/Leakage Prevention). Они предназначены прежде всего от защиты от случайной передачи конфиденциальной информации за периметр. С их помощью службы безопасности могут обеспечить защиту от случайного, а зачастую и намеренного распространения конфиденциальной информации самими сотрудниками, которые имеют доступ к ней в силу своих должностных обязанностей.
Например, в одной финансовой организации мы внедрили как раз такую систему для централизованного сбора и контроля действий пользователей, а также обнаружения нарушений политики безопасности компании. Руководство получает своевременные отчеты по инцидентам, кроме того, формируется особая «база знаний» для предотвращения повторных случаев.
DLP не позволит сотрудникам распечатать конфиденциальный документ, сохранить его на флэшку или переслать по электронной почте, но при этом с ним можно работать. Если файл все же надо переслать внешним контрагентам, поможет решение класса IRM (Information Rights Managemet).
IRM позволяет открыть доступ к конфиденциальным документам строго определенным адресатам на ограниченное время. При этом никто кроме получателя просмотреть файл не сможет.
Кликните на картинку, чтобы посмотреть в крупном размере.
Внутри КРОК мы также пользуемся этим инструментом для защиты файлов, выгружаемых из определенных систем. Открыть такой защищенный контейнер можно только на устройстве с правами, выданными сервером IRM. Например, такие права получают сотрудники компании в командировках. Также IRM используют управленческие департаменты для распространения конфиденциальной информации на определенные категории сотрудников внутри компании.
Автоматизировать процесс согласования и предоставления прав к документам или приложениям и их функционалу могут IAM-системы (Identity & Access Management). То есть, можно сделать так, чтобы конфиденциальная аналитическая информация была доступна только директору по аналитике, а, например, финансовые документы только главному бухгалтеру.
Например, у нас был проект в одной территориально-распределенной добывающей компании с 10 тыс. человек в штате. Внедрение IAM-системы позволило устранить несоответствие между учетными записями и кадровой базой, и теперь заказчик легко восстанавливает цепочку согласования прав доступа сотрудников к корпоративным системам.
Конечно, технические средства безопасности способны значительно повысить уровень защиты от утечки конфиденциальных данных, но не стоит забывать и об организации дополнительных мероприятий для сотрудников, как, например, обучения, создание и поддержание корпоративной культуры информационной безопасности и так далее.