Уже не секрет фирмы

Ваши сотрудники – умышленно или случайно – сливают информацию. Передача секретных документов третьим лицам, среди которых могут оказаться прямые конкуренты, происходит в каждой российской организации. Рынок информационной безопасности пестрит системами защиты конфиденциальных данных. Насколько эффективны эти инструменты, E-xecutive выяснил у эксперта.

Утечки конфиденциальной корпоративной информации – головная боль для многих компаний. Ущерб измеряется в валюте – в 2010 году российский бизнес лишился порядка $200 млн. И это не предел: эксперты отмечают ежегодный рост потерь. Ситуацию усугубляет закон «О персональных данных», который вступил в силу с 1 июня 2011 года и фактически вынуждает руководителей компаний защищать персональные данные, в том числе путем внедрения специальных систем безопасности. Игнорирование «указаний свыше» также встанет организациям в копеечку: Роскомнадзор обещает раздать всем провинившимся по невкусной конфете. Максимальный штраф за несоблюдение закона – 500 тыс. руб. В отдельных случаях предусмотрена даже уголовная ответственность. Как избежать утечек данных и незапланированных финансовых потерь? С этим вопросом E-xecutive обратился к техническому консультанту Symantec – Олегу Головенко.

Кто выносит сор из избы?

Сегодня организация сама определяет, что считается конфиденциальной информацией. В первую очередь, это персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), а потом уже внутрикорпоративная информация: закрытые данные о слияниях и поглощениях, финансовые отчеты – все то, что не должны видеть конкуренты. Отдельным пластом выделяется интеллектуальная собственность: чертежи, дизайн-проекты, формулы, исходные коды.

Закон «О персональных данных» обязывает все организации, независимо от размера и формы собственности, защищать этот тип информации, но не предусматривает, какими средствами нужно это делать.

Олег Головенко поделился результатами исследования Symantec «Как утекают секретные мегабайты», в котором приняли участие российские компании. «Полученные данные в целом коррелируют с общемировой статистикой. Хотя некоторые западные исследования дают нам дополнительную информацию – ранее считалось, что интерес к защите корпоративной информации проявляют, в первую очередь, финансовые организации. Но сегодня банки находятся на втором месте. На первом – относительно небольшие компании, занимающиеся розничной продажей. Но в целом, у всех свои причины обращать внимание на эту проблему».

Подобное исследование проводилось в США, где общая картина по утечкам данных напоминает российскую. В целом, причины потери конфиденциальной информации одинаковые – нерадивость и злой умысел сотрудников компании. «В том, что они выносят корпоративные данные за пределы офисов, признались 70% респондентов – как российских, так и американских, – заявляет Олег Головенко. – Но реальная цифра определенно выше: разглашать информацию о своей причастности к утечкам многие все-таки боятся».

Респонденты (40%) признались: они крадут информацию с целью получения дополнительного заработка – продать конкурентам, оставить себе и заработать самостоятельно или унести в новую компанию. На случайные потери приходится 50%. Олег Головенко: «Сотрудник может отправить по ошибке конфиденциальную информацию по электронной почте не тому адресату. Или записать данные на флеш-накопитель, унести домой и сохранить на домашнем компьютере без злого умысла. Факт в том, что мы сталкиваемся с этим постоянно».

Что делать?

Самые распространенные каналы утечки – электронная почта, флеш-накопители и ноутбуки. Многие компании, зная об этом, самостоятельно борются с потерей данных – ограничивают доступ к сетевым дискам, отключают возможность использовать портативные устройства, а иногда заставляют сотрудников подписывать специальные документы, запрещающие выносить данные из офиса.

В отношении нерадивых сотрудников будут применяться административные наказания. Олег Головенко: «Денег с людей никто не возьмет. Скорее, будет применяться административный или трудовой кодекс, а в некоторых случаях – уголовный. Хотя сейчас законоприменительная практика в России в этой области довольно бедная, и сложно сказать, чем грозит человеку, например, вынос информации с предприятия».

Но вот компании всыпать по первое число может Роскомнадзор, который обязан проверять инфраструктуру российских организаций на предмет защиты системы хранения данных. И если требования не учтены, организация получает рекомендации и ожидает повторной проверки. И только потом – штрафы. Чтобы этого не случилось, компания обязана задуматься об эффективной защите конфиденциальной информации. Но гарантии эффективности нет.

Олег Головенко: «Важно отметить, что ни одна система безопасности не сможет дать 100%-ой гарантии, но позволит значительно снизить риски утечек. 95% утечек данных являются непреднамеренными, и только 5% – это злонамеренные похищения информации. И те, и другие утечки могут пресекаться системами DLP (Data Loss Prevention – контроль утечки информации). С помощью системы DLP осуществляется мониторинг и блокировка попыток выноса конфиденциальной информации за пределы организации практически по всем известным каналам (запись на флэшки, печать, отправка по почте и т.д.)».

До поры, до времени

Многие российские менеджеры уверены – утечек корпоративной информации в их компаниях нет. Это заблуждение. Олег Головенко: «Основываясь на нашем опыте, могу сказать: либо они этого не знают, либо по каким-то причинам скрывают – неприятно признавать такие вещи».

40% российских компаний пришло к идее внедрения систем DLP после серьезных инцидентов – как говорится, пока рак на горе не свистнул. Чтобы защитить данные, компания должна не только определить, что считается конфиденциальной информацией, но и знать, где она хранится. Настоящие системы DLP позволяют найти такую информацию внутри предприятия автоматически.

Существует несколько технологий определения конфиденциальности информации. Самая простая в реализации – описательная технология. Олег Головенко: «Нужно задать ключевые слова или сочетания слов, которые определяют конфиденциальность документов. Можно задать идентификаторы, имеющий строгий формат записи (номер кредитной карты, IP-адрес, телефонный номер, номер российского паспорта, ИНН и т.д.). Кроме того, в системах DLP применяется система так называемых цифровых отпечатков секретных документов. Например, при отправке по электронной почте или записи файлов на портативные устройства, система сравнивает их с цифровыми отпечатками и определяет степень конфиденциальности». Новым словом в развитии технологий можно считать самообучающиеся алгоритмы. Они позволяют автоматически определять конфиденциальность документов на основе первичного обучения и накопленного опыта.

Сложно предугадать, что будет наиболее тяжелой потерей для компании – намеренная утечка или случайная потеря. В США компания, потерявшая персональные данные пользователей, обязана уведомить об этом каждого клиента, а также сообщить СМИ о произошедшей утечке. В России же организации предпочитают не сообщать о потере данных, так как боятся потерять клиентов.

Олег Головенко: «Прямые убытки – то, что выливается в денежные затраты сразу же после инцидента: перевыпуск карт в банках, «обзвон» клиентов, увольнение сотрудников и т.д. Но, согласно мировой статистике, косвенный ущерб не уступает прямым убыткам. Это снижение лояльности клиентов или их отток, снижение стоимости брендов, котировок акций».

Ежегодно в мире количество утечек увеличивается в 1,5 раза. Из-за небольшого проникновения систем DLP, объем потерянных данных в России также растет. В будущем появятся новые каналы передачи конфиденциальных данных и новые варианты обхода систем защиты информации. Постепенно процент утечек будет снижаться, но до нуля он не дойдет никогда.