В российских реалиях вопрос защиты корпоративной информации стоит крайне остро. Технологические ограничения и обязательства не разглашать секреты работодателя не мешают сотрудникам регулярно «сливать» ценные данные. В борьбе с утечкой информации иногда более эффективны постоянные напоминания об угрозах, а также повышение уровня лояльности работников.
Как песок сквозь пальцы
Компания Zecurion совместно с порталом Superjob.ru провели исследование, задачей которого было выявить мнение офисных сотрудников, непосредственно работающих с конфиденциальными данными, о необходимости защиты корпоративной информации. Выяснилось, что проблема информационной безопасности привлекает пристальное внимание бизнеса: только 10% топ-менеджеров не считают, что их компаниям нужны специализированные сотрудники или отделы, занимающиеся информационной безопасностью. Беспокойство представителей бизнеса понятно: ситуация с защитой корпоративных данных в российских компаниях с трудом поддается контролю. Более половины работников (53%) при трудоустройстве подписывали соглашения о неразглашении конфиденциальных сведений (Non-Disclosure Agreement), но это не мешает им передавать информацию вовне по незащищенным каналам и выносить документы на уязвимых мобильных носителях.
По мнению офисных работников, наиболее ценная информация в корпоративной среде — это персональные данные сотрудников и клиентов (так считают в сумме 28% опрошенных), а также сведения о сделках и договорах (эту категорию информации назвали 16%).
В подавляющем числе случаев утечка происходит не по злому умыслу, а случайно, по невнимательности или вследствие низкой осведомленности о недопустимости таких действий: сотрудники выносят конфиденциальную информацию на мобильных устройствах за пределы офиса, публикуют данные о проектах, заказчиках в социальных сетях, выкладывают корпоративные файлы в облачные хранилища (iCloud, Dropbox и т. п.).
Подобное обращение с корпоративной информацией часто грозит компаниям серьезными потерями. «Мы часто слышим, что халатное отношение сотрудников к необходимости защищать корпоративные данные (утеря мобильных телефонов, USB-носителей с финансовыми отчетами и т. п.) стоит крупным компаниям репутации. Например, потребитель может прекратить всякое взаимодействие с компанией, допустившей обнародование его личной информации», — рассказывает Дмитрий Лисогор, заместитель генерального директора SAP СНГ. Помимо потери клиентов компании могут понести и финансовые потери. Примеров немало: так, утечка данных о 94 млн клиентов розничной сети по продаже одежды TJX’s обошлась компании в $18,5 млрд.
В России подобные случаи редко становятся известны общественности и оказываются предметом судебного разбирательства. Это подтверждает исследование Zecurion и Superjob.ru: как правило, утечки информации происходят фактически безнаказанно, лишь в исключительно редких случаях (менее 1%) инсайдеров привлекают к уголовной ответственности. В России практически отсутствует судебная практика защиты конфиденциальных данных, а информация о случаях утечек закрыта и не распространяется широко. «Это объяснимо: во-первых, утечки информации подрывают goodwill любой компании, а во-вторых, на ошибках учатся не только охраняющие коммерческую тайну, но и интересующиеся ею», — говорит Виктор Усачев, заместитель генерального директора РДТЕХ по юридическим вопросам. При этом почти во всех опрошенных компаниях признались, что проблемы с утечкой информации в российском бизнесе встречаются регулярно, но доказать вину сотрудника и привлечь его к ответственности часто сложно чисто технически. Юридически значимая доказательная база может быть собрана только с помощью специализированных технических средств контроля. Поэтому неудивительно, что многие компании пытаются защитить корпоративную информацию с помощью современных технологий.
Защита боем
Не все компании скрывают, какие решения они используют для того, чтобы сохранить от посягательств ценные данные, и охотно делятся своими находками. Например, у Osrtrovok.ru нет единой программной системы защиты информации, но в компании максимально разделяют данные о клиентах или заказах и операционные данные, необходимые сотрудникам для работы. Они находятся в разных базах, на разных серверах и в разных дата-центрах. Доступ к действительно секретным данным есть у очень ограниченного числа сотрудников, и для них действуют специальные правила безопасности, например двухфакторная авторизация. В компании Mind вся разработка ведется в облаке, благодаря SaaS-сервисам нет необходимости хранить конфиденциальную информацию на жестких дисках компьютеров сотрудников. В Cognitive Technologies организацию внутреннего и внешнего документооборота осуществляют с помощью ПО «Евфрат Е1», которое использовалось в российских силовых структурах и имеет сертификат ФСТЭК. «Технически предотвратить утечку важных данных можно с помощью систем класса DLP (Data Loss / Leakage Prevention), которые контролируют все основные каналы распространения информации, такие как электронная почта, интернет, съемные носители, печать, мгновенный обмен сообщениями (IM) и пр., и позволяют идентифицировать информацию самыми современными способами», — рассказывает Михаил Башлыков, руководитель направления информационной безопасности компании КРОК. Подобная система работает как в самой КРОК, так и, например, в ГК «Роснанотех». Для обеспечения конфиденциальности информации в КРОК используют системы класса IRM (Information Right Management), с помощью которых можно управлять доступом к файлам в привязке к контенту, а не к месту его размещения. Другими словами, информацию, содержащуюся, например, внутри электронного письма или документа, смогут получить только те сотрудники, которым разрешен доступ к ней.
Компания SAP регулярно информирует о полезности своих решений, таких как SAP GRC или SAP Afaria. Последнее обеспечивает полный контроль широкого спектра мобильных устройств и приложений, дает возможность удаленного резервного копирования данных и даже их удаления в случае, если устройство было потеряно или украдено. Например, европейское подразделение Tommy Hilfiger использует SAP Afaria на сотнях мобильных устройств сотрудников для защиты новых коллекций от копирования.
В компании IBS используют VDI (Virtual Desktop Infrastructure) для централизации рабочих мест в ЦОД, что позволяет собирать данные и приложения, которые с ними работают, в одном месте; MDM / MAM — для управления мобильными устройствами сотрудников, разделения данных на них на персональные и корпоративные, управления мобильными приложениями, а также для защиты конфиденциальных данных при утере и порче устройств; Unified Communications — для связи с сотрудниками и организации их совместной работы; онлайн-хранилище — для того, чтобы у сотрудника под рукой всегда были его актуальные рабочие материалы. «Это же позволяет заменить Dropbox на решение корпоративного класса, с интеграцией с Active Directory и прочими возможностями», — рассказывает Антон Карасев, эксперт дивизиона IT-инфраструктуры IBS.
Далекие от IT-отрасли компании тоже стараются заботиться о своей информационной безопасности. Но такие игроки вынуждены соотносить затраты с результатом, и часто введение в организационную структуру подразделения информационной безопасности оказывается для них экономически нецелесообразным. «В отдельных случаях мы прибегаем к помощи друзей, профессионалов из силовых структур, а иногда гениев из мира интернета. Самим содержать высококлассных специалистов по защите корпоративной информации нам было бы не под силу», — говорит Георгий Дзагуров, генеральный директор Penny Lane Realty.
Аутсорсинг подобных услуг — довольно распространенная практика, но только на уровне аудита, то есть когда наемные специалисты проверяют информационную безопасность компании и помогают найти и устранить основные дыры. Радж Пономаренко, руководитель технического департамента Mind, говорит, что вопросы консультирования и аудита желательно осуществлять именно на основе аутсорсинга. А вот доверять сторонним структурам операционную работу по безопасности (выдавать доступы, сертификаты и т. п.) специалисты решительно не советуют.
Ласковым словом
Компании, особенно крупные, как правило, тратят большие деньги на предотвращение информационных утечек. Но как показывает практика, гораздо эффективнее видеокамер и тотального контроля оказывается обучение сотрудников и повышение их лояльности к работодателю. «Любой современный сотовый телефон является флешкой и имеет выход в интернет. Если ваши сотрудники могут пользоваться сотовыми телефонами на работе, то они могут “слить” данные, даже не уходя с работы. Так что большинство существующих мер безопасности, направленных на защиту от слива данных, помогут только от болтливых домохозяек», — говорит Евгений Курышев, технический директор Ostrovok.ru.
Гендиректор компании «Облакотека» Максим Захаренко повторяет, что очень часто, вынося данные, клерки не считают, будто что-либо нарушают. И чтобы бороться с этим, необходимо акцентировать внимание персонала на важности происходящих в компании процессов, добиваться того, чтобы работники понимали степень своей ответственности за сохранение конфиденциальности корпоративной информации, предупреждать их в случаях, вызывающих сомнение. Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies, напоминает о существовании технических решений, позволяющих обучать сотрудников правильному поведению. Например, UserCheck: когда работник хочет зайти, например, на сайт «Одноклассники», у него на экране появляется страница с предупреждением; при попытке отправить секретный файл всплывает окно «Подтверди, что уверен»; при попытке зайти в соцсети ему напоминают, чем грозит публикация информации о командировках, проектах и т. п. «Впервые я столкнулся с тем, как работает DLP, когда общался с заказчиком и партнером из Узбекистана, — рассказывает Антон Разумов. — Система предупредила меня: мол, не ошибся ли я, почему помимо адресов из Узбекистана присутствует и казахский e-mail. И лишь когда я подтвердил, что все правильно (дистрибутор, отвечающий за Среднюю Азию, расположен в Казахстане), письмо ушло адресатам».
Конечно, многие эксперты советуют включать в трудовой договор пункт о неразглашении конфиденциальной информации. Иногда это работает. Однако, как уверяет Ирина Семенова, вице-президент по маркетингу группы компаний MAYKOR, бесполезно лечить симптомы, если не устранять причину: никакие бумаги, подписи, драконовские меры не гарантируют информационной безопасности компании, если лояльность сотрудников на низком уровне. «Я полагаю, что лояльность — основа сохранения конфиденциальности. И люди не воруют не потому, что подписали, не потому, что боятся, а потому, что подобный шаг им видится неприемлемым и не в этом заключается суть их работы», — резюмирует Георгий Дзагуров.
И все-таки не только от лояльности сотрудников или качественного ПО зависит информационная безопасность. Ее обеспечение — это комплексная задача, требующая постоянного мониторинга и контроля, и мало где она решается эффективно. «Дело не только в используемых средствах защиты, что входит в зону ответственности служб безопасности, но и в организации размещения корпоративных данных и доступа сотрудников к ним, что является зоной ответственности бизнеса. Например, огромное количество конфиденциальных данных накапливается на ноутбуках и других девайсах топ-менеджеров, — рассказывает Максим Захаренко. — Известно, что “безопасность — это всегда неудобно”. Вот все и ищут компромисс между удобством работы и обеспечением безопасности, но к сожалению, не всегда его находят».