По данным Центра продуктов Solar Dozor компании «Ростелеком», с конца марта по начало июня 2020 года произошел 25-процентный всплеск числа утечек информации. К декабрю ситуация улучшилась, но это не отменяет последствий — по итогам 2020 года ущерб от потери корпоративных данных составил более 3 млрд руб., оценивали аналитики «Крок». В целом в минувшем году в российских компаниях наблюдался рост внутренних инцидентов, больше половины которых (53%) связано с утечками информации, отмечают в центре противодействия кибератакам Solar JSOC компании «Ростелеком». По словам экспертов, зачастую к подобным инцидентам приводит низкая цифровая грамотность сотрудников. Чтобы минимизировать вероятность утечек, компании внедряют средства автоматизированного контроля поведения персонала. Ответ на вопрос о том, как справляться с внутренними угрозами корпоративной безопасности, будут искать участники «Форума DLP+», который пройдет 26 мая в Москве.
Последствия утечек зачастую зависят от характера утраченной информации и сферы деятельности компании. «Иногда ущерба может не быть совсем — например, в случае полного отсутствия спроса на утекшие данные», — говорит заместитель начальника службы информационной безопасности ПАО банк «Возрождение» Василий Окулесский.
В случае если скомпрометированы личные данные пользователей, ответственность бизнеса закреплена на законодательном уровне — компания должна будет заплатить штраф в размере от 25 тыс. до 50 тыс. руб. В Госдуме периодически звучат предложения поднять ставки — так, прошлым летом предлагалось увеличить размер штрафа до 500 тыс. руб., а в апреле 2021 года появилась информация о потенциальном введении уголовного наказания за утечку информации.
Заполучив персональные данные клиентов, злоумышленники могут применить методы социальной инженерии в мошеннических схемах или рассылать навязчивую рекламу товаров и услуг, рассказывает директор центра продуктов Solar Dozor компании «Ростелеком» Галина Рябова. Компаниям это грозит репутационными рисками и оттоком клиентов. Если же не в тех руках окажутся документы, составляющие коммерческую тайну — тендерная документация, данные по ключевым сделкам, — или конфиденциальная технологическая информация, это чревато потерей конкурентного преимущества.
Все утечки можно разделить на преднамеренные и непреднамеренные. На рост количества умышленных инцидентов, помимо снижения бюджетов на информационную безопасность и усиления конкуренции в кризисные периоды, такие как пандемия, может повлиять и сокращение фонда оплаты труда. «В условиях снижения доходов и риска остаться без работы некоторые сотрудники пытаются компенсировать свои потери с помощью слива и продажи конфиденциальных данных», — указывает госпожа Рябова.
Непреднамеренные утечки часто связаны с человеческим фактором и происходят по вине сотрудников. Так, по причине массового перехода на удаленную работу в 2020 году в компаниях почти на 15% выросло число инцидентов с участием рядовых пользователей, подсчитали аналитики Solar JSOC. Персонал компаний в условиях удаленной работы стал активнее использовать для передачи конфиденциальных данных неконтролируемые каналы коммуникаций — внешние облачные хранилища, съемные носители, что привело к росту случайных утечек.
Еще одна распространенная причина — недостаточные инвестиции в средства для защиты данных. Об этом свидетельствует и то, что нередко компании узнают о краже конфиденциальных данных с задержкой — из сообщений СМИ или на форумах. «Успешно реализованная утечка информации означает, что злоумышленники были подготовлены лучше защитников», — говорит господин Окулесский.
Для предотвращения утечек в первую очередь необходимо выстроить процессы так, чтобы обработка конфиденциальных данных сотрудниками не требовалась, считает вице-президент, руководитель департамента информационной безопасности АО «Тинькофф банк» Дмитрий Гадарь. Если такой возможности нет, эксперт рекомендует создать безопасную архитектуру для работы с информацией и контролировать процесс. «Важную роль при этом также играет цифровая грамотность сотрудников. Многие из них могут и не подозревать, к каким последствиям может привести небрежное отношение к данным», — поясняет господин Гадарь.
Обучать сотрудников безопасному обращению с данными должен работодатель, полагает главный специалист по технической защите информации HeadHunter Сергей Рысин: «Важно развивать программы повышения цифровой грамотности, своевременно информировать о появлении новых схем, приводить и разбирать конкретные примеры».
Чтобы не допустить утечек по вине персонала, компании применяют DLP-системы — средства контроля и мониторинга действий сотрудников. По оценкам «Ростелекома», более 60% компаний либо уже используют такие решения, либо планируют их внедрить в ближайший год. В случае подозрения на некорректную работу с данными или в ходе расследования инцидента специалист по информационной безопасности сможет проанализировать все действия сотрудника на корпоративном устройстве в отношении конфиденциальных данных компании. Какую информацию, документы и файлы и по каким каналам работник передавал, на какие носители и в какие хранилища данных выгружал.
Как быть при этом с неприкосновенностью частной жизни сотрудников? По словам Галины Рябовой, автоматизированный мониторинг действий на рабочем месте не нарушает права персонала, если применение такой системы правильно оформлено в компании. Необходимо заключить специальное дополнительное соглашение к трудовому договору, в котором будет зафиксировано, что на корпоративных устройствах установлены системы контроля. «Зайдя во время обеденного перерыва с рабочего компьютера в свой личный аккаунт на Facebook, сотрудник должен понимать, что информация об этих действиях сохранится в архиве DLP-системы», — рассказывает госпожа Рябова.
Этичный подход к защите корпоративных данных и роль человеческого фактора в утечках информации — в числе ключевых тем «Форума DLP+», который впервые пройдет 26 мая 2021 года в Цифровом деловом пространстве в Москве. Организатор мероприятия — ПАО «Ростелеком». Можно ли уберечь конфиденциальные данные, не нарушая неприкосновенность частной жизни сотрудников? Как мотивировать персонал соблюдать личные ограничения и правила информационной безопасности? Эти и другие вопросы обсудят лидеры рынка информационной безопасности, представители ведущих российских вузов, Министерства труда и социальной защиты РФ, правительства Москвы, Банка России, а также топ-менеджеры российских корпораций, в числе которых ПАО Сбербанк, «Северсталь-групп».
Программа форума включает презентации и дискуссии по клиентскому опыту пилотирования и эксплуатации систем защиты от утечек. Ведущие вендоры систем защиты от внутренних корпоративных угроз представят свои новейшие разработки на интерактивных демонстрационных стендах. В частности, «Ростелеком» впервые продемонстрирует возможности новой версии системы предотвращения утечек информации Solar Dozor 7.4 с обновленным модулем анализа поведения пользователей в реализации для территориально распределенных компаний. Компания также покажет обновление шлюза веб-безопасности Solar webProxy, способного автоматически блокировать попытки выгрузить конфиденциальные файлы в интернет.
Подробнее о форуме читайте на сайте мероприятия.