Главная

О проекте

Контакты

Авторам

Форум

Подписка
Логин
Пароль
 
Забыли пароль?
Опрос

Размер денежного вознаграждения
Хорошее отношение со стороны руководства
Интересная работа
Социальный пакет
Престиж компании на рынке
Перспективы


Популярные статьи

Новости партнеров
журнал "Бизнес Энтропия" » Статьи » Как остановить утечку информации?

Как остановить утечку информации?
Авторы: Павел Расходов, редактор направления "Маркетинг" сообщества менеджеров E-xecutive,
Олег Головенко, технический консультант Symantec.


[i]Утечки конфиденциальной корпоративной информации – головная боль для многих компаний. Ущерб измеряется в валюте – в 2010 году российский бизнес лишился порядка $200 млн. И это не предел: эксперты отмечают ежегодный рост потерь. Ситуацию усугубляет закон "О персональных данных", который вступил в силу с 1 июня 2011 года и фактически вынуждает руководителей компаний защищать персональные данные, в том числе путем внедрения специальных систем безопасности. Игнорирование "указаний свыше" также встанет организациям в копеечку: Роскомнадзор обещает раздать всем провинившимся по невкусной конфете. Максимальный штраф за несоблюдение закона – 500 тыс. руб. В отдельных случаях предусмотрена даже уголовная ответственность. Как избежать утечек данных и незапланированных финансовых потерь? С этим вопросом E-xecutive обратился к техническому консультанту Symantec – Олегу Головенко.

Кто выносит сор из избы?

Сегодня организация сама определяет, что считается конфиденциальной информацией. В первую очередь, это персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), а потом уже внутрикорпоративная информация: закрытые данные о слияниях и поглощениях, финансовые отчеты – все то, что не должны видеть конкуренты. Отдельным пластом выделяется интеллектуальная собственность: чертежи, дизайн-проекты, формулы, исходные коды.

Закон "О персональных данных" обязывает все организации, независимо от размера и формы собственности, защищать этот тип информации, но не предусматривает, какими средствами нужно это делать.

Олег Головенко поделился результатами исследования Symantec "Как утекают секретные мегабайты", в котором приняли участие российские компании. "Полученные данные в целом коррелируют с общемировой статистикой. Хотя некоторые западные исследования дают нам дополнительную информацию – ранее считалось, что интерес к защите корпоративной информации проявляют, в первую очередь, финансовые организации. Но сегодня банки находятся на втором месте. На первом – относительно небольшие компании, занимающиеся розничной продажей. Но в целом, у всех свои причины обращать внимание на эту проблему".

Подобное исследование проводилось в США, где общая картина по утечкам данных напоминает российскую. В целом, причины потери конфиденциальной информации одинаковые – нерадивость и злой умысел сотрудников компании. "В том, что они выносят корпоративные данные за пределы офисов, признались 70% респондентов – как российских, так и американских, – заявляет Олег Головенко. – Но реальная цифра определенно выше: разглашать информацию о своей причастности к утечкам многие все-таки боятся".

Респонденты (40%) признались: они крадут информацию с целью получения дополнительного заработка – продать конкурентам, оставить себе и заработать самостоятельно или унести в новую компанию. На случайные потери приходится 50%. Олег Головенко: "Сотрудник может отправить по ошибке конфиденциальную информацию по электронной почте не тому адресату. Или записать данные на флеш-накопитель, унести домой и сохранить на домашнем компьютере без злого умысла. Факт в том, что мы сталкиваемся с этим постоянно".

Что делать?

Самые распространенные каналы утечки – электронная почта, флеш-накопители и ноутбуки. Многие компании, зная об этом, самостоятельно борются с потерей данных – ограничивают доступ к сетевым дискам, отключают возможность использовать портативные устройства, а иногда заставляют сотрудников подписывать специальные документы, запрещающие выносить данные из офиса.

В отношении нерадивых сотрудников будут применяться административные наказания. Олег Головенко: "Денег с людей никто не возьмет. Скорее, будет применяться административный или трудовой кодекс, а в некоторых случаях – уголовный. Хотя сейчас законоприменительная практика в России в этой области довольно бедная, и сложно сказать, чем грозит человеку, например, вынос информации с предприятия".

Но вот компании всыпать по первое число может Роскомнадзор, который обязан проверять инфраструктуру российских организаций на предмет защиты системы хранения данных. И если требования не учтены, организация получает рекомендации и ожидает повторной проверки. И только потом – штрафы. Чтобы этого не случилось, компания обязана задуматься об эффективной защите конфиденциальной информации. Но гарантии эффективности нет.

Олег Головенко: "Важно отметить, что ни одна система безопасности не сможет дать 100%-ой гарантии, но позволит значительно снизить риски утечек. 95% утечек данных являются непреднамеренными, и только 5% – это злонамеренные похищения информации. И те, и другие утечки могут пресекаться системами DLP (Data Loss Prevention – контроль утечки информации). С помощью системы DLP осуществляется мониторинг и блокировка попыток выноса конфиденциальной информации за пределы организации практически по всем известным каналам (запись на флэшки, печать, отправка по почте и т.д.)".

До поры, до времени

Многие российские менеджеры уверены – утечек корпоративной информации в их компаниях нет. Это заблуждение. Олег Головенко: "Основываясь на нашем опыте, могу сказать: либо они этого не знают, либо по каким-то причинам скрывают – неприятно признавать такие вещи".

40% российских компаний пришло к идее внедрения систем DLP после серьезных инцидентов – как говорится, пока рак на горе не свистнул. Чтобы защитить данные, компания должна не только определить, что считается конфиденциальной информацией, но и знать, где она хранится. Настоящие системы DLP позволяют найти такую информацию внутри предприятия автоматически.

Существует несколько технологий определения конфиденциальности информации. Самая простая в реализации – описательная технология. Олег Головенко: "Нужно задать ключевые слова или сочетания слов, которые определяют конфиденциальность документов. Можно задать идентификаторы, имеющий строгий формат записи (номер кредитной карты, IP-адрес, телефонный номер, номер российского паспорта, ИНН и т.д.). Кроме того, в системах DLP применяется система так называемых цифровых отпечатков секретных документов. Например, при отправке по электронной почте или записи файлов на портативные устройства, система сравнивает их с цифровыми отпечатками и определяет степень конфиденциальности". Новым словом в развитии технологий можно считать самообучающиеся алгоритмы. Они позволяют автоматически определять конфиденциальность документов на основе первичного обучения и накопленного опыта.

Сложно предугадать, что будет наиболее тяжелой потерей для компании – намеренная утечка или случайная потеря. В США компания, потерявшая персональные данные пользователей, обязана уведомить об этом каждого клиента, а также сообщить СМИ о произошедшей утечке. В России же организации предпочитают не сообщать о потере данных, так как боятся потерять клиентов.

Олег Головенко: "Прямые убытки – то, что выливается в денежные затраты сразу же после инцидента: перевыпуск карт в банках, "обзвон" клиентов, увольнение сотрудников и т.д. Но, согласно мировой статистике, косвенный ущерб не уступает прямым убыткам. Это снижение лояльности клиентов или их отток, снижение стоимости брендов, котировок акций".

"Ежегодно в мире количество утечек увеличивается в 1,5 раза. Из-за небольшого проникновения систем DLP, объем потерянных данных в России также растет. В будущем появятся новые каналы передачи конфиденциальных данных и новые варианты обхода систем защиты информации. Постепенно процент утечек будет снижаться, но до нуля он не дойдет никогда.
 
Другие новости по теме:

  • Информационная безопасность с нуля: "золотой песок" сквозь пальцы
  • Конфиденциальное делопроизводство в компании
  • Международные стандарты по информационной безопасности
  • Процедура приема и увольнения сотрудников с позиции безопасности
  • Информационные ресурсы, используемые для проведения бизнес-разведки (продол ...



  • RSS | Главная страница | Авторам | Новое на сайте Бизнес Энтропия © 2009