Доверяй, но контролируй: как защитить информационные активы компании

Виолетта Красова

Ведущий специалист департамента информационной безопасности Softline

Статистика за 2021 или 2022 год

Мы редко можем прочесть новость о внутренних утечках. Если компания отразила целевую внешнюю атаку, то это повод для гордости, но когда происходит внутренняя утечка, то мало организаций, готовых придать такую информацию огласке. При этом, согласно исследованию аналитического агентства, доля внутренних утечек в 2020 и 2021 годах составляет более 51%. То есть чуть больше половины данных компаний утекает по вине сотрудников. Следовательно, важно защищать корпоративный периметр и информационные активы не только от внешних атак, но и от внутренних угроз. Любая утечка приводит к стратегическим, репутационным, операционным и юридическим рискам, которые необходимо минимизировать.

При этом, растет доля умышленных утечек. За последние четыре года показатель вырос с 58,6% до 82%. Сотрудники ежедневно работают с конфиденциальной информацией компании, при этом они подвержены стрессовым, психологическим и другим видам воздействия. Совокупность вышеупомянутых факторов и ежедневная работа с большим массивом данных может привести к утечке, в том числе и непреднамеренной. Например, сотрудник может отправить не на тот почтовый адрес письмо, или базу данных без удаленных столбцов с персональными данными.

Отмечу, что всегда стоит помнить про человеческий фактор, который не характеризует сотрудника как плохого специалиста и не должен понижать уровень доверия к нему.

Конфиденциальная информация есть во всех компаниях, вне зависимости от отрасли. Так, согласно исследованию аналитического агентства, за последние три года (2019–2021) высокотехнологичные компании, организации сфер здравоохранения и госсектора — три основные отрасли с самыми частыми утечками.

Причины внутренних утечек

Сейчас в открытом доступе уже огромное количество персональных данных, базы которых регулярно обновляются. Последние полгода прямое тому подтверждение — почти еженедельно мы узнаем об утечках. Повторюсь, причиной может быть как внешняя атака, так и сами сотрудники компании.

Внутренние утечки бывают умышленными и непреднамеренными. Рассмотрим причины. Одна из предпосылок — конкуренция. Учитывая рост спроса на персональные данные на рынке, сегодня наблюдается активная борьба за клиентов, сотрудников и партнеров. При этом не все компании соблюдают правила честной конкуренции. Так, часто в описании вакансии мы видим фразу в требованиях к должности — «наличие базы контактов». Кандидаты, обладающие конфиденциальной информацией о клиентах или партнерах конкурента, будут в приоритете у работодателя. Таким образом, в компании происходит утечка баз данных и сотрудников.

Также в качестве одной из предпосылок внутренней утечки выделяется мотив мести. Редкий сотрудник, которого увольняют, думает, что это заслуженно. И в качестве мести он считает необходимым нанести урон компании. Например, уволенный сотрудник может распространить конфиденциальную информацию, часто даже недостоверную, в сеть или СМИ, чтобы навредить репутации бывшего работодателя.

Сегодня у сотрудников расширяется функционал в связи с появлением новых направлений в бизнесе, приостановкой деятельности некоторых западных компаний и постоянно меняющимися условиями на рынке. Из-за увеличения количества новых задач и нагрузки внутри команды формируется стрессовая атмосфера, понижается рабочая концентрация. Как следствие, увеличиваются утечки по неосторожности — сотрудник все чаще совершает ошибки. Так, работник может поставить в копию не того человека при обсуждении договоренностей с партнерами и распространить конфиденциальную информацию.

Системы защиты информации

Для предотвращения внутренних утечек информационных активов компании внедряют DLP-решения и системы контроля действий сотрудников. DLP-системы детектируют попытки утечки конфиденциальной информации. Они контролируют все каналы с помощью развитых технологий анализа. Но следует помнить, что раз в три месяца или полгода важно проводить «инвентаризацию политик» для актуализации решения.

Системы контроля действий сотрудников могут быть встроены в DLP-систему или быть самостоятельным решением. Они используются для поиска нарушителей, «бездельников» и перегруженных сотрудников. То есть, компании внедряют системы контроля действий сотрудников не только для наказания, но и поощрения команды, распределения задач. Данный класс решений предоставляет объективный отчет загруженности сотрудников. Безусловно, полученная информация — это не истина в последней инстанции. Она необходима для объективной оценки деятельности и принятия решения.

Таким образом, при внедрении обоих решений зашиты внутренних информационных активов закрывается сразу две задачи. Во-первых, контроль конфиденциальной информации, которая циркулирует внутри компании. Проникновение за пределы периметра может нанести финансовый, репутационный, юридический вред. Во-вторых, эффективное распределение задач внутри команды. У руководства будет отчет о деятельности сотрудников.

Внедрение решений

В каждой компании, даже состоящей из трех человек, есть конфиденциальные данные. Это значит, что внедрение DLP-решений и систем контроля действий сотрудников важно в каждой организации независимо от отраслевой направленности и численности персонала.

Так, DLP-системы востребованы в компаниях, в чьих информационных активах заинтересованы конкуренты и злоумышленники. Организациям важно формировать и поддерживать безупречную репутацию на рынке. DLP-система уже на этапе тестирования показывает, какие финансовые и репутационные риски несет сейчас компания. Как показывает наш опыт, часто в организациях не видят полную картину происходящего до начала использования решения.

Еще 10 лет назад системы контроля действий сотрудников были востребованы у среднего и малого бизнеса. Но сегодня и крупные организации внедряют этот класс решений из-за большой разветвленности корпоративной структуры. То есть руководителям каждого отдела важно получить объективную картину по занятости их сотрудников. Например, почему происходит текучка кадров в конкретном департаменте, загружены или перегружены работники.

Выводы

Данные компании подвергаются постоянной угрозе как извне, так и со стороны сотрудников. Именно поэтому защита информационных активов должна быть комплексной: совокупность решений от внешних угроз и технологий, контролирующих распространение конфиденциальных данных. При этом, внедрение решений для защиты от внутренних утечек носит рекомендательный характер, согласно законодательству о защите персональных данных.

Рекомендую делать особый акцент на защиту корпоративного периметра, так как сегодня увеличивается риск внутренних утечек. Очень важно регулярно информировать работников о регламентах и правилах взаимодействия с конфиденциальной информацией. Также постоянно напоминать и уведомлять о правилах работы с данными компании.

Рекомендуется внимательно следить за нагрузкой сотрудников. Если они перегружены, то повышается риск непреднамеренных утечек, так как эффективность работников падает.

Для минимизации внутренних утечек информационных активов многие компании внедряют DLP-решения и системы контроля действий сотрудников. Решения необходимы для обеспечения должного уровня информационной безопасности и максимальной защиты всех данных бизнеса. Когда у компании есть уверенность в безопасности внутреннего периметра, то можно активнее защищать информационные активы от внешних атак.