Вопросы кибербезопасности и сохранности конфиденциальных данных не сходят с повестки дня крупнейших мировых корпораций уже несколько лет. Главный вопрос бизнеса в условиях глобализации и всеобщей открытости — как защитить свои «секреты» от посторонних?
«Лаборатория Касперского» совместно с аналитической компанией B2B International выяснила, что 41% российских компаний задумываются о безопасности корпоративной информации и предотвращении утечек данных. Правда, пока большинство игроков на рынке ставят во главу угла технические методы защиты: 28% респондентов рассказали, что внедряют политики восстановления IT-систем после сбоев, а 26% — увеличивают отказоустойчивость внутренних систем.
Уделять внимание человеческому фактору в информационных преступлениях компании не спешат: всего 20% респондентов запускают программы по обучению персонала грамотной работе с IT-системами и чувствительной информацией.
«Технические средства не могут решить проблему утечек корпоративной информации, — уверен Александр Писемский, руководитель направления компьютерной криминалистики PwC Russia. – Только здоровая корпоративная культура может предотвратить информационные преступления сотрудников».
Согласно исследованию «Лаборатории Касперского», три из пяти главных причин утечек корпоративной информации связаны с действиями людей: это и случайные утечки, спровоцированные сотрудниками (8% случаев), и утечки с мобильных устройств работников (7%), и корпоративный шпионаж (7%).
В США ежегодно проводится конкурс по социальной инженерии Social Engineering CTF, на котором участники соревнуются в умении добывать корпоративную информацию о гигантах мирового бизнеса: UPS, FedEx, Verizon, AT&T, Shell, Wal-Mart, Cisco, HP. Баллы конкурсантам начисляются за выяснение, какие антивирусные решения установлены в корпоративной системе объекта, название и версию используемого браузера, имена сотрудников обслуживающего персонала и другие интересные данные.
Победитель прошлогоднего конкурса Шейн Макдугалл выиграл соревнование всего за 20 минут. Корпоративную информацию он выведал у менеджера одного из отделений Wal-Mart в небольшом канадском городке: представившись государственным служащим, он предложил «сделку, на которой Wal-Mart заработает много денег». Доверчивый менеджер рассказывал обо всем, что его спрашивали: графике работы IT-персонала его отделения, используемых антивирусных решениях и т д. В конце этот сотрудник даже открыл продиктованный Макдугаллом URL-адрес со страницей регистрации и ввел на ней свои конфиденциальные данные.
Александр Писемский советует компаниям, которые не хотят оказаться на месте Wal-Mart, уделять внимание корпоративной культуре и открыто наказывать нарушителей.
Поймите, кто ваш враг
Утечки информации из компании бывают как преднамеренные, так и непреднамеренные, при этом вне зависимости от типа большинство из них остаются незамеченными. Одни из самых частых — случайные, происходящие по вине внутренних сотрудников компании. Чаще всего работники невнимательны к заполнению адресной строки (и письмо с конфиденциальной информацией попадает в третьи руки), громко обсуждают внутренние вопросы за обедом в общей столовой, теряют внутренние документы, забывают или с помощью злоумышленников расстаются с гаджетами в аэропортах, отелях, такси.
Гораздо реже случаются утечки с вмешательством третьих лиц. Такие атаки еще реже раскрываются и почти никогда не предаются огласке, ведь каждое такое дело — серьезный ущерб для имиджа компании.
Преднамеренные утечки информации по вине внутренних сотрудников также случаются. Часто это плохо спланированные или эмоциональные действия: например, месть начальству или коллегам, обида за понижение и штраф. Как правило, такие преступления легко раскрываются — найти виновного сотрудника довольно просто: его выдают либо оставленные в спешке улики, либо явный мотив.
Гораздо сложнее вычислить нечистого на руку работника — того, кто целенаправленно и последовательно «крадет» или «сливает» корпоративную информацию.
Например, он хочет начать бизнес в той же сфере, что и его работодатель, или собирается сменить место работы, поэтому «уводит» из компании базу клиентов, рассказывает конкурентам о тендерном предложении своей компании. Часто такой сотрудник может вступать в сговор с контрагентами, поставщиками, партнерами своего работодателя и получать от них деньги.
Сузьте круг подозреваемых
На самом деле в компании не так много конфиденциальной информации, раскрытие которой способно нанести серьезный ущерб.
Крупные фирмы предпочитают заранее сузить круг лиц, имеющих к ней доступ. Я всегда советую всем применять умный подход к защите данных: сфокусируйтесь на информации, от которой зависит успех вашего бизнеса, и выберите удобные и простые средства контроля доступа к ней. Руководители компании должны четко понимать, какую информацию стоит защищать, а какая не несет в себе серьезных рисков.
Как только мы понимаем, сотрудники какого отдела имеют доступ к ускользнувшим данным, мы начинаем проводить интервью и собирать электронные доказательства с компьютеров и мобильных устройств.
Обратите внимание на поведение: преступников выдает нервозность. Проверить стоит и наличие конфликтов с руководством, планы по увольнению из компании или потенциальная аффилированность к другим компаниям.
Чтобы заранее как-то обезопасить себя от нечестных сотрудников, следует при трудоустройстве проводить проверку благонадежности соискателя. Чем выше должность, тем глубже и тщательнее должна быть проверка. Для особо рисковых групп сотрудников проверки надо устраивать на постоянной основе.
Соберите улики
Важно понять, каким образом информация утекла из компании. Мы работаем с электронными данными: проводим анализ рабочего компьютера, мобильных устройств, электронной переписки, серверов и журналов активности пользователя в сети. Так можно понять, как пользователь работал с данными в течение последнего времени: какие файлы открывал, кому отправлял, с кем переписывался по Skype, не пересылал ли их на почту, не печатал ли документы, не грузил ли их на «Яндекс.Диск» или Dropbox? Часто, проводя такой анализ, можно восстановить хронологию действий пользователя длительностью до года. Сбор электронных доказательств необходимо производить с использованием специальной методики и инструментов, это гарантирует вам полноту информации для анализа, а также ее юридическую значимость.
Перед тем как приступить к расследованию мы всегда производим оформление всех необходимых разрешений на доступ к корпоративной и персональной информации. В нашей практике крайне редко встречались случаи, когда подозреваемые отказывали в доступе к своим корпоративным устройствам. Такое поведение сразу наталкивает на определенные выводы.
Привлечь сотрудника к ответственности за нарушение режима конфиденциальности зачастую сложно.
Во-первых, из-за несовершенства внутренних политик в компании, во-вторых, из-за отсутствия подготовленных специалистов для проведения расследований. Поэтому часто виновных в утечке конфиденциальной информации увольняют за какие-то другие проступки, например, за нарушение трудовой дисциплины или расторгают трудовой договор по соглашению сторон.
Иногда руководители решаются на возбуждение гражданских дел или обращаются в полицию, но такие действия редко заканчивается успехом. Да и далеко не все компании готовы раскрывать такие дела.
Проведите культурно-воспитательную работу
Лучшее предотвращение утечек — воспитание правильной корпоративной культуры. В компании должна быть постоянная программа по обучению работе с конфиденциальной информацией. Формальный подход не работает. Если вы просто введете режим коммерческой тайны и напишите соответствующий регламент, это вряд ли даст нужный результат. Когда человек приходит на работу, на него вываливают кучу всяких политик, он их читает, расписывается и забывает.
Каждый работник должен понимать, какие данные конфиденциальные и как с ними обращаться. Например, у нас в PwC регулярно проходят тренинги и мастер-классы по этой теме, обязательные для каждого сотрудника.
Плюс мы постоянно получаем письма от партнеров, касающиеся практик обращения с чувствительной информацией. Без развитой корпоративной культуры по работе с конфиденциальной информацией даже самое дорогое и продвинутое техническое средство не даст нужного результата.
Устройте публичное наказание
Показательные наказания — крайне эффективны. Ощущение неизбежности наказания и страх перед ним — это отличный мотиватор для того, чтобы не нарушать правила работы с информацией. Если такие дела будут спускаться на тормозах, люди в компании почувствуют безнаказанность. Если с виновным сотрудником разойдутся по-хорошему, другие тоже могут последовать его примеру. Ведь в компании скрыть что-то невозможно: слухи быстро распространяются.
Проведите расследование и сделайте его результаты публичными внутри компании, продемонстрируйте, что кража информации точно такое же преступление, как мошенничество или любое другое, и оно несет за собой вполне осязаемое и суровое наказание.
Об эксперте
Александр Писемский — руководитель направления компьютерной криминалистики PwC Russia. До работы в PwC был одним из руководителей и сооснователем компании Group-IB. Под его руководством лаборатория компьютерной криминалистики Group-IB заняла лидирующую позицию на территории России и СНГ. Специалисты лаборатории выполняли исследование цифровых доказательств по различным преступлениям, связанным с компьютерной информацией, и корпоративным инцидентам: мошенничества в системе дистанционного банковского обслуживания, хакерские атаки, хищение конфиденциальной информации. DDoS-атаки, нарушение прав интеллектуальной собственности и др.
Александр является сертифицированным специалистов в области информационной безопасности и компьютерной криминалистики: GCFA (GIAC Certified Forensic Analyst), CISM (Certified Information Security Manager), CISA (Certified Information System Auditor), MCP (Microsoft Certified Professional).
По материалам https://kontur.ru/articles/418
