Как защитить компанию от утечки данных изнутри
По данным экспертно-аналитического центра InfoWatch
за первое полугодие 2022 г. число утечек из российских компаний выросло в полтора раза . По миру – вдвое, по сравнению с аналогичным периодом 2021 года. Потеря корпоративных данных оборачивается репутационными потерями и значительными финансовыми убытками.
Один случай с утечкой данных, ставший достоянием общественности, наносит ущерб в среднем в 4, млн долларов. Крупные бренды не жалеют средств на информационную защиту. Но хакеры атакуют систему кибербезопасности не только снаружи, но и изнутри, вовлекая в свои схемы сотрудников компаний.
Хакеры зачастую действуют через сотрудников организации / Изображение от jcomp на Freepik
Болтун – находка для шпиона, недовольный сотрудник – для хакера
Согласно уже упомянутому отчету InfoWatch, более 96 % утечек данных спровоцировано умышленными нарушениями правил информационной безопасности компании.
Отдельные инциденты по своей насыщенности и закрученности действий тянут на сценарии детективов. Завербованные сотрудники могут передавать на сторону персональные данные клиентов либо ценную аналитику или методично готовить почву под хакерскую атаку. При раскрытии таких случаев компании почти никогда не обнародуют информацию о «кротах», так как само их существование указывает на недоработки в области кадровой политики.
Как в коллективе заводятся «кроты»
В любом более-менее крупном коллективе найдется целый «зверинец» типажей. Кто-то трудится как пчела, кто-то хитрит и изворачивается как угорь. Есть и гордые львы, и безобидные овечки, и вредители – кроты. Последние целенаправленно и скрытно собирают стратегическую информацию о компании в пользу конкурентов. Делают они это по разным причинам:
- им платит конкурирующая фирма;
- копят информацию впрок, с целью продажи конкурентам;
- их действия продиктованы не выгодой, а обидой на компанию.
Пять шагов к защите информации изнутри
Мишенями киберпреступлений становятся компании любого масштаба, не только мировые или федеральные бренды. Например, перспективный стартап могут «потопить» более крупные конкуренты, которые не заинтересованы, чтобы в их нише появились новые игроки. Утечка информации посеет большие сомнения в надежности бренда. Для стартапа с еще не наработанной репутацией это равно краху.
Но как избежать умышленного слива данных изнутри компании? Помимо очевидной рекомендации строить кадровую политику так, чтобы не разочаровывать сотрудников любого звена, есть смысл:
1. Укреплять корпоративный дух
Тимбилдинг придуман не ради красивого словца. «Кроты» куда чаще заводятся в разобщенном коллективе, где нет понимания, что общий результат зависит от каждого отдельного сотрудника. Компании с развитой корпоративной культурой, где предусмотрены мероприятия на формирование сплоченности команды, лучше защищены от внутренних «вредителей».
2. Обеспечить информационную гигиену рабочих процессов
Хакеры и «кроты» нередко пользуются оплошностями своих коллег. Сценариев масса, и все они происходили в реальной жизни. Кто-то оставил в принтере важную документацию, кто-то переслал коллеге рабочие файлы через мессенджер, а не корпоративную CRM, кто-то просто сплетничал в курилке о результатах совещания.
Минимизировать риск возникновения таких ситуаций поможет информационная гигиена рабочих процессов. В идеале для каждого из них должны быть сформированы четкие рекомендации по защите данных, которые озвучиваются на инструктаже, под роспись сотрудника.
3. Внедрить режим коммерческой тайны
Во многих компаниях он существует только на словах, а должен фиксироваться документами, имеющими юридическое значение. Ответственность за нарушение тех или иных аспектов коммерческой тайны побуждает сотрудников хорошо подумать, прежде чем делиться информацией с конкурентами.
Алгоритм внедрения коммерческой тайны:
- Составить четкий перечень данных, которые относятся к КТ. Установленного перечня нет, все на усмотрение руководства (и здравого смысла).
- Подготовить закрепляющие документы: Положение о коммерческой тайне, Соглашение о конфиденциальности и Приказ об утверждении Положения.
- Ознакомить сотрудников с документами под роспись.
4. Организовать рабочую группу по информационной безопасности
В положении о коммерческой тайне прописываются ответственные за ее соблюдение лица. Но вдобавок к этому есть смысл внедрить своего рода информационный комиссариат – выбрать одного или нескольких доверенных сотрудников, которые будут контролировать инфобезопасность вне своих должностных полномочий.
Рабочей группе следует выработать алгоритм действий при разных сценариях нарушений: умышленное подтвержденное, умышленное неподтвержденное, простая халатность и т. д. В любом случае реагирование должно быть незамедлительным, а принятые меры – направленными в первую очередь на нейтрализацию последствий утечки, и уже потом – на наказание нарушителя.
5. Разработать четкий план действий в случае утечки данных
Критические ошибки совершаются в первые дни или даже часы, когда на компанию обрушивается лавина внимания и критики от потребителей, партнеров, инвесторов, СМИ, а нередко и государственных органов. Поэтому здесь важно грамотно рассредоточить усилия: с одной стороны – сократить негативные последствия, с другой – провести расследование.
Если злоумышленник находится среди сотрудников, то расследование должно проводиться аккуратно, чтобы тот не успел замести следы
Ситуация с утечкой данных является кризисной, и тут нужен четкий план действий, разработанный с учетом принципов кризисного менеджмента. Вне зависимости от специфики и масштаба компании он всегда включает три аспекта:
- Первая реакция на инцидент. Это официальная позиция компании, которая включает не только признание проблемы, но и озвучивание путей и сроков ее решения.
- Локализация негативного эффекта. Компания уведомляет об инциденте всех, кого потенциально может коснуться утечка данных, и дает рекомендации по защите их интересов.
- Антикризисные меры, направленные на снижение ущерба и восстановление репутации компании.
Заключение
Любые меры защиты информации в рамках компании следует внедрять по принципу ранжирования рисков. Основные усилия по обеспечению инфобезопасности должны быть сосредоточены вокруг критично важных для жизнедеятельности компании процессов. Это технология производства продукта, стратегия развития, инвестиционный портфель и т. д. Предусмотреть все и везде нельзя, но минимизировать риски – вполне реально.
