Страшный сон консервативных руководителей стал явью: совещания по аудиосвязи, постоянные переписки в мессенджерах и никакого контроля!
Еще коронавирус активизировал две самые опасные угрозы для корпоративной безопасности. Первая – это хакеры, которые пользуются уязвимостью компаний в ситуации экстренного перехода на удалёнку. Вторая – собственные сотрудники. Попробуем разобраться, как и зачем сотрудники могут воровать данные, а главное, как с этим бороться.
Идеальный рецепт корпоративной утечки
По данным исследователей в России в 2019 году количество зарегистрированных утечек закрытой информации из коммерческих и государственных организаций по сравнению с 2018 годом выросло на 40%. При этом хакеры похищают данные меньше чем в 20% случаев, главными нарушителями являются сотрудники – по их вине происходит примерно 70% всех утечек.
Сотрудники могут похитить корпоративную информацию и персональные данные клиентов умышлено или скомпрометировать их из-за нарушения правил информационной безопасности. В первом случае данные скорее всего будут проданы: на черном рынке или конкурентам. Стоимость их может варьироваться от нескольких сотен до сотен тысяч рублей, в зависимости от ценности. В условиях грядущего кризиса и в ожидании волны увольнений такой вариант развития событий становится вполне реальным: паника, страх неизвестности и желание подстраховаться на случай потери работы, а также доступ к рабочей информации без жестких офисных ограничений – это готовый рецепт корпоративной утечки.
Какие данные востребованы на рынке? «Предприимчивые» сотрудники операторов связи предлагают на форумах услугу по «пробиванию номера»: таким путем можно получить имя владельца, адрес регистрации и его паспортные данные. Работники финансовых организаций также считают данные клиентов «ходовым товаром».
В корпоративной среде сотрудники передают конкурентам клиентские базы, финансовые документы, исследовательские отчеты, проекты. Правила информационной безопасности хотя бы раз нарушали практически все офисные работники, даже если в их действиях не было никакого злого умысла. Кто-то забыл забрать из принтера бухгалтерский отчет или стратегический план, другой поделился паролем с коллегой, имеющим более низкий уровень доступа к документам, третий отправил друзьям фотографии новейшей разработки, еще не выведенной на рынок. Часть интеллектуальной собственности компании, которая может составлять коммерческую тайну, забирает с собой большинство увольняющихся сотрудников.
Как найти источник утечек
Информация утекает из компании несколькими путями. Данные распечатывают, копируют на внешние носители, отправляют на почту или через мессенджеры, фотографируют экран компьютера или документы, а еще скрывают в изображениях, аудио- или видеофайлах методом стеганографии. Но это высший уровень, поэтому он доступен только очень продвинутым похитителям. Среднестатистический офисный работник вряд ли будет использовать эту технологию.
Пересылку и копирование документов службы безопасности отслеживают с помощью DLP-решений (data leak prevention – решения для предотвращения утечки данных), подобные системы контролируют перемещение файлов и их содержание. В случае подозрительных действий система оповещает администратора и блокирует каналы передачи данных, например, отправку электронных писем.
Почему же несмотря на эффективность DLP информация продолжает попадать в руки злоумышленников? Во-первых, в условиях удаленной работы трудно контролировать все каналы обмена данными, особенно если рабочие задачи выполняются на персональных устройствах. Во-вторых, сотрудники знают о том, как работают подобные системы и обходят их с помощью смартфонов – делают снимки экранов или копий документов. В этом случае предотвратить утечку практически невозможно. По данным специалистов около 20% утечек приходится именно на фотографии, а особенно ценные копии документов передаются таким образом в 90% случаев. Основной задачей в такой ситуации становится поиск инсайдера и предотвращение его дальнейших противозаконных действий.
Самый эффективный способ поиска нарушителя в случае утечек через фотографии – применение системы для защиты данных путем их предварительной скрытой визуальной маркировки. Так, например, система SafeCopy создает уникальную копию конфиденциального документа для каждого пользователя. В случае утечки по обнаруженному фрагменту можно точно выяснить владельца документа, который скорее всего и стал источником утечки.
Подобная система должна не только маркировать документы, но и быть готова к распознанию маркировки с целью идентификации источника утечки. По опыту НИИ СОКБ, источник данных чаще всего приходится определять по фрагментам копий документов, либо по копиям плохого качества, на которых иногда трудно разобрать текст. В такой ситуации на первое место выходит функциональность системы, обеспечивающая возможность определения источника как по электронной, так и по печатной копии документа, или копии любого абзаца документа. Также важно может ли система работать с фотографиями низкого разрешения, сделанными, например, под углом.
Система скрытой маркировки документов, помимо поиска виновника, решает и другую задачу – психологическое воздействие на сотрудников. Зная о том, что документы «помечены», сотрудники реже идут на нарушение, так как копия документа сама укажет на источник ее утечки.
Как наказывают за утечку данных
В США и европейских странах уже никого не удивляют громкие судебные процессы, инициируемые компаниями против действующих или бывших сотрудников. Корпорации активно защищают свою интеллектуальную собственность, нарушители получают внушительные штрафы и даже тюремные сроки.
В России пока не так много возможностей наказать сотрудника, ставшего причиной утечки, особенно умышленной, но пострадавшая компания может попытаться привлечь нарушителя не только к административной, но и к уголовной ответственности. Согласно статье 137 УК РФ «Нарушение неприкосновенности частной жизни» за незаконный сбор или распространение сведений о частной жизни, например данных клиентов, совершенные с использованием служебного положения, может быть наложен штраф от 100 тыс. рублей. Статья 272 УК РФ «Неправомерный доступ к компьютерной информации» предусматривает штраф за незаконное копирование компьютерной информации от 100 до 300 тыс. рублей. Максимальным наказанием за оба преступления может стать ограничение или лишение свободы сроком до четырех лет.
В российской судебной практике пока еще мало прецедентов с серьезными наказаниями для похитителей данных. Большинство компаний ограничиваются увольнением сотрудника и не применяют к нему никаких серьезных санкций. Поспособствовать наказанию похитителей данных могут как раз системы маркировки документов: результаты проведенного с их помощью расследования можно использовать в судопроизводстве. Переломить ситуацию и охладить пыл похитителей и покупателей информации помогут только серьезное отношение компаний к расследованиям утечек и ужесточение наказания за подобные преступления. Сегодня спасение утекающих документов – это дело рук…самих владельцев документов.
amarao
100% утечек происходит из-за человеков. Но это ненадолго, covid-19 должен исправить эту ситуацию, и инциденты ИБ на этом прекратятся.
oassur
Пока большинство офисных сотрудников работают из дома число намеренных и случайных инцидентов ИБ будет только увеличиваться. Службы ИБ вынуждены "закручивать гайки", в то время как сотрудникам нужно выполнять требуемые KPI. Если средства защиты будут этому мешать, конфиденциальный документооборот уйдёт в незащищённый контур личных устройств и сервисов, которые не будут контролироваться никакими DLP. У нашего решения есть пару интересных интеграций на этот счёт: