От кого и как защищать коммерческую информацию

17.06.2016

Защита информации

 

По данным исследования Infowatch, Россия занимает второе место в мире по количеству утечек конфиденциальной информации, причем в 51,2% случаев, виновными в утечке оказались сотрудники компаний. Иногда службе безопасности удается обнаружить и наказать злоумышленника, но полностью возместить причиненный утечкой ущерб невозможно.

ЧТО КРАДУТ

Чаще всего объектом кражи становятся клиентские базы. Крадут топ-менеджеры, чтобы открыть собственную фирму на обломках вашей и переманить «тёплых» клиентов. Крадут сотрудники отдела продаж, чтобы перепродать либо прямым конкурентам, либо многочисленным «инвестиционным фондам», «салонам красоты», «независимым консультантам» и прочим адептам сетевого маркетинга. Крадут обиженные «несправедливым» увольнением, чтобы «насолить» бывшему работодателю и выложить информацию в открытый доступ. И не ясно, что хуже. Так, по данным опросов французской компании Teleperformance Group, «утечка персональных данных приводит к тому, что две трети клиентов компании прекращают доверять ей в дальнейшем». Прямой ущерб от перехода части клиентов к конкурентам еще можно подсчитать, но в каких цифрах измерить ущерб от испорченной репутации?

На втором месте – информация об условиях, предложенных компанией в тендерах и аукционах. Цена контрактов достигает десятков и сотен миллионов рублей. Зная ваше ценовое предложение, недобросовестному конкуренту достаточно опустить цену на пару тысяч рублей, чтобы ваша заявка проиграла, а вы лишились прибыли, измеряемой сотнями тысяч.

Третье место – ноу-хау, бизнес-планы, стратегии развития, дизайн-проекты. Оценить потери по данному направлению тяжело. Ориентиром служит стоимость создания инновационных продуктов. Так, разработка одного лекарства фармацевтической компанией стоит от 4 до 11 миллиардов долларов США, создание нового микрочипа – 300 миллионов, а новый автомобильный двигатель – 100 миллионов долларов. Впрочем, даже если забыть о гигантах индустрии, то кража инженерного проекта или дизайна упаковки – это тоже убытки. Для небольшой компании и трагичные, и трудно восполняемые.

КТО КРАДЕТ?

По данным исследования InfoWatch, руководители организаций и работники ИТ-службы становятся источниками утечек только в 4% случаев. Первое место с 72% занимают офисные сотрудники: менеджеры, секретари, бухгалтеры и т.п.

Мы понимаем, что указанные цифры условны и касаются только данных о раскрытых случаях утечек конфиденциальной информации. Выявить источник утечки удается не часто и сделать это сложнее как раз в тех случаях, когда речь идет о сотрудниках руководящего звена или службе ИТ.

Несовершенство российского законодательства не дает возместить ущерб от кражи коммерческой информации. Мне известен один случай, когда пострадавшая компания из России сумела довести дело до суда: бывшему сотруднику Яндекса дали условный срок за кражу исходного кода и алгоритмов Яндекс Поиска. Если вы не Яндекс – максимум, что вы сможете сделать – уволить «крота».

КАК КРАДУТ?

Как ни странно, это слышать в наш цифровой век, шестая часть конфиденциальных данных уходит за пределы компании в бумажном виде: секретные бумаги распечатывают на принтере и выносят за пределы проходной. Несколько реже корпоративная информация становится общедоступной без злого умысла сотрудника — в результате потери корпоративного смартфона или ноутбука. 62% утечек критичной для бизнеса информации происходит через сетевой канал (личную и корпоративную почту, соцсети, облачные хранилища). Я считаю, что особое внимание нужно уделять именно контролю сетевого канала передачи данных.

КАК НАЙТИ ВОРА?

Это вопрос, которым задаваться как раз не стоит: если система защиты коммерческой информации надежна, вор не проникнет к нужным файлам ни снаружи, ни изнутри. А значит и необходимость в его поисках отпадет сама собой. Поэтому правильный вопрос: каким образом выстроить линию защиты?

Если говорить о технических средствах защиты, выбор стоит между тремя стратегиями.

  1. Базовый вариант – введение запретов и ограничений. Администратор сети закрывает для рядовых сотрудников доступ к соцсетям и личным почтовым ящикам. Запрещает посещение облачных хранилищ данных и использование съемных носителей информации – флэшек, CD-дисков и т.д. Затруднить кражу коммерческой информации может хранение баз данных на съемных жестких дисках, оснащенных аппаратными электронными ключами. Однако такой подход, во-первых, затрудняет обмен информацией с коллегами и внешним окружением, а, во-вторых, оставляет массу не закрытых лазеек;
  2. Максимальная защита – установка DLP-системы. Используемые в этом случае технологии автоматически выделяют в общем потоке информации ту, которая носит конфиденциальный характер – на основе формальных признаков и специальных меток. Такая система не позволит без специального разрешения «выпустить» за пределы корпоративной сети сообщение, в котором содержатся паспортные данные, реквизиты платежных карт или документы со стоп-словами («Условия поставки», «Поставщики», «Список клиентов» и т.д.). Широкий набор функций позволяет настроить программный продукт под нужды конкретного бизнеса. Однако стоимость ее установки неподъемна для предприятий малого бизнеса, подключение одного рабочего места обойдется не менее, чем в 10 тысяч рублей;
  3. Золотая середина – использование комплексных систем защиты информации на основе облачных технологий. Хороший пример здесь – решения, предлагаемые компанией «АйТек» на базе технологий Microsoft: «Защита коммерческой информации в отделе продаж» и «Защита коммерческой тайны». Построены они на базе трех взаимодополняющих продуктов. AZURE ACTIVE DIRECTORY PREMIUM управляет удостоверениями и доступом корпоративного уровня для офисных приложений и устройств в локальной или облачной среде. Обеспечивает единый вход, многофакторную проверки подлинности и другие защитные функции. AZURE RIGHTS MANAGEMENT шифрует данные, управляет удостоверениями доступа и авторизацией корпоративных файлов и сообщений электронной почты на телефонах, планшетах и ПК. А MICROSOFT INTUNE контролирует доступ сотрудников к корпоративным приложениям и данным с любого устройства. В совокупности эти три контура защиты способны свести на нет большинство попыток несанкционированного доступа и распространения информации, составляющей коммерческую тайну.

ЧТО В ИТОГЕ?

Можно ли просчитать экономический эффект от внедрения систем защиты информации? Ответить на эти вопросы столь же непросто, как гарантировать «прибыль» от приобретения полиса КАСКО. Можно годами платить за страховку и ни разу ею не воспользоваться. Но случается, что автомобиль угоняют или калечат как раз в тот момент, когда вы решаете, что предыдущие годы тратили деньги зря. Так или иначе, за стабильность бизнеса отвечает руководство компании, и оценка рисков остается за вами.

 

Последние записи