7 февр. 2013 г.

Казахстанские компании не могут справиться с проблемой утечки конфиденциальной информации

Инсайд без привязи

автор Дмитрий ГОРДИЕНКО
Казахстанские компании не могут справиться с проблемой утечки конфиденциальной информации: в 2012 году количество инцидентов в сфере информационной безопасности увеличилось на 44%, а рост числа утечек составил около 23%. При этом больше других отраслей от утечек в Казахстане страдают промышленность, энергетика и розничная торговля. По мнению экспертов, основная проблема кроется в неэффективной системе управления персоналом, поскольку главным врагом компаний нередко оказываются собственные сотрудники.

По данным исследования компании Search Inform, охватившего более тысячи организаций в Казахстане, в 2012 году количество инцидентов в сфере информационной безопасности увеличилось на 44%, а рост числа утечек информации составил около 23%.

Как отмечает ведущий аналитик Search Inform Роман Идов, это достаточно значительные цифры, но если учесть, что с утечками информации за последние три года сталкивались более двух третей казахстанских компаний, то они не кажутся особенно странными. Роман Идов при этом указывает, что поскольку компании зачастую занижают свои оценки нанесенного утечками ущерба, то собрать данные о финансовой стороне вопроса затруднительно.

«Тем не менее мы считаем, что сумма ущерба возрастет пропорционально росту количества утечек, поскольку основной механизм ущерба в Казахстане – прямой ущерб от потери конкурентного преимущества – во всем мире из года в год сравнительно стабилен для среднестатистической утечки», – считает аналитик Search Inform. По оценкам этой компании, больше других от утечек в Казахстане страдают представители таких отраслей, как промышленность, энергетика, розничная торговля. Другие традиционно подверженные рискам утечек отрасли – банковская, страховая, ИТ – обычно лучше заботятся о своей защите от информационных рисков и по этой причине реже попадают в подобные ситуации.

Немаловажно здесь, как указывает PR-консультант Елена Дмитриева, что конфиденциальная информация может трактоваться достаточно широко: то, что подпадает под гриф «секретно» в одной компании, может быть открытым в другой. И от того, насколько она конфиденциальна в конкретном случае, зависит степень опасности от ее утечки. Основная причина утечек, по мнению г-на Идова, заключается в отсутствии должного контроля со стороны руководства организации: как показывает практика, в компаниях, где применяются и организационные, и технические средства контроля, число утечек сокращается в 5–7 раз. Как считает директор по развитию бизнеса агентства Optimum Consulting Services Дина Абылхожина, в этом отношении нужно помнить о трех составляющих, вместе образующих эффективную систему защиты бизнеса от утечек: постоянная работа с персоналом, соблюдение политики безопасности и наличие сервисов безопасности. «Работая с персоналом, нужно постоянно сообщать сотрудникам о том, какая именно информация является конфиденциальной. Во многих крупных компаниях сотрудников собирают на специальные совещания, где им разъясняют, какая именно информация является закрытой, а какая – нет. Саму политику безопасности на практике зачастую прописывают специальные сотрудники – комплаенс-менеджеры. Они определяют, каким образом должна храниться та или иная информация, насколько она конфиденциальна, непосредственно осуществляют контроль за сотрудниками в плане соблюдения процедур и регламентов. Что касается сервисов безопасности, то необходимо использовать различные системы, с помощью которых можно контролировать доступ к какой-то информации: автоматизированные базы данных, DLP-системы и так далее», – говорит г-жа Абылхожина.

Как полагает Роман Идов, для каждой организации вопрос о мерах защиты должен прорабатываться в зависимости от специфики ее работы. Однако разработка политики информационной безопасности, инструктаж сотрудников, разграничение доступа к конфиденциальным данным и внедрение DLP-системы являются необходимыми условиями успешной защиты от утечек для любой организации. Среди всех технических средств предотвращения утечек информации, как отмечает Роман Идов, именно DLP-система сегодня является самой эффективной. «Хотя к ее выбору необходимо отнестись особенно тщательно, чтобы получить нужный результат. Так, она должна контролировать все возможные каналы утечки данных, поддерживать автоматическое обнаружение конфиденциальной информации в исходящем трафике, поддерживать контроль рабочих ноутбуков, временно оказавшихся вне корпоративной сети. Иногда цена такой системы может показаться зашкаливающей, но она в итоге полностью себя окупает», – уверен эксперт.

По мнению Елены Дмитриевой, для того чтобы не допустить утечку, в первую очередь нужно быть к ней готовым: понимать, как и через кого она может просочиться. И зная это, заранее максимально себя обезопасить, в том числе и пересмотрев круг лиц, имеющих доступ к конфиденциальной информации (нелишней будет и подготовка плана действий на случай утечки).

Одним из средств предотвращения утечек также может быть и создание механизма наказания за разглашение и доведение его до сведения сотрудников, в том числе и включение отдельных пунктов в трудовой договор. «Если сотрудник будет точно знать, что его «болтовня» в курилке может стоить ему работы или определенной денежной суммы, это также заставит его лишний раз задуматься. Но это палка о двух концах – если перегнуть с нареканиями и штрафными санкциями (особенно при отсутствии системы мотивации), вы своими руками воспитаете предателя. Поэтому необходимо и создание комфортных условий для тех, кто уже в коллективе. Конечно, можно и иногда нужно пользоваться системами, которые позволят отслеживать все действия сотрудников за рабочим местом (DLP-системы, жучки и так далее), но только если это действительно обоснованно. И даже если это так, и сотрудники узнают о факте слежки, не ждите понимания», – уверяет г-жа Дмитриева.

Что касается форм утечки, то аналитики в целом сходятся во мнении, что большую опасность для бизнеса представляет именно внутренняя утечка информации: собственные сотрудники зачастую опаснее, нежели хакерские атаки извне. Такие утечки Елена Дмитриева делит на две категории: в первом случае информация передается сознательно, с пониманием возможных последствий ее утечки, во втором – случайно или по глупости. «В первом случае инсайдер преследует определенную цель, рассчитывая на выгоду по принципу «я – тебе, ты – мне». Это может быть материальная выгода: к примеру, если сотрудник компании, чьи ценные бумаги торгуются на фондовой бирже, «сливает» данные о еще неопубликованном финотчете компании брокеру. Или нематериальная – к примеру информация в обмен на другую информацию или поддержку: допустим, если сотрудник «сливает» информацию СМИ. Случай, когда инсайдер рассчитывает на какую-либо эмоциональную выгоду, к примеру повышение своего статуса в глазах собеседника, которому эта информация передается, скорее можно отнести ко второй категории. Сюда же относятся ситуации, когда сотрудник разглашает информацию по той причине, что не считает ее конфиденциальной, или же относится к своей работе в целом небрежно – записывает и оставляет на видных местах пароли доступа, оставляет открытыми компьютер или отдельные файлы, покидая рабочее место», – говорит Елена Дмитриева.

Отметим, что одним из методов распространения секретов фирмы по вине самых сотрудников (осознанно или неосознанно) директор по маркетингу и PR компании «Head Hunter Казахстан» Марина Сакиева называет размещение в социальных сетях или блогах служебной информации, которая может не только повредить имиджу работодателя, но и стать причиной понесенных впоследствии убытков. По данным опроса, проведенного среди казахстанцев исследовательским центром компании Head Hunter, 3% признаются, что публикуют внутреннюю деловую информацию, и в случае, если руководство узнает об этом, – возможны серьезные последствия, 5% также делятся информацией о компании, но уверены, что она не повлечет никаких рисков для их работодателя. Среди опрошенных есть и те, кто уже понес наказание за свою активность в социальных сетях и блогах, – 11%. Причинами послужили: раскрытие секретной информации о компании (10%), выкладывание на персональной странице компрометирующей информации о коллективе (6%), нелицеприятные высказывания в соцсети о руководстве.

Но что делать, когда утечка уже произошла? Как считает Елена Дмитриева, вариантов реагирования здесь в целом три: подтвердить, предоставив дополнительную информацию, которая сможет нивелировать негативные последствия от утечки; игнорировать факт утечки или «переводить стрелки». «Отрицая, компания занимает заведомо невыгодную позицию обороняющегося, жертвы, и только убеждает общественность в правдивости информации. Но, конечно, во всех случаях бывают свои исключения», – утверждает эксперт.

Роман Идов убежден, что прежде всего нужно оповестить тех, кто мог пострадать – молчание обойдется для вашей репутации намного дороже. Во-вторых, нужно найти источник и предотвратить дальнейшие утечки. А далее необходимо оценить, куда могла уйти информация, и попытаться каким-то образом договориться о том, чтобы она не распространялась дальше. «А вообще, конечно, утечку конфиденциальной информации проще предупредить, чем потом пытаться нивелировать ее последствия», – резюмирует аналитик.

Комментариев нет: