Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Утечка информации может стать причиной финансовых и репутационных рисков. Случиться она может как вследствие промышленного шпионажа, так и по простой невнимательности сотрудника. В статье разберемся, что считать утечкой и как ее предотвратить.
Что такое утечка информации
Когда информацию выносят за пределы организации или определенной территории, либо когда ее узнает кто-то, кому не положено — это считается утечкой. Утечка может произойти случайно, если система безопасности плохо выстроена или дала сбой. А может быть целенаправленной, когда кто-то, у кого есть доступ к данным, продает их мошенникам или конкурентам.
Полезными для них могут быть:
- Сведения о клиентах: контакты, информация о фирме или детали договора.
- Пароли от онлайн-сервисов фирмы и внутренних учетных записей.
- Паспортные и другие юридические данные.
- Интеллектуальная собственность: оригинальные разработки, прописанные процессы, нейминг и другие уникальные идеи.
Чаще всего эти данные попадают в чужие руки, когда в организации не соблюдают нормы информационной безопасности или сама система выстроена неправильно.
Утечка и перехват информации
Есть разница между утечкой и перехватом информации. Утечка — когда информация попала в чужие руки случайно или когда ее передал сотрудник компании, у которого был доступ. Перехват — это когда конкурент или мошенник использует специальные средства для записи или перехвата информации. Если сотрудник рассказал конкуренту о стратегии развития фирмы — это утечка данных. Если он отправил документы руководителю на почту и в то же время скопировал их на флэшку и продал другой фирме, это считается перехватом информации.
За разглашение секретной информации физлицо может получить штраф от пяти тысяч рублей, а юрлицо — до двухсот тысяч рублей. Об этом сказано в ст. 13.14 КоАП РФ. Перехват информации к тому же считается промышленным шпионажем. За него выпишут штраф до одного миллиона рублей, лишат права занимать определенные должности или вести определенную деятельность и даже могут посадить в тюрьму. Наказания определяет ст. 183 УК РФ.
Почему важно защищаться от утечки данных
Последствия утечки могут сильно пошатнуть положение фирмы на рынке и даже привести к закрытию. Информация, попавшая не в те руки, может привести к таким проблемам:
Сильный рост конкурентов. Если компании-конкуренты узнают, как работают ваши процессы и в чем секрет вашего успеха, вы быстро потеряете преимущество.
Финансовые потери или упущенная выгода. Скопированный конкурентами продукт и попытки перестроить систему после утечки обернутся ощутимыми потерями в деньгах.
Ущерб репутации. Если данные попадут в руки мошенников, они смогут обманывать клиентов от вашего имени. Вашу клиентскую базу могут продать конкурентам или сторонним фирмам для холодного обзвона. Вспомните, как раздражает непрошенная реклама от компаний, у которых не должно быть вашего номера. Либо же мошенники будут заключать сделки от лица вашей фирмы и не оказывать обещанные услуги. Невыполненные обязательства могут привести не только к потери репутации, но и к судебным разбирательствам.
Судебные иски клиентов. Если клиенты узнают об утечке данных, они могут обратиться в суд. Согласно ст. 13.11 КоАП РФ, за незаконную обработку данных, в том числе за их утечку, юрлицо заплатит штраф от 60 до 100 тысяч рублей.
Как предотвратить утечку информации
Проще предотвратить утечку информации, чем ликвидировать ее последствия. Разберемся, какие правила стоит соблюдать, чтобы избежать неприятностей.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Как предотвратить внутреннюю утечку информации
Внутренняя утечка информации — это когда данные попали не в те руки внутри организации, либо когда утечка произошла по вине кого-то из сотрудников. Вот что стоит сделать, чтобы ее избежать:
Разделите права доступа. Давайте сотрудникам доступ только к тем данным, которые им необходимы для работы. Используйте для этого системы администрирования доступов и двухфакторную аутентификацию.
Отслеживайте действия персонала. Можно установить на компьютеры систему наблюдения, которая будет фиксировать действия сотрудника: какие файлы и куда он отправляет, на какие сайты заходит. Кроме этого есть программы для записи разговоров по служебному телефону. Сотрудников важно предупреждать о том, что вы записываете их действия, и получить на это письменное согласие. Иначе запись их действий и разговоров будет неэтичной и незаконной. Об этом сказано в ст. 152 ГК РФ и в ст. 138 УР РФ.
Установите DLP-систему. DLP-система — это ПО, которое в фоновом режиме проверяет все операции, которые выполняют на компьютере, и автоматически блокирует те, что кажутся ей подозрительными. Такой программой можно ограничить передачу информации по почте, пересылку данных между компьютерами и даже предотвратить копирование на флэшку. Она защищает как от внутренней, так и от внешней утечки. При этом она не распознает информацию внутри файла, а считывает только тип данных и способ взаимодействия с файлом. Поэтому ее законно установить на компьютер, даже не предупредив об этом сотрудника.
Заключайте NDA. NDA или Non-Disclosure Agreement — это отдельный договор, который заключают с сотрудником, когда он устраивается на работу или стажировку. Он запрещает разглашать конфиденциальную информацию и определяет, какую информацию считать таковой, какими способами и куда ее можно и нельзя передавать и что будет, если человек все-таки вынесет данные за пределы компании. Заключение NDA законно, его условия можно использовать как аргумент в суде.
Создавайте комфортные условия работы. Нанимайте людей, лояльных к компании, и выстраивайте отношения с сотрудниками. Поддерживайте и повышайте их лояльность, подчеркивайте ценность их труда и работайте над мотивацией. Если сотрудник разделяет ценности компании, ему хорошо платят, и его все устраивает, он вряд ли захочет потерять работу, продав информацию.
Используйте корпоративные каналы. Обменивайтесь информацией внутри собственной экосистемы. Корпоративный аккаунт, мессенджер, корпоративные телефоны и почта. У каждого сотрудника должен быть индивидуальный защищенный доступ. После увольнения аккаунт с доступом нужно удалить.
Используйте лицензионное ПО. Проверяйте, какие программы вы ставите на компьютеры сотрудников и кто их написал. Нелицензионное ПО может содержать вирусы или просто быть плохо защищенным.
Обучайте сотрудников основам безопасности. Часто информация уходит в общий доступ не злонамеренно, а из-за ошибки, небрежности или незнания. Если сотрудник понимает, почему важно соблюдать информационную безопасность, и понимает, как это делать, утечек будет меньше.
Как предотвратить внешнюю утечку информации
Внешняя утечка информации — это когда данные оказались в доступе из-за вирусов или взлома. Бороться с этим помогут:
Двухфакторная аутентификация. Это двойное подтверждение личности при входе. Например, когда сотрудник вводит логин и пароль для входа в почту, ему на телефон приходит код подтверждения, без которого он не сможет войти в аккаунт. Подтверждать вход можно через пуш-уведомление, звонок или отпечаток пальца. Установите такую защиту на корпоративных аккаунтах, почте и в CRM-системах. Это снизит вероятность взлома.
С помощью Контур.ID вы легко установите двухфакторную аутентификацию на все компьютеры в офисе. Контур.ID позволяет выбрать три варианта подтверждения личности, просматривать журнал событий и установить защиту подключений.
Антивирус. Он остановит вредоносные программы, способные копировать логины, пароли и другие данные. Покупайте только лицензионное ПО, подходящее под вашу операционную систему.
Чистка ненужных файлов. Удаляйте документы с истекшим сроком давности и ненужные файлы. Вовремя очищайте память компьютера, данные на дисках и серверах, съемных носителях. Распечатанные документы перерабатывайте через шредер. Так у злоумышленников будет меньше возможностей украсть информацию.
Ключи шифрования. Поставить такую защиту можно на отдельный файл или на всю систему. Особенно актуально это если доступ к носителю информации есть у нескольких человек или компьютер находится в публичном месте.
Сложные пароли. Используйте разный регистр букв, знаки препинания и специальные символы. Избегайте стандартных паролей вроде набора цифр, такой пароль можно легко подобрать. Кроме того, не сохраняйте пароли в браузерах или на ПК.
Что делать, если утечка уже произошла
Оцените ситуацию. Проверьте, какие сведения попали или могли попасть к мошенникам или конкурентам. Просчитайте, какие последствия у этого могут быть и как их предотвратить.
Проведите внутреннее расследование. Восстановите недавнюю активность сотрудников, которые работали с утекшей информацией. Проверьте компьютеры на вирусы, а сервера — на наличие недавних атак. Проследите, кто недавно покидал здание или проходил внутрь без разрешения. Воспользуйтесь специальными программами для отслеживания взломов.
Сообщите об утечке в Роскомнадзор. Это нужно сделать, если среди разглашенной или украденной информации были персональные данные сотрудников или клиентов. Подайте заявление на Госуслугах. Для этого нужна подтвержденная учетная запись и чтобы аккаунт был привязан к организации, от чьего имени подается документ. Согласно № 152-ФЗ, нужно сообщить об утечке в течение 24 часов после инцидента, и в течение 72 часов предоставить результаты внутреннего расследования и указать виновных.
