Что необходимо делать для того чтобы минимизировать возможность потери съемных носителей
Съемные носители – как себя обезопасить?
Съемные носители – как себя обезопасить?
Съемные носители – как себя обезопасить?
Как минимум можно снизить риски утечки или потери данных или применить best practices в области снижения ущерба.
Кроме очевидных рисков потери и утечки, появились и новые угрозы. Например, необходимость следить за репутационными рисками публичного разглашения информации (вспомним скандалы вокруг Wikileaks). Также приходится задумываться о требованиях новых законов по соглашениям ACTA, за нарушение или подозрение в нарушении которых могут возникнуть проблемы при пересечении границ.
Что же сегодня является съемным носителем?
Очевидно, что это USB-flash и другие типы накопителей на основе flash и жестких дисков – SD, MMC, Compactflash, медиаплееры (mp3 и видео), цифровые камеры, съемные диски. К ним также относятся довольно экзотические на сегодня носители, такие как DVD- и Blue-Ray-диски и даже floppy-диски.
Сейчас одними из самых популярных съемных носителей являются мобильные устройства – смартфоны, планшеты, электронные книги и ноутбуки. Это приводит к расширению списка рисков. По нашей оценке, оснащенность наладонниками и планшетами сотрудников компаний в Москве сейчас может колебаться от 50 до 90%.
С точки зрения службы безопасности, смартфон, планшет или другое подобное устройство – это откровенный и неприкрытый враг, с которым пока не получается справиться. Это удобное и приятное в жизни и работе устройство может совмещать в себе набор свойств, которые приводят к полной невозможности контроля данных, расположенных на них. Технически же это одновременно и носитель данных, и средство их обработки.
Смартфоны и ноутбуки снабжены несколькими каналами связи – беспроводными, проводными, съемными картами памяти. Они могут сами являться съемными носителями. Более того, они могут являться такими съемными носителями, которые требуют специфических средств обмена данными (например, iTunes). В современных реалиях не все средства контроля USB-носителей корректно их определяют, что, в свою очередь, ведет к потере контроля.
Мобильные операционные системы позволяют пользоваться электронной почтой, Web- и другими сервисами – как корпоративными, так и внешними одновременно.
Возможен ли контроль?
При этом на мобильных платформах в настоящий момент не слишком развиты средства контроля, есть инциденты с вредоносным ПО и нет распространенных бесплатных средств защиты. Более того, для некоторых платформ крайне сложно такие средства разработать и внедрить штатным образом, так как платформы могут быть закрыты, либо требовать значительных усилий по освоению.
Особенно ярко проблема начинает «играть красками», если мы вспомним про облачные хранилища и средства обмена данными, такие как iCloud, dropbox и другие. Инциденты с несанкционированным доступом к данным на подобных сервисах уже можно найти в Сети.
При этом очевидные преимущества данных устройств – мобильность, связность, эргономика, компактность – приводят к тому, что ими активно пользуются в работе основные источники утечки и потери данных – технические специалисты сервисных подразделений, продавцы и топ-менеджеры компаний. Именно эти группы сотрудников имеют штатный доступ к ряду классов закрытой информации, часто покидают более или менее безопасные физические и инфраструктурные границы компании и являются наиболее активными пользователями мобильных устройств.
Все вышеперечисленное приводит к тому, что для пользования корпоративными данными с современных мобильных устройств администраторы иногда вынуждены ослаблять уровни безопасности просто для того, чтобы сотрудники, а в особенности руководители компаний, оснащенные новыми красивыми гаджетами, могли выполнять свои задачи.
Какие технические средства доступны администраторам для уменьшения рисков?
Средства ОС Windows в рамках периметра, особенно с применением развернутой инфраструктуры Active Directory, позволяют до некоторой степени ограничить пользователям возможность подключения USB-устройств. Как правило, в компаниях такая инфраструктура уже развернута, в сети доступны описания подобных настроек. Это позволит недорого (без дополнительных вложений) решить проблему для тех рабочих мест, где действительно не нужно включать съемные носители.
Средства контроля политики по съемным носителям позволят делать более тонкие настройки, например указывать для конкретных пользователей разрешенные типы и экземпляры носителей на рабочих местах. Средства общей безопасности тоже могут снять интенсивность рисков.
Все эти средства, как правило, не позволяют контролировать данные, они контролируют только очевидные риски. Кроме того, они действуют не на стороне съемного носителя, а на стороне инфраструктуры компании.
Учитывая проблему богатых возможностями носителей наподобие смартфона, изрядную помощь администратору окажут средства DLP – если мы хотим контролировать данные, лучше использовать средства, которые предназначены именно для контроля данных. В то же время необходимо помнить, что процесс внедрения и настройки потребует определенных технических, административных и финансовых затрат.
Современные системы DLP позволяют обеспечить достаточно точный контроль на рабочих станциях. Для ноутбуков данный подход является, пожалуй, наиболее универсальным решением по ряду проблем безопасности. Этот метод является также самым затратным, так как количество точек инсталляции ПО будет велико. Хотелось бы отметить, что для мобильных платформ практически нет средств DLP, так что они не решают проблему полностью. Административные и технические затраты могут быть значительными: только одна классификация данных на конфиденциальные и открытые может потребовать много времени, добавить седых волос и не привести к результату.
Для контроля данных можно применять средства IRM, особенно в сочетании с DLP-системами. Системы Rights Management предоставляют возможность автоматического шифрования некоторых типов данных при покидании периметра безопасности. Это полезная возможность, но у нее есть значимые ограничения, которые могут помешать практическому внедрению в жизнь. Перед принятием решения о внедрении IRM-системы имеет смысл посоветоваться с интегратором, так как количество подводных камней при внедрении в сложной инфраструктуре может быть довольно велико, как и стоимость такой системы и ошибок при работе с ней.
Если говорить о персональной защите данных, имеет смысл обратить внимание на такие средства, как TrueCrypt, DiscCrypt, PGPDisk, которые позволяют не только зашифровать данные, но и принять некоторые меры против физического воздействия на владельца для получения паролей.
Для прицельного контроля рисков, связанных с мобильными устройствами, сейчас активно развивается спектр решений MDM (Mobile Device Management). В их основные возможности входит обеспечение жизненного цикла устройств, реализация доступа к данным внутри периметра, удаленный мониторинг и очистка устройств в случае утери. Очевидным плюсом таких средств является возможность контролировать мобильные устройства за пределами периметра компании и обеспечивать минимальные требования безопасности за счет автоматической конфигурации, принудительного включения парольной защиты, использования встроенных средств шифрования, контроля установленных приложений на устройствах, проверки на Jail-break, сохранения возможности безопасно удалить данные электронной почты и других приложений. Спектр возможностей данных средств сильно зависит от используемой мобильной платформы. Стоимость внедрения и эксплуатации может быть довольно велика, но заранее внедренное решение может оправдать себя за один инцидент.
Есть ли возможность обойтись без решения данных задач?
Ответить определенно довольно сложно. Все зависит от того, что мы защищаем, от кого и насколько сильно мы хотим удостовериться, что у нас действительно получилось построить эффективную систему. Ответы на эти вопросы индивидуальны для каждой организации, в которой пришло время решать описанные здесь задачи. К сожалению, мы уже ничего не сможем сделать с предотвращением распространения съемных носителей и мобильных устройств – это не получилось сделать с дискетами, что уж говорить в эпоху, когда школьники ходят на учебу не менее чем с 4 Гбайт в кармане или в телефоне. Сейчас самое время произвести переоценку рисков, связанных с использованием съемных носителей, и разработать комплекс как организационных, так и технических мер, позволяющих построить адекватную систему контроля, которая необходима той или иной компании.
Как показывает опыт, инсайдера никогда не остановить только программно-техническими средствами защиты, сколь бы совершенными они ни были. Самые эффективные меры противодействия инсайдерам – организационные.
Если документ нельзя записать на флешку или мобильный телефон (все порты USB отключены или даже залиты «жидкими гвоздями»), то документ можно сфотографировать с экрана монитора или с распечатки, распечатать в виде QR-кодов, начитать текст документа на диктофон телефона и т.д. Типичной организационной мерой противодействия является запрет на внос телефонов, флешек, фотоаппаратов на контролируемую территорию. Однако не стоит забывать и о работе с персоналом, направленной на то, чтобы сотрудники дорожили своим местом, а также о повышении осведомленности сотрудников о правилах работы с корпоративной информацией. Ведь инсайдеры активно используют социальную инженерию, противостоять которой сможет только осведомленный человек.
Какова же тогда роль в борьбе с инсайдерами программно-технических средств защиты информации?
Чем грозит потеря данных и как этого не допустить
Данные – важнейший бизнес-ресурс в информационном обществе. Именно потому вопросы защиты информации выходят на первый план при построении системы экономической безопасности компании. Особенно остро это касается управленческих и бухгалтерских данных, которые могут быть утрачены как в результате хакерских атак, так и вследствие физической порчи серверов.
Потеря информационной базы, в которой отражена вся коммерческая и производственная деятельность компании, способна парализовать любой бизнес. Поскольку подавляющее большинство российских компаний использует продукты системного интегратора 1С, особенно актуальными являются вопросы защиты информации, хранящейся в базах данных 1С.
Чем грозит компании потеря базы данных 1С?
Потеря информационной базы бухгалтерии – это:
Как случайная, так и преднамеренная потеря данных (Data Loss) – чрезвычайно неприятное событие для компании, которое проще предотвратить, чем устранить его последствия. К счастью, существуют современные решения, позволяющие минимизировать риск потери базы данных 1С.
Основные причины потери баз 1С
Даже самые лучшие программно-аппаратные решения – не совершенны. Потеря баз данных может быть обусловлена человеческим фактором (некомпетентность или злой умысел), проблемами с «железом», сбоями со стороны программного обеспечения и даже форс-мажорами стихийного характера. Если разделить все факторы, способные отрицательно сказаться на функционировании 1С, на объективные (не зависящие от руководства компании и разработчиков используемого софта) и субъективные (те, на которые можно повлиять напрямую), а затем систематизировать последние, можно получить следующую картину.
Субъективные факторы, повышающие риск потери баз данных:
Рассмотрим их более детально.
Слабые места базы 1С в формате файла
Файловые базы 1С практически не защищены ни от преднамеренного копирования и последующего «слива» данных, ни от случайного уничтожения или порчи файлов. Фактически каждое лицо, получившее доступ, может внести изменения в базу данных, а также передать их сторонним лицам. Каждый пользователь операционной системы имеет доступ к файлам и их конфигурациям, это обусловлено самой архитектурой дата-баз данного типа.
Решить проблему отчасти можно установкой высокосложных паролей на рабочих станциях сотрудников бухгалтерии, использованием съемных носителей, запираемых после работы в сейф, повышением контроля за доступом сотрудников. Но все эти мероприятия обеспечивают лишь частичную защиту от человеческого фактора. Кроме того, от кражи и изъятия оборудования они не защитят, как и от его порчи при чрезвычайных ситуациях.
Еще один момент – случайное повреждение или уничтожение базы данных: на предприятии может быть полностью утрачен доступ к базе, сотрудник отдела IT может неудачно переустановить Windows, неопытный работник бухгалтерии может внести изменения не в те поля, оборудование может выйти из строя в силу физического износа. В каждом из этих случаев актуальной будет возможность восстановления базы из резервной копии (бэкапа), желательно, максимально свежей.
Слабые места работы в 1С с базами формата СУБД
Использование системы управления базами данных может показаться хорошим решением для работы с 1С. В этом случае информация из системы 1С хранится на специально выделенном сервере, который выступает физическим хранилищем. Такая схема более надежна, чем рассмотренная ранее, но и она – далеко не совершенна. Безусловно, доступ в серверную случайным лицам получить намного сложнее, но и этот риск – не исключен. Сервера могут изъять сотрудники правоохранительных органов, украсть грабители, они могут быть повреждены в случае пожара. При этом данные будут утеряны вместе с физическим сервером.
Несанкционированно работать с данными могут и люди, получившие постоянный или временный доступ к базе для проведения тех или иных работ. Человеческий фактор может привести к утечке данных.
Опасности утечки конфиденциальной информации
Утечка коммерческой информации и личных данных – это угроза, которая ничуть не уступает по своим возможным негативным последствиям риску порчи или уничтожения информационной базы. Данные – это важный компонент конкурентоспособности компании. Слив клиентской базы потенциальным конкурентам приведет к потере части постоянных заказчиков (покупателей). Утечка информации о новом продукте или о технологическом усовершенствовании старого приведет к тому, что кто-то выйдет на рынок с этим товаром раньше вас. Даже простое копирование продукта может привести к значительным потерям в финансовом плане. Поэтому все ключевые для бизнеса данные должны быть надежно защищены от несанкционированного доступа.
Как показывает практика, от утечек не застрахованы даже компании, имеющие собственную службу безопасности и строгий регламент доступа к данным.
Отсутствие управления доступом к серверному оборудованию
Если база данных хранится на рабочей станции – она, фактически, не имеет защиты. Если она хранится на специально выделенном сервере – ситуация немного улучшается, но говорить об информационной безопасности в данном случае еще рано. Это может уберечь только от случайного доступа к данным, когда идея скачать базу приходит спонтанно. Тот, кто планирует кражу информации, всегда может найти доступ к серверным мощностям, особенно, если доступ к корпусу или консоли сервера 1С ничем не ограничен.
Поэтому регламент доступа в разные помещения компании должен быть достаточно строгим, что влечет за собой необходимость содержания службы охраны, установку системы видеонаблюдения, доступ в серверную по биометрике и т.д. Есть и более простой путь – виртуализация: хранение базы данных на облачных серверах 1С.
Обмен потоками данных с внешними объектами
Информационный обмен – процесс, в котором для баз данных кроется множество рисков и опасностей. Например, повредить файлы, закрыв к ним доступ, может вирус-шифровальщик. Программа-шпион приведет в утечке данных из корпоративной системы, а вредоносное ПО может безвозвратно повредить файлы. При этом в условиях все большей цифровизации экономики прекратить информационный обмен с внешними объектами просто невозможно. Подача налоговой отчетности, взаимодействие с банками, партнерами, контрагентами, покупателями – все это происходит через Интернет. А постоянно растущее число угроз, приходящих из глобальной сети, приводит к тому, что эффективность даже самых лучших брандмауэров и антивирусов не является достаточной. ПО в сфере информационной безопасности так или иначе отстает от вредоносного софта, поскольку все обновления и усовершенствования – это лишь ответ на новые угрозы, а не превентивные меры.
Одним из решений может быть повышение культуры использования глобальной сети сотрудниками: например, каждый должен знать об опасности перехода по ссылкам, которые могут быть в электронной почте от непроверенных отправителей.
Безопасность корпоративной сети
Вопросы сетевой безопасности – одна из актуальнейших проблем защиты корпоративной информации. Нередки случаи, когда корпоративная сеть проектируется и строится с нарушениями, некоторые компании в целях экономии отказываются от полноценной IT-поддержки, используют нелицензионные антивирусные программы и т.д. Во всех этих случаях корпоративная сеть становится уязвимой для проникновений со стороны, для утечек данных и их умышленной порчи.
Сетевая безопасность – это не та система, которой можно пренебречь. Если содержание собственного отдела информационной безопасности – слишком дорого для компании, следует задуматься о передачи данного спектра задач на аутсорс, одной из форм которого может рассматриваться облачная база данных 1С.
1С в облаке: минимизируем риск потери базы данных
Лучшее решение для сведения к нулю опасности потери информационной базы 1С, существующее на данное время – это использование клауд-технологии. Виртуализация баз данных – надежная защита от любых опасностей, которые могут грозить информации в оффлайн-пространстве: выход из строя (вплоть до физического уничтожения) серверного оборудования, ошибки в работе персонала, хакерские атаки и др.
Облачная 1С – это хранение данных на защищенных удаленных серверах, регулярные автоматические бэкапы, позволяющие при необходимости восстановить систему без лишних усилий, а также возможность работать с данными из любой точки земного шара (для пользователей, имеющих доступ).
1С в Облаке с круглосуточной поддержкой
Преимущества облачной 1С:
Помимо удобства и безопасности следует отметить еще одно преимущество: аренда облачной 1С дешевле, чем покупка лицензионной версии программы. Поэтому использование 1С в облаке – это не только высокоэффективная защита данных, но и рациональное решение с экономической точки зрения.
Тестовый период
Для удобства перехода в облачный сервис мы предлагаем бесплатный тестовый период для того, чтобы вы могли поработать в облаке 1С и решить подходит ли вам такой способ работы. Заявку на подключение можно оставить на сайте, наш специалист свяжется с вами, определит ваши требования и подключит вас.
Защита от утечек данных в бизнесе: как предотвратить и как бороться
Утечка данных в бизнесе может грозить многомиллионными потерями. Менеджер ушел, прихватив с собой базу данных покупателей — готовьтесь к оттоку клиентов: возможно, он просто переманит их к конкурентам. Другой компании стали известны внутренние разработки — возможно, они первые выпустят крутой продукт по ним и соберут всю прибыль.
Давайте разберемся, как не допустить потерь. Рассказываем, как защититься от утечки данных и что делать, если она все-таки произошла.
Почему защита от утечек данных важна
Когда мы готовили статью, столкнулись с тем, что представители малого бизнеса не понимают, зачем им нужна защита от утечек данных. «Кому мы вообще нужны? С сотрудниками заключаем договор, а на почту и CRM устанавливаем пароли» — одно из распространенных мнений.
Это — то самое русское «авось». Надежда, что небольшая компания с прибылью около 100 000 рублей в месяц никому не нужна и никто не будет воровать у нее какие-то данные. А когда надежда испаряется и данные все-таки крадут, что-то делать уже поздно.
Приведем один из распространенных сценариев, по которому у вас могут украсть данные. Злоумышленники взламывают CRM и получают доступ к базе данных клиентов. Потом делают сайт точь-в-точь как у вас и регистрируют похожий адрес электронной почты. А затем рассылают клиентам предложение, от которого нельзя отказаться: например, письмо с уведомлением о скидках в 60%. Ваши клиенты переходят на сайт и оплачивают товары, думая, что покупают их у вас. Злоумышленники получают прибыль, клиенты теряют деньги, вы тонете под волной негатива. Это называется фишингом, но вам от этого не легче.
Еще один возможный сценарий — размещение ссылки на вредоносный сайт. Так же, как и в предыдущем случае, злоумышленники взламывают CRM и получают email ваших клиентов. А потом рассылают им письма со ссылкой на вредоносный сайт, который крадет пароли пользователей. Злоумышленники получат пароли и смогут, например, украсть деньги с электронных кошельков людей. А вы получите тонну негатива, потому что письмо будет якобы от вас.
Пройдемся по статистике. Cybersecurity Ventures в ежегодном официальном отчете указали, что каждые 14 секунд во всем мире происходят атаки хакеров. К 2021 году они будут происходить каждые 11 секунд, а общий ущерб от киберпреступности достигнет 6 триллионов долларов в год. А специалисты компании InfoWatch рассказали, что только за прошлый год в сеть утекло более 14 млрд конфиденциальных записей. При этом в России число утечек возросло на 40% по сравнению с прошлым годом, тогда как во всем мире только на 10%.
В прошлом году в России было много скандальных утечек — в сеть «уплывали» базы данных 30 млн автовладельцев, 20 млн налоговых деклараций, 9 млн абонентов «Билайна». И если вы не хотите, чтобы очередная хакерская атака или человеческое недомыслие коснулись вас, читайте дальше. Если продолжаете уповать на «авось», посмотрите хотя бы информацию о том, что делать в случае утечки данных.
Как предотвратить утечку коммерческих данных
Профилактика — наше все. Грамотная защита от утечек данных поможет предупредить негативные последствия, которые могут серьезно повлиять на ваших клиентов и репутацию.
Предотвращаем внутренние утечки данных
Внутренняя утечка данных — это когда ваши же сотрудники сливают информацию конкурентам или забирают с собой базы клиентов или другие данные, когда увольняются. Есть несколько способов защиты от таких недобросовестных работников.
Используйте NDA. Так называют договор о неразглашении коммерческой тайны. Сначала нужно ввести режим защиты коммерческой тайны и четко прописать, что относится к таким сведениям. А затем подписать с каждым сотрудником NDA и обязательно получить подписи работников на документах, относящихся к коммерческой тайне. А в договоре прописать ответственность работников за нарушение. Это чуть умерит пыл предприимчивых дельцов — никто не захочет таскаться по судам и выплачивать 1–2 миллиона рублей компенсации за то, что скинет какие-то данные «на сторону».
Установите DLP-систему. Это технически сложное автоматизированное решение — специальное программное обеспечение, отслеживающее попытки передачи информации посторонним. На корпоративный сервер и все устройства в офисе устанавливают программу, которая в режиме реального времени проверяет все операции и блокирует подозрительные. Например, если сотрудник попытается отправить таблицу Excel с контактами клиентов с корпоративной почты на личную. DLP-система остановит отправку и сразу уведомит о нарушении того, кто ответственен за защиту от утечек данных.
Единственный недостаток DLP-системы — то, что ее невозможно установить на все личные устройства сотрудников. Они смогут сфотографировать что-то на смартфон или записать разговор на диктофон.
Разграничивайте доступ. Один из самых простых способов обезопасить ценную информацию — разграничивать доступ к данным и давать сотрудникам только то, что им нужно для работы. Например, передавать менеджеру не всю базу, а только контакты клиентов, которых он ведет. Или настроить уровни доступа к документации — это можно сделать в CRM-системе.
Наблюдайте за сотрудниками. Это можно сравнить с DLP-системами, но на самом деле решение работает по-другому. Вы просто устанавливаете в офисе видеонаблюдение и прослушивающие устройства, а на ПК — программы для контроля всего, чем занимается сотрудник. Например, ПО для записи всего происходящего на экране. А потом можно самому просматривать и прослушивать записи, чтобы узнать о факте утечки. Это долго и дорого, но подобное решение можно использовать в качестве одного из этапов защиты. Сотрудникам будет психологически некомфортно красть данные, если они знают, что за ними наблюдают.
Дайте мотивацию. Еще один простой способ защитить коммерческие данные компании — мотивировать сотрудников на нормальную работу. Не важно чем: зарплатой, премиями, комфортными условиями труда, перспективной карьерного роста. Если сотрудники будут полностью отдаваться работе в вашей компании, у них не возникнет мысли навредить ей. Построить такую команду мечты очень сложно, но возможно.
Эти способы защиты сработают лучше, если использовать их комплексно. Например, создать нормальные условия для сотрудников, подписывать с ними NDA и дополнительно установить DLP-систему.
Предотвращаем внешнюю утечку
Внешние утечки — это когда кто-то извне ворует информацию, не связываясь с вашими сотрудниками. Например, взламывает почту или получает доступ к CRM, ворует документы из офиса. С этим тоже можно и нужно бороться.
Устанавливайте сложные пароли. Это — самое простое решение, которое часто игнорируют. И делают пароли типа «12345». Их подберет даже школьник, который играючи попытается получить доступ к почте, указанной на вашем сайте. Поэтому используйте генераторы паролей. И храните их там, куда очень сложно добраться: лучший вариант — в вашей голове.
Используйте корпоративную почту. Бесплатные почтовые агенты — не зло, но они не подходят для работы с важными коммерческими данными. Их легко взломают, особенно если этим займется хороший специалист. Купите домен и заведите корпоративную почту, арендуйте почтовый сервер у провайдера или используйте платные агенты.
Включите двухфакторную аутентификацию. Двухфакторная аутентификация — это когда чтобы зайти в систему, надо указывать не только пароль, но и другой способ идентификации, например одноразовый код из смс, уведомление на экране смартфона, отпечаток пальца. Такую защиту можно установить на почту и в некоторые CRM-системы и сервисы. Это серьезно усложнит жизнь любителям красть коммерческие данные.
Установите антивирус. Еще одно простейшее решение, которое часто игнорируют. Не скупитесь на хороший антивирус — установите его на все ПК в офисе. Он перехватит вирусы, которые «подсматривают» пароли или крадут ценные данные напрямую.
Уничтожайте документы. Безвозвратно удаляйте уже ненужные документы с серверов. А если работаете и с бумажными документами, содержащими ценные сведения, не поскупитесь на шредер. Если просто выкинуть их в мусорку, любой сможет достать их из ближайшего мусорного бака. А особо упорные — еще и из мусоровоза.
Используйте СКУД. Так называют системы контроля и управления доступом на предприятиях. Они защитят офис или производство от проникновения посторонних людей. Одно из самых простых и незатратных решений — установить шлагбаум на проходной и выдать сотрудникам именные пропуска. А еще установить видеонаблюдение: и на проходной, и на всей территории предприятия.
Подумайте о средствах сетевой защиты. Рассказывать о них можно много и долго. Если коротко, они нужны тем, кто хранит важные сведения онлайн. Среди таких есть системы контроля трафика, WAF, межсетевые экраны. У них общая цель — обеспечить легкий обмен информацией внутри компании, но полностью защитить ее от любых проникновений извне.
Используйте IRM. Это — контейнеризация каждого документа, содержащего ценные для вас сведения. Работает это так: к каждому документу привязывается информация о ключах шифрования и доступе. Даже если его украдут (например, на флешке), не смогут прочитать на своем устройстве. Внедрение такого решения обойдется дорого, но оно того стоит, если у вас на руках очень важная информация.
Сделайте шифрование дисков на ноутбуках и планшетах работников (FDE). Без специальных ключей доступа пользоваться устройством будет невозможно — даже если его украдут, все данные будут надежно защищены. Полное шифрование файловой системы особенно актуально для ноутбуков – это позволяет защитить данные от случайной кражи: например, если сотрудник забудет рабочий ноутбук в кафе или аэропорту. Подобными решениями пользуются крупнейшие корпорации типа NASA.
Вы уже догадались, что лучше использовать комплексные решения? Чтобы защита от утечек данных работала, просто установить надежный пароль недостаточно.
Что делать, если утечка уже произошла
Фактически вы ничего не сможете сделать — данные уже в руках у злоумышленников. Если вы пытались как-то их защитить, можно, например, подать на бывшего сотрудника в суд. При грамотно составленных документах и хорошем юристе вы выиграете дело и, возможно, даже сможете взыскать ущерб. Это — лучший для вас сценарий при внутренней утечке данных.
Если произошла внешняя утечка или не можете найти виновного — в принципе не знаете, к кому попали данные — остается только смириться. Конечно, можно попытаться что-то сделать: запустить в СМИ утку о том, что украденные данные бесполезны, объявить награду за поиск похитителя или предложить ему вернуть информацию за хорошее вознаграждение. Но далеко не факт, что хоть что-то из этого сработает. А кроме того, обычно все это — игры птиц крупного полета: компаний с многомиллионным ежемесячным оборотом. Малому бизнесу чаще проще смириться, чем тратить нереальные деньги на то, чтобы вернуть данные и не допустить их распространения и использования.
Что о защите коммерческих данных говорят предприниматели
Мы решили узнать, что о защите от утечек данных думают российские предприниматели. И получили интересные мнения.
Галина Камышанская, руководитель компании 42Clouds, рекомендует обращаться к надежным провайдерам. И дает рекомендации по выбору фирмы, которой можно довериться:
«Есть три нюанса, на которые надо обращать внимание.
Триал период. Тестовый период должен быть не менее недели, чтобы у вас была возможность проверить скорость работы, систему бекапирования и скорость реакции технической поддержки.
Техническая поддержка. Это один из ключевых показателей, на которые стоит обратить внимание после стоимости и скорости работы. В обязательном порядке во время тестового периода проверьте, отвечает ли следующим требованиям служба хотлайна:
— Скорость первого ответа — не более 60 сек. От этого зависит, насколько быстро специалисты реагируют на запросы и как быстро смогут устранить неполадки и защитить данные.
— Круглосуточная поддержка. Это одно из обязательных условий для безопасного хранения ваших данных. Форс-мажорные ситуации могут возникать как на стороне клиента, так и на стороне провайдера. Крайне важно своевременно отреагировать и устранить причину возникновения во избежания потери данных.
— Скорость решения задачи не более 1-х суток. Допускается скорость решения до 2-х суток, если задача касается ведения учета в вашей учетной системе. Но провайдер должен обязательно уведомить клиента, что на решение проблемы потребуется дополнительное время.
— Система бекапирования. Попросите предоставить вам копию вашей базы за позапрошлый день. Таким образом вы сможете проверить, действительно ли у них работает система бекапирования, и точно ли в случае форс-мажоров ваши данные останутся целыми. Не у всех провайдеров делаются бекапы на тестовом периоде, поэтому точно проверить это можно будет в первый оплаченный месяц.
Дополнительные инструменты защиты. Не у многих провайдеров есть индивидуальные средства защиты данных клиента. Как пример, в компании 42Clouds создается специальная «Кнопка экстренного отключения». Она очень помогает, когда к клиенту приходят «маски-шоу» с целью забрать данные. В таких случаях с помощью смс-сообщения или фактической кнопки на столе (по желанию клиента) тушится сетевой интерфейс. Сам сервер продолжает работать, но доступ к нему закрывается. Таким образом вся информация остается целой и невредимой, но доступ к ней можно получить только от самого клиента»
Илья Горбаров, СЕО digital-агентства «Атвинта», рассказал о самых простых способах защиты от утечки данных, которые часто игнорируют:
«Когда речь заходит про защиту коммерческих данных компании, нужно четко понимать, что является слабым звеном. Чаще всего слабым звеном оказываются люди. От их внимательности зависит безопасность ваших данных, а порой и коммерческий успех компании.
Давайте говорить про информацию, с которой мы имеем дело каждый день. Отбросим сложные темы типа перехвата трафика и взлома серверов специально обученными людьми.
Начинать нужно с простого — это пароли. Если у вас CRM, в которой хранятся данные тысяч ваших клиентов, и у руководителя отдела продаж с полным доступом пароль qwe123asd, у меня для вас плохие новости. Подобрать или подсмотреть такой пароль не составляет труда.
Важно не забывать про уволенных сотрудников, которых нужно лишать прав доступа к клиентской базе до увольнения, чтобы не было соблазна прихватить ее с собой. Если у вас база клиентов хранится в Excel или на Google Диске, вместо облачной CRM с разграничением прав доступа, у меня для вас тоже плохие новости. Скорее всего, ее копия уже есть у менеджеров.
Люди должны обладать минимальной компьютерной грамотностью, чтобы не открывать фишинговые сайты и подозрительные файлы в почте. У нас был случай, когда через зараженный компьютер сотрудника злоумышленники получили доступ к рекламному кабинету в Facebook и слили приличный бюджет до того, как Facebook успел его заблокировать. Деньги нам не вернули, а личный кабинет пришлось заводить новый. Потеряли мы порядка 50 000 рублей, хватило бы на зарплату среднего сотрудника.
При работе с документами Google очень важно не лениться и давать доступ не по ссылке, а расшаривать его по почте. И не забывать вычищать оттуда уволенных сотрудников. Наша невнимательность однажды привела к тому, что таблица с финансовыми данными оказалась доступна по ссылке. Узнал я об этом от знакомого, которому ее показали. Информация была за прошлые годы, но было неприятно.
И не забудьте поменять пароль по-умолчанию у вашего Wi-Fi роутера, админки сайта и… IP-видеокамер наблюдения. Поищите видео по запросу «взлом IP камер пранк», и у вас отпадут вопросы, зачем это делать»
А вы защищаете коммерческие данные компании или надеетесь на «авось»? Поделитесь своим мнением и лайфхаками по защите в комментариях!