Top.Mail.Ru
Колонки

Как предотвратить утечку данных

Колонки
Антон Яковлев
Антон Яковлев

Эксперт сервиса по проверке контрагентов «Контур.Фокус»

Дарья Кармадонова

Утечка данных актуальна не только для крупных компаний — в 2023 году число хакерских атак на малый бизнес выросло в пять раз. Чем быстрее вы защититесь от мошенников, тем меньше денег потеряете. Эксперт сервиса по проверке контрагентов «Контур.Фокус» Антон Яковлев подготовил гайд с описанием инструментов защиты, которые можно внедрить быстро и недорого.

Как предотвратить утечку данных

Что относится к конфиденциальным данным

Конфиденциальные данные — это любая информация, которая не подлежит огласке. К ней относятся коммерческая, служебная и другие тайны.

Например, персональные данные клиентов — конфиденциальная информация, за сохранность которой отвечает бизнес. К ней относятся база покупателей, описание технологий производства и другие сведения.

Даже условия договора с контрагентом, цена и предмет будут конфиденциальной информацией и могут быть коммерческой тайной в частности. Но условия публичной оферты априори не могут быть конфиденциальными.


Как часто происходят утечки информации

Малый и средний бизнес (МСБ) часто откладывает вопросы, связанные с информационной защитой. Руководители думают, что МСБ неинтересен хакерам, по логике «нечего брать — вот крупные компании пускай защищаются, у них точно есть что украсть». Но крупные компании уже все продумали. Их базы взломать в разы сложнее, поэтому хакеры переключаются на небольшие организации и ИП.

Это подтверждает статистика «Лаборатории Касперского» — в 2023 году число хакерских атак на МСБ выросло в пять раз, а доля в общем количестве достигла 20%. И никто не отменял недобросовестных сотрудников, которые могут украсть клиентские базы или «слить» платежные данные.

На сегодняшний день утечки данных в результате фишинга (кражи данных пользователя через фишинговые сайты, письма и ссылки) технически проще и эффективнее, чем хакерские атаки (взлом и принудительный доступ к данным). Уже давно «хакинг» из технической области перешел в психологию (социальная инженерия).

Стать востребованным специалистом по кибербезопасности можно, выбрав онлайн-курс в каталоге курсов по информационной безопасности.

Поэтому сегодня информационная безопасность актуальна и для МСБ. Так как бизнес малый, то и начинать можно с малого — элементарных мер предосторожности (о них расскажем ниже) и повышения цифровой грамотности сотрудников. А на перспективу стоит узнать о более продвинутых и дорогих решениях по защите, чтобы внедрять их с ростом компании и ценности данных.


Последствия утечки информации

Если злоумышленники украли данные клиентов, компании грозит административная ответственность (ст. 13.11 КОАП РФ). Обычно выписывают штрафы, но также могут временно ограничить деятельность.

Прочие последствия:

  • Финансовые. Если данные клиентов украли с целью хищения денег, владельцы могут обратиться с исками о возмещении ущерба.
  • Коммерческие. Кража базы клиентов или описания технологических процессов грозит потерей потребителей и конкурентоспособности. В короткие сроки организация может потерять от 20–30% выручки.
  • Репутационные. Некоторые клиенты не захотят работать с компаниями, которые не заботятся о безопасности данных. Это грозит не только уходом действующих клиентов, но и сложностями в привлечении новых.

Чем раньше вы задумаетесь о защите данных, тем меньше шансов пострадать от хакеров и лишиться клиентов. Рассмотрим способы защиты от внутренних и внешних утечек.


Защита от внутренней утечки

В 2022 году более 70% утечек произошло по вине сотрудников. Иногда они сами крадут данные — например, менеджер забирает клиентскую базу и после увольнения переманивает клиентов к конкурентам.

Начните с предотвращения внутренних утечек:

  1. Создайте благоприятные условия. Сделайте современный офис, конкурентоспособные финансовые условия, вводите поощрения за выполнение планов и успехи. Людям должно быть комфортно работать в компании. Тогда будет меньше соблазна «слить» данные конкурентам за дополнительную оплату или забрать клиентов после увольнения из-за обиды.
  2. Заключите NDA с сотрудниками, у которых есть доступ к важной информации. NDA — это договор о неразглашении конфиденциальной информации. По нему работники несут ответственность за кражу данных, которые относятся к коммерческой тайне. Если NDA заключается с определенными сотрудниками, а не со всеми — должны быть еще и организационные меры. Любой доступ к определенной информации нужно регламентировать, чтобы случайно информация не попала к «не тому» сотруднику.
  3. Ограничьте доступ к данным, которые не нужны для работы. Например, в базе 1 тыс. клиентов, а менеджер работает с 50. Не открывайте доступ в CRM ко всей базе, ограничьтесь только его клиентами. Это правило справедливо для финансовых документов, технических регламентов и другой информации. Распределение ролей и доступов — наиболее эффективная организационная мера борьбы с утечками.
  4. Доверяйте, но проверяйте. В офисе должно быть видеонаблюдение с записью звука, а на компьютерах — ПО, которое записывает действия. Даже если это не защитит от утечки, то хотя бы упростит поиск виновников. Если в компании внедряется видеонаблюдение и DLP, сотрудников нужно об этом предупредить и получить согласие на обновленные условия работы. Это оформляют письменно или включают в условия трудового договора.
  5. Внедрите DLP-систему. Она анализирует действия пользователей, выявляет и ограничивает аномальное поведение. Например, система не даст сотруднику отправить клиентскую базу с корпоративной почты на личную.

Малому и среднему бизнесу достаточно первых четырех пунктов. Они технически простые и не требуют больших затрат. Этот минимум предотвратит большинство краж.

DLP-система подходит крупным компаниям, поскольку покупка софта, внедрение и поддержка могут обойтись в несколько миллионов рублей. Но это оправданные затраты, потому что в таких организациях ущерб от утечек оценивается в десятки миллионов. 


Защита от внешней утечки

Хакеры стали реже взламывать корпоративные сети из-за высокой защиты. Сложно подсадить вирус в облачное хранилище, поэтому мошенники сосредоточились на слабом звене информационной защиты — сотрудниках.

Например, работникам рассылают фишинговые письма со ссылками на сайты. Они переходят, и в этот же момент в систему попадает вредоносная программа, которая считывает пароли и другую информацию. Но чаще используют подставные сайты, где сотрудник сам вводит данные. Так мошенники получают доступ к базам данных и платежным документам.

Выделим три уровня защиты от внешних утечек:

1. Базовый — это минимум, который нужно сделать в первые месяцы после открытия бизнеса:

  • Повышайте цифровую грамотность сотрудников. Рассказывайте про новые мошеннические схемы и способы защиты, а лучше организуйте тренинги со специалистами по информационной безопасности.
  • Не давайте сотрудникам пользоваться личными компьютерами в рабочих целях — дайте каждому корпоративный ПК. Можно ограничить с них доступ к сайтам, которые не относятся к работе. Тогда вероятность фишинга станет минимальной.
  • Пользуйтесь коммерческим антивирусом. Бесплатные версии защищают не от всех современных угроз.
  • Обновляйте рабочие программы. Злоумышленники могут получить доступ к данным через уязвимости старых версий софта.
  • Работайте с корпоративной почтой — G Suite, Zoho Mail, «Яндекс.Почта» для бизнеса и др. Бесплатные почтовые клиенты — легкая мишень для хакеров.
  • Установите сложные пароли и двухфакторную аутентификацию в рабочих сервисах.

Использование бесплатных почтовых сервисов повышает риск «слива» клиентской базы конкурентам или перехвата контроля над корпоративной почтой — чаще всего доступ к ней имеют несколько сотрудников.

2. Продвинутый — установка системы контроля и управления доступом (СКУД). В небольшой организации достаточно видеонаблюдения и входа по пропускам. СКУД защитит от физического проникновения, которое может закончиться кражей важных документов.

3. Максимальный — использование дорогого софта; актуально для крупных компаний. Например, некоторые организации пользуются контейнеризацией электронных документов. Файлы шифруются ключом, поэтому их нельзя открыть на других устройствах. Также внедряют сетевую защиту и шифрование накопителей на ноутбуках и планшетах.


Что делать, если уже произошла утечка

Если данные уже украли, их вряд ли получится вернуть. Если это сделали сотрудники, можно взыскать ущерб через суд. Но без NDA и положения о коммерческой тайне доказать вину будет проблематично.

Если данные украли после взлома, вариантов для минимизации ущерба еще меньше. В СМИ можно дать объявление, что готовы заплатить за возвращение документов или неразглашение информации. Или пустить новость, что ничего важного не украли — хотя бы успокоите некоторых клиентов.

Поэтому в вопросе утечек профилактика и предотвращение — лучшие друзья. Дайте бизнесу информационную защиту, чтобы потом не устранять последствия кражи или хакерской атаки.


Коротко

  1. В 2023 году число хакерских атак на МСБ выросло в пять раз, а доля в общем количестве достигла 20%. В 2022 году более 70% утечек произошло из-за сотрудников.
  2. Чтобы защититься от внутренней утечки, создайте комфортные рабочие условия, используйте NDA, ограничивайте доступ к данным и контролируйте действия сотрудников. Когда бизнес вырастет, рассмотрите внедрение DLP-системы.
  3. Внешняя утечка часто происходит из-за незащищенности рабочих мест. Установите на компьютеры коммерческие антивирусы, обновляйте софт, пользуйтесь корпоративной почтой, сложными паролями и двухфакторной аутентификацией.
  4. От физического проникновения поможет СКУД. В небольшой организации достаточно видеонаблюдения и входа по пропускам.
  5. Максимальная защита — контейнеризация электронных документов, внедрение сетевой защиты и шифрование накопителей на ноутбуках и планшетах.

Фото на обложке: Unsplash

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 На какие товары нужны сертификаты качества продукции и как их оформить
  2. 2 Экономика в HR: с чего начать подбор персонала и на какие затраты рассчитывать
  3. 3 Открытое акционерное общество (ОАО): что это и как зарегистрировать
  4. 4 В Сочи пройдет конференция-кэмп для C-level в IT South HUB 2024
  5. 5 Что такое диаграмма Ганта и как ее построить
Relocation Map
Интерактивный гид по сервисам и компаниям, связанным с релокацией
Перейти