Как предотвратить утечку данных

Что относится к конфиденциальным данным

Конфиденциальные данные — это любая информация, которая не подлежит огласке. К ней относятся коммерческая, служебная и другие тайны.

Например, персональные данные клиентов — конфиденциальная информация, за сохранность которой отвечает бизнес. К ней относятся база покупателей, описание технологий производства и другие сведения.

Даже условия договора с контрагентом, цена и предмет будут конфиденциальной информацией и могут быть коммерческой тайной в частности. Но условия публичной оферты априори не могут быть конфиденциальными.

Как часто происходят утечки информации

Малый и средний бизнес (МСБ) часто откладывает вопросы, связанные с информационной защитой. Руководители думают, что МСБ неинтересен хакерам, по логике «нечего брать — вот крупные компании пускай защищаются, у них точно есть что украсть». Но крупные компании уже все продумали. Их базы взломать в разы сложнее, поэтому хакеры переключаются на небольшие организации и ИП.

Это подтверждает статистика «Лаборатории Касперского» — в 2023 году число хакерских атак на МСБ выросло в пять раз, а доля в общем количестве достигла 20%. И никто не отменял недобросовестных сотрудников, которые могут украсть клиентские базы или «слить» платежные данные.

На сегодняшний день утечки данных в результате фишинга (кражи данных пользователя через фишинговые сайты, письма и ссылки) технически проще и эффективнее, чем хакерские атаки (взлом и принудительный доступ к данным). Уже давно «хакинг» из технической области перешел в психологию (социальная инженерия).

Поэтому сегодня информационная безопасность актуальна и для МСБ. Так как бизнес малый, то и начинать можно с малого — элементарных мер предосторожности (о них расскажем ниже) и повышения цифровой грамотности сотрудников. А на перспективу стоит узнать о более продвинутых и дорогих решениях по защите, чтобы внедрять их с ростом компании и ценности данных.

Последствия утечки информации

Если злоумышленники украли данные клиентов, компании грозит административная ответственность (ст. 13.11 КОАП РФ). Обычно выписывают штрафы, но также могут временно ограничить деятельность.

Прочие последствия:

• Финансовые. Если данные клиентов украли с целью хищения денег, владельцы могут обратиться с исками о возмещении ущерба.
• Коммерческие. Кража базы клиентов или описания технологических процессов грозит потерей потребителей и конкурентоспособности. В короткие сроки организация может потерять от 20–30% выручки.
• Репутационные. Некоторые клиенты не захотят работать с компаниями, которые не заботятся о безопасности данных. Это грозит не только уходом действующих клиентов, но и сложностями в привлечении новых.

Чем раньше вы задумаетесь о защите данных, тем меньше шансов пострадать от хакеров и лишиться клиентов. Рассмотрим способы защиты от внутренних и внешних утечек.

Защита от внутренней утечки

В 2022 году более 70% утечек произошло по вине сотрудников. Иногда они сами крадут данные — например, менеджер забирает клиентскую базу и после увольнения переманивает клиентов к конкурентам.

Начните с предотвращения внутренних утечек:

1. Создайте благоприятные условия. Сделайте современный офис, конкурентоспособные финансовые условия, вводите поощрения за выполнение планов и успехи. Людям должно быть комфортно работать в компании. Тогда будет меньше соблазна «слить» данные конкурентам за дополнительную оплату или забрать клиентов после увольнения из-за обиды.
2. Заключите NDA с сотрудниками, у которых есть доступ к важной информации. NDA — это договор о неразглашении конфиденциальной информации. По нему работники несут ответственность за кражу данных, которые относятся к коммерческой тайне. Если NDA заключается с определенными сотрудниками, а не со всеми — должны быть еще и организационные меры. Любой доступ к определенной информации нужно регламентировать, чтобы случайно информация не попала к «не тому» сотруднику.
3. Ограничьте доступ к данным, которые не нужны для работы. Например, в базе 1 тыс. клиентов, а менеджер работает с 50. Не открывайте доступ в CRM ко всей базе, ограничьтесь только его клиентами. Это правило справедливо для финансовых документов, технических регламентов и другой информации. Распределение ролей и доступов — наиболее эффективная организационная мера борьбы с утечками.
4. Доверяйте, но проверяйте. В офисе должно быть видеонаблюдение с записью звука, а на компьютерах — ПО, которое записывает действия. Даже если это не защитит от утечки, то хотя бы упростит поиск виновников. Если в компании внедряется видеонаблюдение и DLP, сотрудников нужно об этом предупредить и получить согласие на обновленные условия работы. Это оформляют письменно или включают в условия трудового договора.
5. Внедрите DLP-систему. Она анализирует действия пользователей, выявляет и ограничивает аномальное поведение. Например, система не даст сотруднику отправить клиентскую базу с корпоративной почты на личную.

DLP-система подходит крупным компаниям, поскольку покупка софта, внедрение и поддержка могут обойтись в несколько миллионов рублей. Но это оправданные затраты, потому что в таких организациях ущерб от утечек оценивается в десятки миллионов. 

Защита от внешней утечки

Хакеры стали реже взламывать корпоративные сети из-за высокой защиты. Сложно подсадить вирус в облачное хранилище, поэтому мошенники сосредоточились на слабом звене информационной защиты — сотрудниках.

Например, работникам рассылают фишинговые письма со ссылками на сайты. Они переходят, и в этот же момент в систему попадает вредоносная программа, которая считывает пароли и другую информацию. Но чаще используют подставные сайты, где сотрудник сам вводит данные. Так мошенники получают доступ к базам данных и платежным документам.

Выделим три уровня защиты от внешних утечек:

1. Базовый — это минимум, который нужно сделать в первые месяцы после открытия бизнеса:

• Повышайте цифровую грамотность сотрудников. Рассказывайте про новые мошеннические схемы и способы защиты, а лучше организуйте тренинги со специалистами по информационной безопасности.
• Не давайте сотрудникам пользоваться личными компьютерами в рабочих целях — дайте каждому корпоративный ПК. Можно ограничить с них доступ к сайтам, которые не относятся к работе. Тогда вероятность фишинга станет минимальной.
• Пользуйтесь коммерческим антивирусом. Бесплатные версии защищают не от всех современных угроз.
• Обновляйте рабочие программы. Злоумышленники могут получить доступ к данным через уязвимости старых версий софта.
• Работайте с корпоративной почтой — G Suite, Zoho Mail, «Яндекс.Почта» для бизнеса и др. Бесплатные почтовые клиенты — легкая мишень для хакеров.
• Установите сложные пароли и двухфакторную аутентификацию в рабочих сервисах.

Использование бесплатных почтовых сервисов повышает риск «слива» клиентской базы конкурентам или перехвата контроля над корпоративной почтой — чаще всего доступ к ней имеют несколько сотрудников.

2. Продвинутый — установка системы контроля и управления доступом (СКУД). В небольшой организации достаточно видеонаблюдения и входа по пропускам. СКУД защитит от физического проникновения, которое может закончиться кражей важных документов.

3. Максимальный — использование дорогого софта; актуально для крупных компаний. Например, некоторые организации пользуются контейнеризацией электронных документов. Файлы шифруются ключом, поэтому их нельзя открыть на других устройствах. Также внедряют сетевую защиту и шифрование накопителей на ноутбуках и планшетах.

Что делать, если уже произошла утечка

Если данные уже украли, их вряд ли получится вернуть. Если это сделали сотрудники, можно взыскать ущерб через суд. Но без NDA и положения о коммерческой тайне доказать вину будет проблематично.

Поэтому в вопросе утечек профилактика и предотвращение — лучшие друзья. Дайте бизнесу информационную защиту, чтобы потом не устранять последствия кражи или хакерской атаки.

Коротко

1. В 2023 году число хакерских атак на МСБ выросло в пять раз, а доля в общем количестве достигла 20%. В 2022 году более 70% утечек произошло из-за сотрудников.
2. Чтобы защититься от внутренней утечки, создайте комфортные рабочие условия, используйте NDA, ограничивайте доступ к данным и контролируйте действия сотрудников. Когда бизнес вырастет, рассмотрите внедрение DLP-системы.
3. Внешняя утечка часто происходит из-за незащищенности рабочих мест. Установите на компьютеры коммерческие антивирусы, обновляйте софт, пользуйтесь корпоративной почтой, сложными паролями и двухфакторной аутентификацией.
4. От физического проникновения поможет СКУД. В небольшой организации достаточно видеонаблюдения и входа по пропускам.
5. Максимальная защита — контейнеризация электронных документов, внедрение сетевой защиты и шифрование накопителей на ноутбуках и планшетах.

Фото на обложке: Unsplash