Защита корпоративного контента: как не остаться у разбитого корыта
Промышленный шпионаж, «сливы» конфиденциальной информации в СМИ и конкурентам в последние годы приобретают угрожающие масштабы. Злоумышленники изобретают все новые способы кражи корпоративного контента, и службам безопасности в компаниях приходится по-настоящему исхитряться, чтобы гарантированно защитить внутреннюю информацию.
А защищать приходится многое: от паролей к корпоративным устройствам и внутренних переписок до персональных данных сотрудников и описаний инновационных решений.
Да и нельзя говорить, что какие-то компании оказываются менее подвержены потерям корпоративного контента, чем другие. Так, даже организации высокотехнологичного сектора не могут избежать утечек конфиденциальной информации. Столь же незавидна судьба у банков, государственных органов и образовательных учреждений.
Получается, если даже корпорациям сложно противостоять утечкам, то что делать небольшим компаниям, в которых все равно найдутся данные только для внутреннего пользования? Ответ один – бороться с утечками. Благо, способов для этого существует достаточно.
Доброе слово vs Жесткий менеджмент
Многие компании ведут борьбу с утечками корпоративного контента бессистемно. Обычно все начинается с заключения с сотрудниками договора о неразглашении конфиденциальной информации, который призван пробудить в последних ответственность за работу с внутренними документами. Только, к сожалению, не для всех сотрудников юридический документ имеет значение, и его подписание не останавливает их от «сливов» конфиденциальных данных. Руководители понимают это и пытаются решить проблему управленческими методами.
К примеру, некоторые топ-менеджеры считают, что в атмосфере наибольшей вовлеченности сотрудники лучше всего осознают ценность информации, с которой работают. Но одной атмосферой, корпоративной культурой сыт не будешь, поэтому нельзя забывать о грамотной материальной и нематериальной мотивации персонала. Иначе говоря, делать все, чтобы в компании никто даже не предполагал, что за какое-то вознаграждение можно «поделиться» информацией о своей работе.
Другие руководители, напротив, считают, что вероятность «слива» лишь возрастает, если коллеги много знают об обязанностях друг друга и о производственном процессе в целом. В этом случае управленцы практикуют распределение обязанностей среди сотрудников таким образом, чтобы каждый выполнял собственную конкретную задачу, не имея при этом доступа к целому проекту. Руководители уверены, что без комплексного понимания рабочего процесса сотрудники не смогут оценить значимость для конкурентов либо масс-медиа тех или иных данных. А с учетом ограниченного доступа не будет и фактуры для «слива» контента.
Наконец, можно привести в пример еще один – самый радикальный – способ защиты от утечек, к которому обычно прибегают на крупных производственных предприятиях или в компаниях с государственным участием. Речь идет о ежедневных досмотрах сотрудников по окончании рабочего дня. Конечно, для машиностроения или ВПК, где по определению оборот секретной информации очень высокий, это становится необходимой мерой, и сотрудники таких организаций всё понимают. Однако стоит иметь в виду, что досмотры требуют значительных ресурсов – как кадровых, так и финансовых, – а значит, могут быть внедрены далеко не во всех компаниях. К тому же, в малом и среднем бизнесе могут возникнуть проблемы с лояльностью к руководству. Неужели нам здесь совсем не доверяют?
В общем, обращаясь к тем или иным управленческим решениям в погоне за сохранностью внутренних документов, всегда нужно помнить об их уместности в каждом отдельно взятом случае. Не стоит забывать и о человеческом факторе: многие документы случайно выбрасывают или, пренебрегая нормами безопасности, пересылают их на личную почту. Как раз по этой причине только лишь административных мер может быть недостаточно и ситуацию с безопасностью данных сможет выправить обращение к современным технологиям.
Цифра не уйдет
Так как большая часть корпоративных данных сегодня генерируется, обрабатывается и хранится в электронном формате, утекают эти данные тоже через цифровые носители. Ведь если контент не охраняется надлежащим образом, ничего не мешает злоумышленникам проникнуть в корпоративную сеть и выудить эту информацию, чтобы затем ее «переправить» третьей стороне.
Сценарии таких «сливов» корпоративного контента совсем просты: информацию загружают на USB-носители, в файловые обменники, на облака. Причем сами сотрудники могут даже не подозревать о том, что делают что-то неправильно. Просто решили поработать из дома; просто захотели посоветоваться с коллегами из другой компании, показав им документ.
Как бы то ни было, итог всегда один – информация утекла. В медиа или к конкурентам, уже не имеет значения. Необходимо понять, через какой из каналов просочились эти данные.
С поставленной задачей неплохо справляются системы класса DLP. Они создают защищенный периметр вокруг информационной инфраструктуры компании, внутри которой проводят полный мониторинг исходящей, а в некоторых случаях и входящей информации. Подобные системы (например, InfoWatch Traffic Monitor, «Гарда Предприятие», Zecurion DLP) позволяют контролировать не только движение документов, но и интернет-трафик в компаниях. Обычно такие решения имеют внутренний механизм определения конфиденциальности информации, что позволяет не закрывать полностью периметр и отлавливать только по-настоящему секретные данные. При попытке их передать система останавливает сессию и блокирует информацию.
Однако злоумышленники могут действовать и более изощренно. Например, подключают к корпоративным устройствам – компьютерам, принтерам, клавиатурам – взломанные или перехватывающие аппараты, или даже практикуют перехват информации с небольшого расстояния, напрямую не контактируя с компьютерами.
По этим причинам защита корпоративного контента не может и не должна ограничиваться внедрением только DLP-систем. Охрана цифровой конфиденциальной информации также предполагает физическую защиту объектов, включающую, например, правильно настроенное заземление устройств.
Бумага тоже под угрозой
Как уже упоминалось выше, все это хорошо работает при защите цифровой информации. Но ведь колоссальный объем данных во многих компаниях сначала создается и обрабатывается на бумаге, и лишь после для удобства коллективной работы его переносят в системы электронного документооборота. Казалось бы, принципы защиты контента могут быть те же, что я описал выше. Однако проблема в том, что эти самые документы, содержащие конфиденциальную информацию финансового характера или данные о новых разработках и исследованиях предприятия, при соответствующем доступе совсем несложно «материализовать» обратно. К примеру, распечатать и сканировать, чтобы затем вынести с работы, либо просто сфотографировать на смартфон. А дальше – поминай как звали. Отследить подобные утечки не так просто: необходимо понять, кто из сотрудников мог стать их виновником, а также выяснить, какой именно документ был скомпрометирован. Для крупных компаний с большими объемами документооборота всё это может стать настоящей головной болью.
К счастью, на рынке информационной безопасности уже появились системы, помогающие подстраховаться от утечек «бумаги» (например, ILD). Такие решения как дополнительный модуль безопасности встраиваются в системы электронного документооборота, используемые в компаниях. Прибегая к алгоритму аффинных преобразований, программа изменяет оригинал документа столько раз, сколько сотрудников внутри компании с ним работают. При этом изменения совсем не видны человеческому глазу (то есть сотрудники могут даже не знать, что в организации установлена система, контролирующая сохранность бумажных документов), и работа с документом протекает в привычном формате. Однако решение фиксирует дату и время генерации индивидуальных копий, а также – что самое главное – идентификационные данные о сотруднике, получившем новую версию.
При утечке система распознает, кто в компании стал виновником утечки, и помогает определить, копия какого именно документа попала в открытый доступ.
С одной стороны, сотрудники могут даже не знать о внедренном технологическом решении. Но можно поступить иначе: объявить об использовании в компании системы и о всех последствиях при попытках обмануть модуль вместе с корпоративной службой безопасности. В коллективе будут знать, что вся информация находится под строгим учетом и наблюдением, и как следствие, станут с большей осторожностью относиться к работе с внутренним контентом.
Чтобы не было проблем
Так постепенно мы и подошли к вопросу о профилактике инцидентов, связанных с утечками информации. Ведь не секрет, что гораздо эффективнее предупредить проблемы, чем затем заниматься ее расследованием. А поскольку многие утечки корпоративного контента происходят по незнанию основных правил информационной безопасности, либо просто из-за невнимательности сотрудников, лучшей профилактикой может стать именно образовательная работа с персоналом.
Так, имеет смысл проводить обучающие сессии с последующим тестированием. Также небесполезно рассылать с помощью специальных программ письма с «вредоносным» содержанием, чтобы после тем, кто повелся и кликнул на ссылку, объяснять, почему нельзя было этого делать.
Сотрудники должны понимать, что их ошибки в большинстве своем системны, и, допустив – даже непреднамеренно – утечку один раз, они будут продолжать и дальше. Поэтому важно дать понять коллегам, что за сохранность информации отвечает не только служба безопасности, но и, в первую очередь, сами сотрудники компании.
Опубликовано 18.09.2017