Проект видавничого дому «МЕДІА-ПРО»
Проблемы информационной безопасности украинских компаний | director.com.ua

Проблемы информационной безопасности украинских компаний

Автор статьи: 

Виктория МИХНЮК

Заглавное изображение: 

Известно, что 70 % утечек информации в Украине относятся к персональным данным.
Ущерб, нанесенный имиджу бизнеса, трудно оценить. Как подсчитать, сколько клиентов откажется продолжать сотрудничество, если узнают о том, что номера их паспортов или телефонов попали в руки мошенников по вашей вине? Согласно результатам исследования компании SearchInform, хуже всего в Украине дела обстоят именно с безопасностью персональных данных

Подсчитываем потери

В октябре прошлого года Интернет облетела новость о том, что аферисты взяли кредит на $1,5 млн, воспользовавшись паспортными данными киевлянина. Персональная информация попала в руки мошенников через банк, в котором мужчина менял валюту. Несмотря на то, что ни имя клиента, ни название банка не фигурировали (что вызвало некоторые сомнения в достоверности сведений), подобная ситуация могла иметь место. Сегодня на киевском книжном рынке «Петровка» можно найти любые базы данных, и вопрос лишь в том, кто и для каких целей ими воспользуется.

Впрочем, клиенты могут пострадать не только от прямой утечки их личных данных, иногда достаточно упустить другие конфиденциальные сведения. Так, летом прошлого года украинские спецслужбы впервые обезвредили международную группу хакеров, в которую входили, в частности, 16 граждан Украины. В течение трех лет преступники взламывали иностранные банковские счета с помощью компьютерного вируса. Группа нанесла клиентам финучреждений ущерб на сумму более $72 млн. По мнению экспертов, зачастую таким преступлениям предшествуют утечки информации, необходимой для взлома системы безопасности.

В 2011 году компании во всем мире официально потратили более $500 млн на ликвидацию последствий утечек данных. В список пострадавших входят такие гиганты, как: Sony, Epson, Morgan Stanley, Samsung Card Co, Citigroup, Power Finance Corp. Украинскому бизнесу проблема информационной безопасности знакома не понаслышке. Как показал опрос SearchInform, 53 % украинских компаний сталкивались с утечками конфиденциальных сведений. Среди участников социологического исследования присутствовали банки, промышленные, торговые, транспортные и иные организации (рис. 1).

От того, чем занимается фирма, зависит и то, какие секреты ей бережнее всего приходится охранять. Если для благополучия завода важнее сберечь в тайне технологические ноу-хау, то, скажем, банку в первую очередь следует не допускать утечек данных о владельцах пластиковых карт, как это совсем недавно произошло с крупнейшими платежными системами MasterCard иVisa. Напомним: вследствие этой утечки могли пострадать от 1 до 10 млн жителей США. Обе именитые компании поспешили заверить, что их вины в инциденте нет. Вся ответственность лежит на сторонней организации — платежном операторе Global Payments, с которым моментально было прекращено сотрудничество. Показательно, что об утечке было известно заранее. Еще до возможного совершения актов мошенничества официальные представители MasterCard и Visa предупредили банки, а те, в свою очередь, пообещали следить за всеми подозрительно активными карт-счетами.

Каналы утечек

Украинский бизнес при утечке конфиденциальных данных ведет себя более трусливо. Общественность и клиенты узнают об их потере только в 19 % случаев. Однако дело здесь не в запредельной честности американских фирм, а в том, что они живут в другом правовом поле. По законам США, компания, допустившая «слив» персональных данных, должна уведомить всех пострадавших. А таких бывает немало. Как показывает мировая практика, личная информация о клиентах или работниках подвержена утечкам в большей мере. По некоторым оценкам, порядка 90 % украденных в прошлом году данных являлись персональными. В этом плане наша страна идет в ногу со всей планетой. По информации SearchInform, 70 % утечек в Украине касались персональных данных. Техническую и финансовую информацию у нас воруют гораздо реже (рис. 2).

Отчасти такую статистику можно объяснить тем, что уважать приватную информацию на постсоветском пространстве не привыкли. Все понимают, что утечка финансовой отчетности или технологических разработок грозит убытками и может быть легко раскрыта, тогда как сохранность персональных данных волнует лишь их владельцев. Поэтому, продавая заинтересованному лицу базу клиентов, менеджер думает, что абсолютно ничем не рискует. В Украине уже больше года действует закон «О защите персональных данных», однако документ, устанавливающий ответственность за его нарушение, довольно спорный и вступит в силу только этим летом.

Впрочем, на инсайдера всегда найдутся меры воздействия и в рамках трудового законодательства. По результатам исследования SearchInform, чаще всего виновных в утечках информации увольняют (53 %) или штрафуют (24 %). Среди тех, кто проговорился о секретах фирмы, преобладают менеджеры и руководители подразделений (рис. 3).

На вопрос, почему те или иные сотрудники решаются стать инсайдерами, нельзя ответить однозначно. Во-первых, не все утечки бывают умышленными. Зачастую находкой для шпиона становятся «болтуны» — и тогда корпоративные тайны покидают офис как бы случайно. Соотношение умышленных и случайных утечек — примерно 45 на 45 %. Оставшиеся 10 % — это те случаи, природу которых выяснить не удается.

Однако если секреты фирмы оказались раскрыты, то, в любом случае, виновен человек: либо руководитель, не объяснивший, какая информация не предназначена для чужих глаз, либо сотрудник, воспользовавшийся своим служебным положением. Согласно выводам польской исследовательской лаборатории Mediarecovery, коммерческие тайны раскрывают три типа работников:
1. Специалисты, которые не осознают важности имеющихся данных. Они могут попросту проговориться, потерять ценные сведения либо нечаянно открыть к ним доступ. Вспомним нашумевшую в России историю с утечкой в сети Интернет смс-сообщений абонентов «Мега-Фона». В июле прошлого года 8 тыс. смс, отправленных с сайта оператора, оказались доступными для чтения через поисковую систему «Яндекс». Оказалось, что на сайте «МегаФона» отсутствовал файл robots.txt, отвечающий за скрытие от индексации поисковиков той или иной информации.
2. Лица, обиженные руководством. Они сознательно раскрывают корпоративные секреты, но не столько ради личной выгоды, сколько из мести. В этой категории много уволенных работников. Кстати, с попыткой уволенных или уволившихся сотрудников забрать с собой конфиденциальную информацию сталкивались 65 % украинских организаций, опрошенных SearchInform.
3. Злонамеренные инсайдеры. Они осознают важность имеющихся сведений и используют их в собственных целях. Такие люди не держат зла на руководство: ничего личного — только деньги. Злонамеренные инсайдеры могут быть специально засланными шпионами или подрабатывающими у конкурентов лазутчиками.

Как демонстрирует рисунок 3, часто утечки — дело рук работников, занимающих ответственные посты. Это объясняется тем, что именно они имеют доступ к конфиденциальным данным. Поэтому разумнее, чтобы за информационную безопасность в компании отвечали люди, подчиняющиеся непосредственно высшему руководству. Как правило, в украинских фирмах эту роль выполняют ИT-отделы или отделы собственной безопасности (рис. 4).

При этом важно не только то, кто следит, но и как он это делает. Конечно, можно приставить сисадмина к каждому работнику и заставить первого наблюдать за действиями второго при помощи технологии удаленного рабочего стола 40 час/нед. Еще вариант: вообще отключить Интернет и запретить пользоваться внешними
носителями, чтобы никто ничего не мог скопировать или переслать через Всемирную сеть. Однако и первый, и второй способы в условиях современного бизнеса являются утопическими.

Что такое DLP?

Сегодня для предотвращения утечек применяются DLP-системы (от англ. Data Leak Prevention — предотвращение утечки данных). Эти инструменты основаны на анализе потоков данных. При выявлении в нем конфиденциальной информации срабатывает защита, и передача сообщения (пакета, потока, сессии) блокируется либо отслеживается. Если сотрудник запустит базу персональных данных (или любую другую конфиденциальную информацию) на печать, отправит ее по электронной почте либо сохранит на внешний носитель, об этом сразу же станет известно офицеру безопасности.

Современные DLP-системы используют лингвистический и семантический анализ текста. Самый простой пример лингвистического анализа — фильтрация документов по стоп-словам («секретно», «конфиденциально» и т. п.). Но ни один злонамеренный инсайдер не станет напрямую использовать их. Для того чтобы выделить возможную утечку, DLP-решение также определяет, в каком контексте используется конкретный термин. Кроме того, для успешной работы программе нужно уметь классифицировать информацию по функциональной принадлежности (финансовая, производственная, технологическая, коммерческая, маркетинговая), а внутри классов категоризировать ее по уровню доступа (для свободного распространения, для ограниченного доступа, для служебного использования, секретная, совершенно секретная и т. д.).

DLP-системы уже применяет четверть опрошенных в Украине организаций, еще 48 % респондентов планируют ее внедрить. После того как решение об установке соответствующего ПО принято, необходимо определить, какие каналы утечек будет контролировать DLP. Специалисты считают, что для наибольшей защищенности нужно задействовать максимальное количество каналов передачи данных. Но, как показывает практика, прежде всего украинские работодатели желают быть информированными о содержании переписки своих сотрудников по электронной почте (рис. 5).

Резюмируя, можно отметить, что для коммерческих предприятий именно отношение покупателей зачастую является главной целью. Нельзя допустить, чтобы лояльные клиенты вследствие утечки изменили свою позицию и перешли к конкурентам. Американское понятие «privacy» как уважение к приватной информации постепенно входит и в жизнь нашей страны. Как показало исследование, проведенное по заказу компании Opera в 2011 году в России, больше, чем потери личных данных, россияне боятся только провалов в личной жизни, аварий на транспорте и увольнения. Украинские клиенты тоже хотят, чтобы их право на неприкосновенность личных данных признавали и соблюдали. А желание клиента, как известно, — закон.

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж