бизнес-риски, связанные с утечкой данных
advertisement
ИССЛЕДОВАНИЯ НИ ДЛЯ КОГО СЕГОДНЯ НЕ СЕКРЕТ, ЧТО УТЕЧКА ИНФОРМАЦИИ МОЖЕТ ИМЕТЬ САМЫЕ НЕПРИЯТНЫЕ ПОСЛЕДСТВИЯ ДЛЯ БИЗНЕСА. НО ЧЕМ ИМЕННО ОНИ ОПАСНЫ И В ЧЕМ СОСТОЯТ РИСКИ УТЕЧЕК ДАННЫХ ДЛЯ БИЗНЕСА? БИЗНЕС-РИСКИ, СВЯЗАННЫЕ С УТЕЧКОЙ ДАННЫХ ПОСТАНОВКА ЗАДАЧИ Конечно, любой бизнесмен понимает где-то на подсознательном уровне, что утечки информации – это не слишком хорошо для его бизнеса. Впрочем, зачастую кроме этого понимания нет ничего, и поэтому борьба с утечками данных носит бессистемный, хаотический характер. Что, конечно же, самым негативным образом сказывается на результатах подобной борьбы. Впрочем, подобной распространенной ошибки можно легко избежать, для этого не нужно чего-то экстраординарного – вполне достаточно понимания тех механизмов, которыми утечка информации может нанести вред допустившей её организации. ЧТО УТЕКАЕТ? Список документов, которые наиболее часто фигурируют в инцидентах с утечками информации, довольно велик, 12 itpartner №5-6 (16-17) 2012 и всё осложняется тем, что подобные документы обычно есть в любой более-менее крупной организации. Вот как выглядит такой список: •• Документы, характеризующие финансовое состояние и планы организации (финансовые отчеты, различная бухгалтерская документация, бизнес-планы, договора и т.д.); •• Персональные данные клиентов и сотрудников организации; •• Технологические и конструкторские разработки, ноу-хау компании и т.п.; •• Внутренние документы (служебные записки, аудиозаписи совещаний, презентации «только для сотрудников» и т.д.); •• Технические сведения, необходимые для несанкционированного доступа в сеть организации третьих лиц (логины и пароли, сведения об используемых средствах защиты и т.п.). Конечно, практически не- возможно предугадать, какая именно, из перечисленной выше, информация может заинтересовать злонамеренного инсайдера, передающего конфиденциальные данные за пределы организации, в тот или иной отрезок времени. Всё зависит от конкретной ситуации и от конкретного человека, решившего поделиться с кем бы то ни было вашими корпоративными секретами. Поэтому защищать необходимо все документы независимо от того, насколько целесообразной их защита представляется вам лично. КАК ЗАЩИЩАТЬСЯ? Для защиты данных от утечек во всем мире успешно используются специализированные программные продукты, называемые DLP-системами (аббревиатура от английского Data Leak Prevention). Подобным продуктом, в современных условиях обязательно имею- ИССЛЕДОВАНИЯ щим качественную поддержку русского языка (работать-то придется с русскоязычными документами), должна быть оснащена каждая российская компания. Впрочем, необходимо понимать, что использование только технических или только организационных средств защиты не обеспечивает вашей компании достаточного уровня защищённости от деятельности инсайдеров. Технические средства должны использоваться для контроля за соблюдением организационных мер, однако при этом основной упор должен делаться именно на проработку организационных решений, поскольку именно они определяют общую структуру системы защиты корпоративной информации. Для защиты от инсайдеров важно создать целостную политику информационной безопасности и соответствующую ей систему, которая сможет охватить все аспекты деятельности вашей фирмы и все каналы передачи информации, с помощью которых инсайдер сможет «делиться» ею с внешним миром. К сожалению, большинство организаций предпочитают экономить на создании качественных систем информационной безопасности, а потому безнаказанно воздействовать на них инсайдерам можно очень и очень долго. Не последнюю роль в деле борьбы с инсайдерами играет HR-отдел (отдел кадров). Вполне очевидно, что набор новых сотрудников должен вестись с учётом потенциальной их склонности к инсайдерской деятельности. Благодаря современным информационным технологиям, отследить утечку информации с предыдущего места работы кандидата в сотрудники вашей фирмы (посты или комментарии в блогах, сообщения на форумах, и т.д.) в большинстве случаев вполне по силам. Рекомендации бывшего работодателя, свидетельствующие об излишнем любо- пытстве со стороны кандидата к закрытой для него корпоративной информации, также говорят о том, что перед вами потенциальный инсайдер. БИЗНЕС-РИСКИ И УЩЕРБ К основным бизнес-рискам, связанным с утечкой информации, относятся следующие: •• Финансовые потери вследствие утраты конкурентного преимущества, штрафов, падения котировок акций и т.д.; •• Репутационные и имиджевые потери; •• Утрата доверия среди сотрудников; Конечно, для каждой из компаний могут существовать и другие риски, связанные с утечками конфиденциальных данных, однако выше перечислены наиболее распространенные и существенные из них. Для различных организаций различные риски могут быть более или менее существенны. К примеру, для компаний, занимающихся разработкой какой-либо собственной продукции, наиболее существенной является потеря конкурентного преимущества. В то же время, для банков, страховых компаний, медицинских учреждений наиболее существенен ущерб, нанесенный репутации, который компания испытывает в результате утечки информации. К сожалению, подсчитать ущерб от утечек информации достаточно сложно, поскольку, помимо прямого ущерба в виде выплат по судебным искам или штрафов со стороны регуляторов, есть такие сложные для калькуляции вещи, как потери конкурентного преимущества, потери для репутации и т.д. Поскольку ущерб всегда достаточно «растянут» по времени, имеет смысл оценивать его в год, когда произошла утечка, как удвоенную величину самого крупного из заключенного компанией контракта (для B2B-сектора) или как её ме- сячный оборот (для B2C), поскольку, как показывает практика, именно такие показатели характерны для России. РИСКИ И ЗАЩИТА Нужно отметить, что, несмотря на очевидную необходимость защиты от утечек информации, она также сама по себе может нести риски для бизнеса. Происходит это потому, что ряд средств защиты от утечек информации осуществляет остановку передаваемых данных, что, в свою очередь, может вызвать остановку бизнес-процессов в организации. В настоящее время все существующие DLP-системы принято делить на два больших класса: на системы с активным контролем действий пользователя и системы с пассивным контролем. Другое название, которые также можно встретить – это блокирующие DLP-системы и неблокирующие. Последние два термина гораздо лучше отражают суть различий между этими двумя видами систем: первые обладают возможностью блокировать дальнейшее перемещение информации, которая показалась им подозрительной, вторые же этой возможности лишены. Может показаться, что DLPсистемы с пассивным контролем пользователей вовсе не соответствуют высокому званию DLP-систем, поскольку очевидно, что такая система не может в прямом смысле предотвратить утечку конкретного документа. Тем не менее, несмотря на отсутствие такой достаточно важной функциональности, неблокирующие DLP-системы также способствуют борьбе с утечками конфиденциальных данных, только несколько иным образом. Если системы с активным контролем нацелены именно на выявление и последующую блокировку в общем потоке данных всего того, что похоже на конфиденциальные данные, то системы с пассивным контролем предназначены в большей степени для выявлеitpartner №5-6 (16-17) 2012 13 ИССЛЕДОВАНИЯ ния инсайдеров – сотрудников, целенаправленно организующих утечки корпоративной информации. Очевидно, что каждый из этих классов DLP-систем имеет ряд своих преимуществ и недостатков. Главный недостаток систем с пассивным контролем – невозможность блокировки передаваемой информации – является одновременно и главным преимуществом, как только речь заходит о непрерывности бизнес-процессов. Если блокирующей DLPсистеме под силу парализовать работу не только отдельных сотрудников, но и целых подразделений, а в особенно масштабных случаях и всей компании, то неблокирующая система по своей природе ни- когда не сможет сделать ничего подобного. Еще одним важным моментом является простота внедрения и эксплуатации систем с пассивным контролем, которая, в конечном итоге, выливается в стоимость этих мероприятий. Системы с активным контролем действий пользователей при своем внедрении нередко требуют перестройки всей корпоративной сети и покупки дорогостоящего серверного оборудования, способного выдерживать нагрузки, предполагаемые эксплуатацией подобной системы. Системы с пассивным контролем, как правило, требуют всего один дополнительный сервер, поскольку они работают на «зеркалируемом» трафике. Соответственно, и изменения в корпоративной локальной сети будут минимальными. РЕЗЮМЕ К сожалению, далеко не все компании всерьез воспримут изложенное выше. Именно поэтому в России до сих пор так много утечек данных. Согласно исследованиям компании SearchInform, специализирующейся на борьбе с утечками информации, в 2011 году более трети российских организаций сталкивались с утечками конфиденциальных данных. Попадете ли вы и ваша компания в подобную статистику 2012-го года – зависит только от вас. Роман ИДОВ, компания SearchInform ГОЛОС ПОЛЬЗОВАТЕЛЯ 2012: ЧЕГО ХОТЯТ УКРАИНЦЫ К омпания Ericsson представила результаты исследования Ericsson ConsumerLab 2012, посвященного предпочтениям украинцев в потреблении телекоммуникационных продуктов и услуг. Эрик Йоханниссон, старший консультант Ericsson ConsumerLab в регионе Северная Европа и Центральная Азия, отметил: «Ежегодно Ericsson проводит исследования в более чем сорока странах мира, что дает возможность сравнить ситуацию в Украине и сделать интересные выводы. Например, по сравнению с прошлым годом использование настольных ПК для доступа в интернет значительно снизилось, а вот количество людей, которые выходят в онлайн с ноутбука или смартфона, – выросло. Это говорит о стремлении пользователей к мобильности, желании быть на связи всегда и везде. В некоторых сферах Украина показывает даже больший 14 itpartner №5-6 (16-17) 2012 прогресс, чем высокоразвитые рынки. Особенно это касается общения онлайн: так, 60% украинских пользователей интернетом регулярно обмениваются сообщениями и фото, обновляют статусы в социальных сетях. В США и Германии этот показатель равен 41%, в Швеции – 47%. К сожалению, сравнительно невысокая покупательская способность украинцев замедляет проникновение ИКТ. Тем не менее, наше исследование показывает высокую заинтересованность в потреблении телеком-продуктов и услуг. Основным мотиватором для приобретения смартфона является возможность иметь постоянный доступ в интернет и использование различных приложений». ERICSSON CONSUMERLAB – ГОЛОС ПОЛЬЗОВАТЕЛЯ Ericsson ConsumerLab имеет более чем 15-летный опыт работы в изучении человеческого поведения и ценностей, включая также то, как человек реагирует и что думает об ИКТ продукции и сервисах. Ericsson ConsumerLab дает представление о рынке, а также о потребительских трендах. Эти знания Ericsson ConsumerLab получает путем глобальных исследовательских программ, которые основываются на интервью со 100 000 человек в год, из более чем 40 стран и 15 мегаполисов, статистически представляя мнения 1,1 миллиарда пользователей. Используются количественные и качественные методы исследований, проводятся сотни часов с представителями разных культур. Чтобы быть ближе к покупателям и рынку, Ericsson ConsumerLab имеет аналитиков во всех регионах, где есть представительства Ericsson, что дает глобальное понимание рынка ИКТ и бизнес-моделей.
