Как да предотвратите изтичане на данни

Поверителна информация е всяка информация, която не е публично достояние. Това включва търговски, държавни, служебни и други тайни.

Например, личните данни на клиентите са поверителна информация, чиято безопасност е отговорност на бизнеса. Това включва клиентска база, описание на производствените технологии и друга информация.

Дори условията на договора с контрагента, цената и предмета ще бъдат поверителна информация и може да са по-специално търговска тайна. Но условията на публична оферта a priori не могат да бъдат поверителни.

Колко често се случват течове на информация?

Малките и средни предприятия (МСП) често отлагат въпросите, свързани с информационната сигурност. Мениджърите смятат, че малките и средни предприятия не са интересни за хакерите, според логиката „няма какво да вземат – нека големите компании се защитават, те определено имат какво да крадат“. Но големите компании вече са помислили за всичко. Техните бази данни са много по-трудни за хакване, така че хакерите преминават към малки организации и индивидуални предприемачи.

Това се потвърждава от статистика на Kaspersky Lab – през 2023 г. броят на хакерските атаки срещу МСП се е увеличил пет пъти, а делът от общия брой е достигнал 20{3609db0412b2f04f4f04eb70354099a0e75da5ceeada0f055dfbd8474d63d095}. И никой не е отменил безскрупулни служители, които могат да откраднат клиентски бази данни или да изтекат информация за плащане.

Днес течовете на данни в резултат на фишинг (кражба на потребителски данни чрез фишинг сайтове, имейли и връзки) са технически по-прости и по-ефективни от хакерските атаки (хакване и принудителен достъп до данни). „Хакването“ отдавна се премести от техническата област в психологията (социалното инженерство).

Следователно днес информационната сигурност е актуална и за МСП. Тъй като бизнесът е малък, можете да започнете с малко – основни предпазни мерки (ще говорим за тях по-долу) и повишаване на цифровата грамотност на служителите. И за в бъдеще си струва да научите за по-модерни и скъпи решения за защита, за да ги внедрите, докато компанията расте и стойността на данните нараства.

Последици от изтичане на информация

Ако нападателите откраднат клиентски данни, компанията е изправена пред административна отговорност (член 13.11 от Кодекса за административните нарушения на Руската федерация). Обикновено се издават глоби, но дейностите също могат да бъдат временно ограничени.

Други последствия:

• Финансови . Ако клиентските данни бъдат откраднати с цел кражба на пари, собствениците могат да подадат искове за щети.
• Търговски . Кражбата на клиентска база или описания на технологични процеси застрашава загубата на потребители и конкурентоспособност. За кратко време една организация може да загуби 20-30{3609db0412b2f04f4f04eb70354099a0e75da5ceeada0f055dfbd8474d63d095} от приходите.
• Репутационен . Някои клиенти няма да искат да работят с компании, които не се интересуват от сигурността на данните. Това застрашава не само напускането на съществуващи клиенти, но и трудности при привличането на нови.

Колкото по-рано помислите за защита на вашите данни, толкова по-малка е вероятността да пострадате от хакери и да загубите клиенти. Нека да разгледаме начините за защита срещу вътрешни и външни течове.

Вътрешна защита срещу течове

През 2022 г. повече от 70{3609db0412b2f04f4f04eb70354099a0e75da5ceeada0f055dfbd8474d63d095} от течовете са причинени от служители. Понякога те самите крадат данни – например мениджърът отнема клиентската база и след уволнение примамва клиенти към конкуренти.

Започнете с предотвратяване на вътрешни течове:

1. Създайте благоприятни условия . Направете модерен офис, конкурентни финансови условия, въведете стимули за изпълнение на планове и успех. Хората трябва да се чувстват комфортно да работят в компанията. Тогава ще има по-малко изкушение за „изтичане“ на данни на конкуренти срещу допълнително заплащане или за отнемане на клиенти след уволнение поради негодувание.
2. Сключете NDA със служители, които имат достъп до чувствителна информация . NDA е споразумение за неразкриване на поверителна информация. Съгласно него служителите носят отговорност за кражба на данни, които се считат за търговска тайна. Ако се сключва НРД с определени служители, а не с всички, трябва да има и организационни мерки. Всеки достъп до определена информация трябва да бъде регулиран, така че информацията да не попадне случайно при „неподходящия“ служител.
3. Ограничете достъпа до данни, които не са необходими за работа . Например в базата данни има 1 000 клиенти, а мениджърът работи с 50. Не отваряйте достъп до цялата база данни в CRM, ограничете се само до неговите клиенти. Това правило важи за финансови документи, технически регламенти и друга информация. Разпределението на ролите и достъпа е най-ефективната организационна мярка за борба с изтичането на информация.
4. Вярвай, но проверявай . Офисът трябва да има видеонаблюдение с аудиозапис, а компютрите да имат софтуер, който записва действията. Дори това да не предпазва от изтичане на информация, то поне ще опрости търсенето на виновниците. Ако фирмата въвежда видеонаблюдение и DLP, служителите трябва да бъдат предупредени за това и да получат съгласие за актуализираните условия на труд. Това се документира писмено или се включва в условията на трудовия договор.
5. Внедрете DLP система . Той анализира действията на потребителите, идентифицира и ограничава ненормалното поведение. Например, системата няма да позволи на служител да изпрати клиентска база данни от корпоративна поща към лична поща.

DLP системата е подходяща за големи компании, тъй като закупуването на софтуер, внедряването и поддръжката може да струва няколко милиона рубли. Но това са оправдани разходи, тъй като в такива организации щетите от течове се оценяват на десетки милиони. 

Защита от външни течове

Хакерите станаха по-малко склонни да хакват корпоративни мрежи поради високата сигурност. Трудно е да се постави вирус в облачно хранилище, така че измамниците са се съсредоточили върху най-слабото звено в информационната сигурност – служителите.

Например на служителите се изпращат фишинг имейли с връзки към уебсайтове. Те продължават напред и в същия момент злонамерена програма влиза в системата и чете пароли и друга информация. Но по-често те използват фалшиви сайтове, където служителят сам въвежда данните. Така измамниците получават достъп до бази данни и платежни документи.

Подчертаваме три нива на защита срещу външни течове:

1. Основно – това е минимумът, който трябва да се направи в първите месеци след откриване на бизнес:

• Подобрете цифровата грамотност на вашите служители. Разкажете ни за нови измамни схеми и методи за защита или още по-добре организирайте обучения със специалисти по информационна сигурност.
• Не позволявайте на служителите да използват персонални компютри за работни цели – дайте на всеки фирмен компютър. Можете да ограничите достъпа от тях до сайтове, които не са свързани с работата. Тогава вероятността от фишинг ще бъде минимална.
• Използвайте търговска антивирусна програма. Безплатните версии не предпазват от всички съвременни заплахи.
• Актуализирайте работните програми. Нападателите могат да получат достъп до данни чрез уязвимости в по-стари версии на софтуера.
• Работете с корпоративна електронна поща – G Suite, Zoho Mail, Yandex.Mail за бизнеса и др. Безплатните имейл клиенти са лесна мишена за хакери.
• Задайте силни пароли и двуфакторно удостоверяване в производствените услуги.

Използването на безплатни имейл услуги увеличава риска от загуба на вашата клиентска база в полза на конкуренти или завладяване на контрола върху корпоративната електронна поща – по-често няколко служители имат достъп до нея.

2. Разширено – инсталиране на система за контрол и управление на достъп (СКД). В малка организация е достатъчно видеонаблюдение и влизане с пропуски. ACS ще предпази от физическо проникване, което може да доведе до кражба на важни документи.

3. Максимум – използване на скъп софтуер; подходящи за големи компании. Например, някои организации използват контейнеризация на електронни документи. Файловете са криптирани с ключ, така че не могат да се отварят на други устройства. Те също така въвеждат мрежова защита и криптиране на устройства за съхранение на лаптопи и таблети.

Какво да направите, ако вече е възникнал теч

Ако данните вече са били откраднати, е малко вероятно да бъдат върнати. Ако служителите са направили това, можете да възстановите щетите чрез съда. Но без NDA и клауза за търговска тайна ще бъде трудно да се докаже вина.

Ето защо, когато става въпрос за течове, превенцията и профилактиката са най-добрите ви приятели. Осигурете защита на вашата бизнес информация, така че да не се налага да се справяте с последствията от кражба или хакерска атака.

Изводи

1. През 2023 г. броят на хакерските атаки срещу МСП се е увеличил пет пъти, а делът от общия брой е достигнал 20{3609db0412b2f04f4f04eb70354099a0e75da5ceeada0f055dfbd8474d63d095}. През 2022 г. повече от 70{3609db0412b2f04f4f04eb70354099a0e75da5ceeada0f055dfbd8474d63d095} от течовете са причинени от служители.
2. За да се предпазите от вътрешни течове, създайте удобна работна среда, използвайте NDA, ограничете достъпа до данни и контролирайте действията на служителите. С разрастването на вашия бизнес помислете за внедряване на DLP система.
3. Външни течове често възникват поради незащитени работни места. Инсталирайте комерсиален антивирусен софтуер на вашите компютри, актуализирайте софтуера, използвайте корпоративен имейл, сложни пароли и двуфакторно удостоверяване.
4. ACS ще помогне срещу физическо проникване. В малка организация е достатъчно видеонаблюдение и влизане с пропуски.
5. Максимална защита – контейнеризиране на електронни документи, внедряване на мрежова защита и криптиране на устройства за съхранение на лаптопи и таблети.