Информация – один из ценнейших ресурсов. Это утверждение было актуально и десятилетия назад, до повсеместного распространения IT-технологий, и сейчас, в период активной цифровизации. Попадание информации к недоброжелателям может обернуться серьезными репутационными, финансовыми, коммерческими потерями.
Номера банковских счетов, реквизиты пластиковых карт, паспортные данные, клиентские базы – все это сведения, за которыми постоянно ведут охоту интернет-мошенники, хакеры. База с номерами клиентов может использоваться ими для спам-звонков и рассылок электронных писем, паспортные сведения – для оформления кредитов, реквизиты карт – для прямой кражи денег, их перевода на личные счета. Не допустить подобного развития событий поможет строго следование политики информационной безопасности, что актуально и для частных лиц, и для организаций.
К сожалению, практика показывает, что предприятия могут столкнуться не только с хакерскими атаками, но и с неблагонадежностью персонала. Почему так происходит? Почему сотрудник зачастую становится опаснее киберпреступника?
Риски
Внешние и внутренние недоброжелатели ставят перед собой следующие цели:
- Перехват конфиденциальных, личных, коммерческих сведений. Реквизиты банковских карт, паспортные данные, телефонные номера, адреса серверов организации – примеров множество. Информация может использоваться как основа для дальнейших, более разрушительных, атак, нанесения коммерческого ущерба, продажи конкурентам.
- Повреждение оборудования, без которого работа предприятия оказывается невозможной, руководству приходится в срочном порядке изыскивать средства на ремонт или замену. О физическом повреждении речь идет редко. Чаще – о выводе из строя посредством вирусного, вредоносного программного обеспечения.
- Получение доступа к администраторским учетным записям. Такая запись позволяет на 100% контролировать все сетевые и информационные ресурсы организации, изменять, удалять их, отправлять в формате электронных сообщений третьим лицам, загружать на внешние носители.
Достижение любой из поставленных целей чревато серьезными последствиями для пострадавшей организации. Ущерб может быть прямым или косвенным. В любом случае деятельность недоброжелателей направлена на извлечение выгоды при одновременном нанесении жертве максимально серьезного урона.
Языком статистики
Исследования, проведенные предприятиями, занимающимися информационной безопасностью, показывают, что основная угроза исходит от рядового персонала. Например, если рассматривать утечки информации, то почти 90% случаев приходится на обычных сотрудников, только 10 – на привилегированных, с особыми правами доступа. К этой категории относятся руководители отделов, системные администраторы.
Статистика также говорит, что далеко не всегда персонал реально ставит целью нанесение вреда работодателю. Многие утечки связаны с невнимательностью, несоблюдением или незнанием базовых правил информационной безопасности. Работники используют примитивные пароли, взламываемые подбором, скачивают файлы из ненадежных источников, переходят по мошенническим ссылкам. Решить эту проблему можно только соответствующей “просветительской работой”, четким разъяснением каждому сотруднику принципов информационной безопасности (ИБ).
Намеренности и случайности
Конечно, банальное незнание правил ИБ – не единственная причина, по которой собственный работник для предприятия зачастую опаснее квалифицированного интернет-мошенника. Статистика говорит, что актуальны и следующие причины нарушений:
- Финансовое вознаграждение. Злоумышленники “подкупают” служащего, предлагают ему плату за конфиденциальную информацию. Например, недобросовестные конкуренты могут попросить выкрасть базы данных клиентов.
- Месть. Обида – страшное дело. Уволенный специалист, чувствующий несправедливость, может напоследок серьезно “насолить” руководству. Вынос конфиденциальных сведений, удаление важной информации, загрузка на оборудование вредоносных, вирусных файлов – вариантов множество.
- Спешка. Сотрудник, перегруженный работой, становится невнимательным. Например, бухгалтер в спешке отправляет финансовый отчет не прямому руководителю, а третьему лицу.
Меры противодействия
Формирование высокой культуры ИБ – один из лучших способов защиты конфиденциальных сведений. Задача руководства – донести до каждого специалиста, взаимодействующего с ответственными данными, правила безопасного сетевого поведения.
Как отличить фишинговую ссылку от настоящей? Каким должен быть надежный пароль? Как правильно использовать антивирус? Как грамотно использовать электронную почту, мессенджеры и другие способы дистанционно коммуникации? Как реагировать на киберинциденты? Вопросы кажутся банальными, но далеко не каждый может ответить на них. Ошибка при этом чревата крайне серьезными последствиями.
Вариантов обучения множество: распространение печатных брошюр и буклетов, привлечение сторонних лекторов для проведения семинаров, просмотр тематических роликов. Каждая компания может выбрать вариант, устраивающий ее по эффективности, простоте и доступности организации.
Важно, чтобы обучение предполагало не просто теорию, но и практику. Моделирование различных потенциально опасных ситуаций поможет понять, насколько грамотно сотрудники справляются с ними, насколько хорошо освоили теоретическую часть.
Справиться с основными угрозами ИБ также помогут следующие действия:
- Четкое распределение прав доступа. Следует давать специалистам только те полномочия, что реально необходимы для выполнения рабочих обязанностей.
- Введение строгих регламентов на каналы распространения данных. Например, разумно запретить использование флеш-карт и других съемных носителей. Такие пути распространения очень сложно контролировать. Неблагонадежный сотрудник может принести на работу флешку, загрузить на нее базы данных, передать конкурентам.
- Внедрение алгоритмов шифрования. Информация будет передаваться в зашифрованной форме. Перехват в таком случае не имеет смысла. Расшифровка невозможна.
- Установка специального программного обеспечения, программно-аппаратных комплексов, повышающих уровень информационной безопасности. Характерный пример – DLP-система, отслеживающая действия персонала, реагирующая на нарушения, блокирующая несанкционированные попытки удаления или выгрузки данных.
Подведение итогов
Каждое предприятие, административное, коммерческое, государственное или частное, должно стремиться к обеспечению максимальной информационной безопасности. Большая ошибка – строить защиту, ориентируясь исключительно на внешние угрозы. Практика показывает, что собственный персонал зачастую наносит больше вреда, нежели опытные хакеры. В группе риска – не только небольшие структуры, но и крупные, например, с проблемами доводилось сталкиваться таким гигантам, как General Motors и Facebook.
Использование программных и аппаратных средств контроля, проведение обучения персонала, от рядового до руководящего, доверительные отношения с сотрудниками, четкое выполнение руководительских обязанностей – все это способы, позволяющие предотвратить утечки данных, избежать массы коммерческих и репутационных проблем.