Расследование утечки информации

Поиск источников утечек
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Для компании утечка данных является причиной серьезных финансовых убытков, поэтому требуется не только наладить работу системы защиты, но и продумать все возможные риски и пути утечки данных, а также способы оперативного выявления и устранения факта разглашения или хищения информации.

Основные каналы утечки данных и методы защита

В любой компании существуют четыре типа каналов утечки данных.

Акустический канал, куда относят все случаи общения между сотрудниками, которые могут делиться служебной информацией в рабочих целях. Стоит учесть ситуации, когда сотрудники с более высокими правами доступа к информации нечаянно выдают важные данные другим работникам или конкурентам.

Хищение данных по электромагнитному каналу злоумышленники осуществляют за счет считывания электромагнитных волн и наводок технических средств. Выявление факта утечки происходит уже после того, как конкурент получил и использовал данные против компании. Для защиты применяются стандартные приемы, которые поддерживает большинство автоматизированных систем: экранирование и использование генераторов радиочастотного шума.

Риску утечки по визуально-оптическому каналу чаще всего подвергают крупные IT-корпорации. Конкурентов интересуют прототипы моделей устройств, содержание закрытых совещаний и т.д. Утечка визуального типа невозможна в случае, если предмет интереса находится в помещении, которое полностью изолировано от естественного освещения.

Материально-вещественный канал – это хищение копий документов, моделей, эскизов в физической и электронной форме, а также кража носителей информации с конфиденциальными данным.

Определение факта утечки данных

Факт кражи информации определяется двумя способами.

  1. Сотрудник стал свидетелем инцидента и может указать на злоумышленника. В таком случае есть вероятность поймать вора еще до того, как он передаст коммерческую тайну конкуренту или сделает закрытые данные достоянием общественности.
  2. О хищении становится известно уже после того, как конкурент использовал тайну против компании и был нанесен ущерб. Этот случай встречается наиболее часто, и происходит из-за использования акустического канала утечки или влияния человеческого фактора.

На этапе выявления утечки эффективно работают DLP-системы. Если сотрудник попытался отправить охраняемые данные с рабочего устройства за пределы защищаемой сети, система автоматически зафиксирует факт утечки и укажет на виновника.

Факт утечки можно определить, просматривая записи с видеокамер. Возможно, сотрудник вынес из помещения копии важных документов и не внес информацию о получении копий в регистрационный журнал. Еще сотрудник часто уносят с рабочего места носители информации: жесткие диски, флешки, оптические диски, служебные ноутбуки.

Предотвращение утечки данных

Прежде всего, утечка информации – это следствие нарушения режима коммерческой тайны и о причина финансовых убытков для компании. В случае выявления факта утечки служба безопасности должна как можно скорее приступить к предотвращению угрозы.

Все мероприятия по предотвращению должны соответствовать действующему законодательству. Важно вовремя применить организационные меры: закрыть доступ к информации из-за опасности повторного хищения и начать разбирательство. На техническом уровне предотвратить утечку могут DLP-системы, которые автоматически определяют попытку несанкционированной передачи данных.

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Расследование утечки данных

На первом этапе разбирательства служба безопасности определяет тип утечки: случайная или намеренная.

Как правило, факт случайной утечки легко выявить, просмотрев отчеты DLP-системы, опросив сотрудников или изучив записи видеонаблюдения, которые фиксируют действия персонала на рабочем месте.

Опрос проводит руководитель службы безопасности или директор предприятия. Не следует указывать причину встречи. На этом этапе эффективно задействовать психологические приемы воздействия и понаблюдать за сотрудником. Неясные ответы, расхождения в фактах – все это указывает на возможного злоумышленника.

Если произошла намеренная кража данных и разглашение уже состоялось, рекомендуется поэтапно выполнить алгоритм действий:

  • Определить группу сотрудников, которые имели права доступа к похищенным данным.
  • Опросить каждого работника из выявленной группы.
  • Сопоставить все полученные показания и выявить главных подозреваемых.
  • Проверить действия главных подозреваемых за последний период: когда приходили на работу и покидали рабочее место, с какой информацией работали и т.д. – и выявить злоумышленника.
  • Начать процедуру, чтобы привлечь к ответственности.

В зависимости от масштабов ущерба глава службы безопасности совместно с руководителем определяет меру наказания для виновного в утечке. Виды ответственности включают: материальную (штраф, лишение премии); административную и уголовную.

В случае соответствия проступка административной или уголовной ответственности к расследованию подключают правоохранительные органы. Официальное расследование начинается и в ситуации, когда сотрудник отказывается выплатить материальную компенсацию.

В качестве меры наказания за случайную утечку информации к работнику чаще всего применяют только выговор. По данным исследования «СёрчИнформ», такую меру практикуют 34% российских компаний. Наиболее распространенный вид наказания за утечку данных – увольнение виновного в инциденте, так поступают 47% компаний.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 
 
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика). Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.