Недовольный работник решил отомстить начальству, уволенный прихватил с собой базу данных, IT-специалист сливает конкурентам ценные документы – с каждым годом все больше компаний в России и мире сталкиваются с утечками информации.
Если вам есть что скрывать, работайте с сотрудниками, ставьте защитные решения, ограничивайте доступ к важной информации, но все равно будьте готовы, что в один прекрасный день злоумышленники найдут какую-нибудь брешь. Что делать, если, несмотря на все усилия, утечка все же произошла?
Все действительно плохо, если вы обнаружили утечку случайно – например, узнали о ней от лояльных клиентов, из Интернета или от сотрудников, которым рассказали знакомые. Слив мог произойти давно, а следы злоумышленник замел. Получается, ваша система защиты информации не работает. Минимизировать ущерб и тихо замять историю уже не получится.
Если у вас есть возможность расследовать слив по горячим следам (например, если ваша DLP-система быстро обнаружила, что в трафике содержатся конфиденциальные сведения), еще не все потеряно. Встает, конечно, вопрос, почему ценные сведения в принципе уходят за периметр, но это уже другая история.
Первое, что вам нужно сделать при обнаружении утечки, – перезапустить, ускорить, изменить или даже отменить решения и бизнес-процессы, которые связаны с украденной информацией. Эти меры сохранят деньги компании и позволят вам перейти к дальнейшим действиям: расследованию и ликвидации последствий.
Этот шаг необходим, даже если вы обнаружили проблему постфактум, – он поможет предупредить аналогичные инциденты в будущем.
Если организация крупная, без поисковых алгоритмов DLP-системы не обойтись. В повседневной работе современная компания оперирует таким количеством информации, что проанализировать ее вручную определенно не получится. Кроме DLP в расследовании помогут СКУД, SIEM, системы видеонаблюдения – все, что может прояснить ситуацию и доказать вину нарушителя.
В небольшой компании можно заставить айтишников прошерстить корпоративную почту, изучить логи прокси-сервера и т. д. Но здесь велика вероятность, что сотрудник использовал для передачи информации мессенджер, соцсеть или личный почтовый ящик. Вывод? Без соответствующего инструментария – никуда.
Когда злоумышленник внутри компании найден, найти заказчика – дело техники. Как правило, виновник утечки после серьезного разговора сам раскрывает карты. Если нет, придется использовать технические инструменты.
Когда вы нашли канал передачи информации и определили ее адресата, можно начинать ликвидировать последствия. С конкурентами, журналистами, профессиональными торговцами информацией лучше договариваться полюбовно. Если нет доказательств, выкупайте информацию. Если есть неопровержимые улики, не стесняйтесь пугать злоумышленников обращением в органы.
Что именно украл сотрудник? Коммерческие предложения, финансовый план, клиентскую базу? Или пару документов с пометкой «особо секретно»? Определить границы и значимость проблемы на этом этапе очень важно. Это послужит отправной точкой для дальнейших действий.
Справиться своими силами или лучше подключить органы? Если ушла действительно важная информация, а у вас из средств защиты информации только пароль на ПК сотрудников, лучше не рисковать и подключать любую возможную помощь. Если в отделе информационной безопасности компании работают опытные профессионалы, лучше не поднимать лишнего шума и попробовать справиться самостоятельно.
Волшебной таблетки, которая разрешит проблемы, связанные с потерей данных, в этом пункте не будет. Утечки индивидуальны, работа с последствиями – тоже. Дадим лишь несколько общих рекомендаций:
Даже если ваша компания еще не сталкивалась с утечками данных и другими ИБ-инцидентами, поработайте на упреждение! Закажите бесплатный 30-дневный тест услуги на базе DLP-системы «СёрчИнформ КИБ».
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных