Как эффективно ликвидировать последствия утечки информации

22.11.2019

Вернуться к списку статей

Недовольный работник решил отомстить начальству, уволенный прихватил с собой базу данных, IT-специалист сливает конкурентам ценные документы – с каждым годом все больше компаний в России и мире сталкиваются с утечками информации.

Если вам есть что скрывать, работайте с сотрудниками, ставьте защитные решения, ограничивайте доступ к важной информации, но все равно будьте готовы, что в один прекрасный день злоумышленники найдут какую-нибудь брешь. Что делать, если, несмотря на все усилия, утечка все же произошла?

1. Без паники

Все действительно плохо, если вы обнаружили утечку случайно – например, узнали о ней от лояльных клиентов, из Интернета или от сотрудников, которым рассказали знакомые. Слив мог произойти давно, а следы злоумышленник замел. Получается, ваша система защиты информации не работает. Минимизировать ущерб и тихо замять историю уже не получится.

Если у вас есть возможность расследовать слив по горячим следам (например, если ваша DLP-система быстро обнаружила, что в трафике содержатся конфиденциальные сведения), еще не все потеряно. Встает, конечно, вопрос, почему ценные сведения в принципе уходят за периметр, но это уже другая история.

Попробовать бесплатно продукты «СёрчИнформ»

 

Первое, что вам нужно сделать при обнаружении утечки, – перезапустить, ускорить, изменить или даже отменить решения и бизнес-процессы, которые связаны с украденной информацией. Эти меры сохранят деньги компании и позволят вам перейти к дальнейшим действиям: расследованию и ликвидации последствий. 

2. Определите виновника утечки

Этот шаг необходим, даже если вы обнаружили проблему постфактум, – он поможет предупредить аналогичные инциденты в будущем. 

Если организация крупная, без поисковых алгоритмов DLP-системы не обойтись. В повседневной работе современная компания оперирует таким количеством информации, что проанализировать ее вручную определенно не получится. Кроме DLP в расследовании помогут СКУД, SIEM, системы видеонаблюдения – все, что может прояснить ситуацию и доказать вину нарушителя.

В небольшой компании можно заставить айтишников прошерстить корпоративную почту, изучить логи прокси-сервера и т. д. Но здесь велика вероятность, что сотрудник использовал для передачи информации мессенджер, соцсеть или личный почтовый ящик. Вывод? Без соответствующего инструментария – никуда.

3. Выходим на заказчика

Когда злоумышленник внутри компании найден, найти заказчика – дело техники. Как правило, виновник утечки после серьезного разговора сам раскрывает карты. Если нет, придется использовать технические инструменты.

Когда вы нашли канал передачи информации и определили ее адресата, можно начинать ликвидировать последствия. С конкурентами, журналистами, профессиональными торговцами информацией лучше договариваться полюбовно. Если нет доказательств, выкупайте информацию. Если есть неопровержимые улики, не стесняйтесь пугать злоумышленников обращением в органы.

4. Определяем масштаб трагедии

Что именно украл сотрудник? Коммерческие предложения, финансовый план, клиентскую базу? Или пару документов с пометкой «особо секретно»? Определить границы и значимость проблемы на этом этапе очень важно. Это послужит отправной точкой для дальнейших действий. 

Справиться своими силами или лучше подключить органы? Если ушла действительно важная информация, а у вас из средств защиты информации только пароль на ПК сотрудников, лучше не рисковать и подключать любую возможную помощь. Если в отделе информационной безопасности компании работают опытные профессионалы, лучше не поднимать лишнего шума и попробовать справиться самостоятельно.

5. Ликвидируем последствия

Волшебной таблетки, которая разрешит проблемы, связанные с потерей данных, в этом пункте не будет. Утечки индивидуальны, работа с последствиями – тоже. Дадим лишь несколько общих рекомендаций:

  • Разберитесь, какая еще информация могла быть скомпрометирована – помимо тех данных, которые уже украдены.
  • Сообщите об утечке пострадавшим. В России пока нет закона, который обязывает компанию сообщать об утечке информации заинтересованным лицам. Но если есть высокая вероятность, что люди узнают об утечке самостоятельно, лучше не молчать. Кроме того, если пострадавшие могут предпринять какие-то действия по защите своих данных, обязательно им об этом расскажите.
  • Если информация об утечке стала общедоступной, подключайте пиарщиков – если нет своих, наймите агентство. Будьте открыты со СМИ и расскажите о мерах, которые примете, чтобы не допустить повторения такой ситуации в будущем. Это покажет клиентам, что вы действительно о них заботитесь – даже в ущерб собственной репутации и имиджу.  
  • Предъявите виновника утечки пострадавшим и обществу – наказанного и переданного правоохранительным органам. 

Даже если ваша компания еще не сталкивалась с утечками данных и другими ИБ-инцидентами, поработайте на упреждение! Закажите бесплатный 30-дневный тест услуги на базе DLP-системы «СёрчИнформ КИБ».  

Заказать


ИБ-практика Утечка данных


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними