Как защитить компанию от утечки финансовой и другой секретной информации

В нашем распоряжении оказались результаты исследования об утечке финансовой и другой конфиденциальной информации компаний. Без преувеличения почти в половине случаев «секреты фирмы» становятся чужим достоянием совершенно случайно. Мы провели собственное расследование и выяснили слабые места в защите информации от утечек по техническим каналам, а также способы предотвращения инцидентов.

Одной из самых уязвимых в плане утечек является информация, напрямую касающаяся бухгалтерии: финансовая документация, отчетность, бизнес-планы, договоры, цены, зарплата, персональные данные сотрудников.

Как утекает информация

Источников, через которые информация уходит из компании, предостаточно: различные мессенджеры (Skype, ICQ и пр.), электронная почта, открытые источники (социальные сети, форумы), бумага, флешки, диски, резервные копии. Причем и в случае со случайными утечками, и в случае с умышленным сливом источники одни и те же.

Кстати, для получения секретной информации существует чуть ли не целая отрасль – незаконная и конкурентная разведка. Первая подразумевает шпионаж: те, кому нужны сведения, вербуют сотрудников компании либо внедряют в штат своего человека. Конкурентная разведка действует открыто – через социальные сети, собеседования, открытые источники информации.

Признаки, которые могут навести на мысль о том, что рядом идет торговля «секретами фирмы»

Во-первых, от компании уходят клиенты – вероятнее всего конкурентам кто-то слил клиентскую базу.

Во-вторых, очевидная перемена в поведении некоторых сотрудников: внезапное улучшение материального положения, снижение заинтересованности в работе, активизировавшаяся переписка в интернете, частая пересылка графических или запароленных архивированных файлов.

В-третьих, «кучкование». Так, в одной компании 30 из 40 сотрудников, которые занимались заключением договоров, сговорившись, зарегистрировали собственную организацию и фактически работали на нее. Сотрудники предлагали клиентам, с которыми напрямую общались, те же услуги, но немного дешевле и перезаключали с ними договоры уже от имени собственной организации.

Действенные способы предотвратить утечку

• Трудовой договор. В нем можно прямо прописать, что работодатель имеет полный доступ к информации на компьютерах работников, а в случае разглашения коммерческой тайны будет требовать возмещения убытков. Эти меры являются мощным сдерживающим психологическим фактором.
• Высокая зарплата. Боязнь ее потерять скорее всего отобьет у сотрудника желание предавать свою компанию.
• Слежка и прослушка. Существуют программы, которые контролируют все, что происходит на компьютере. Если сотрудники знают, что она у них установлена, у них вряд ли появится желание передавать секретную информацию с рабочего компьютера. Еще устанавливают свои «жучки» в кабинетах или переговорках, а «жучки» шпионов блокируют шумогенераторами, которые создают помехи и глушат сигнал.
• Тренинг. Устраивают провокацию: сотрудникам рассылают письма с вирусами, просят по телефону выдать конфиденциальные сведения и т. п. В результате теста выясняется, как персонал реагирует на такие действия, и разрабатываются меры защиты.
• DLP-система (Data Leak Prevention). Она отслеживает пересылку и распечатку файлов, внезапные всплески интернет-общения, посещение нехарактерных для работы сайтов и т. д. Также проводит лингвистический анализ переписки и документов и по ключевым словам устанавливает опасность утечки. Работу с DLP-системой важно поручить компетентному специалисту. Если в компании нет ИБ-отдела, настраивать систему и купировать инциденты может сотрудник на аутсорсинге.

Каналы утечки информации

БУМАЖНЫЕ ДОКУМЕНТЫ

С помощью бумаги конфиденциальная информация становится доступной другим чаще всего. Причем независимо от того, сливает ее кто-то умышленно или утечка происходит случайно. Продавать «секреты» на бумаге безопаснее, чем в электронном виде, так как сложно доказать, от кого они получены (если, конечно, нет записи).

КОМПЬЮТЕРЫ

Компьютеры (имеются в виду стационарные) — второй по распространенности канал, через который инсайдеры сливают на сторону конфиденциальную информацию. Но, по сути, компьютер даже больше не канал передачи секретных данных, а канал их получения. Через него инсайдер имеет доступ к корпоративным сведениям, хранящимся на сервере компании, может скачать их на съемные носители или отправить по электронной почте.

ИНТЕРНЕТ

Случайная утечка может произойти, когда финансовые сведения содержатся в программах компании, работающих через интернет, а вход в них имеет примитивные пароли. Таковыми принято считать цифровые или буквенные пароли по ходу клавиатуры: 123456, 123123, 12345678, qwerty, а также abc123, dragon, 111111, iloveyou, sunshine, passw0rd, superman, football и др.

ЭЛЕКТРОННАЯ ПОЧТА

Сотрудники считают, что пересылать секретные данные безопаснее с личной, а не с корпоративной почты. Это заблуждение: установить, чей адрес, легко по учетным записям. Также «электронка» помогает проникнуть в тайны компании с помощью зараженных вирусами писем. Шпионы изучают интересы сотрудника (в соцсетях и т. п.), затем отправляют ему такое письмо, которое он наверняка откроет, допустим коллекционеру плюшевых мишек сообщение с темой «Прикольный мишка».

СМАРТФОНЫ, НОУТБУКИ

Смартфоны и ноутбуки тоже не самый распространенный канал утечки секретной информации, но часто используется менеджерами высшего звена. Ситуация: идет конфиденциальное совещание. У присутствующих с собой смартфоны или, что чаще всего, ноутбуки с материалами совещания. Присутствующий инсайдер активирует встроенный микрофон и сидит себе с невинным видом. А потом все, о чем говорилось на закрытом совещании, сливается во внешний мир.

СЪЕМНЫЕ НОСИТЕЛИ И РЕЗЕРВНЫЕ КОПИИ

Флешки, переносные жесткие диски в силу своего удобства тоже используются для передачи информации. При этом инсайдер может легко сослаться на их обычную потерю. Иногда информация уходит по оплошности. К примеру, сотрудник взял на флешке отчеты с финансовыми показателями домой доработать, а дома незащищенное интернет-соединение. Что касается резервных копий, то хранить в них данные можно в интернете (пример — iCloud).