Все делают это: почему сотрудники – это главная угроза корпоративной информационной безопасности и как с этим бороться

    Буквально за пару месяцев маленький, но очень резвый вирус COVID-19 встряхнул мировую экономику и изменил давно устоявшиеся правила ведения бизнеса. Теперь даже самым преданным адептам офис-ворк пришлось перевести сотрудников на удаленную работу.

    Страшный сон консервативных руководителей стал явью: совещания по аудиосвязи, постоянные переписки в мессенджерах и никакого контроля!

    Еще коронавирус активизировал две самые опасные угрозы для корпоративной безопасности. Первая – это хакеры, которые пользуются уязвимостью компаний в ситуации экстренного перехода на удалёнку. Вторая – собственные сотрудники. Попробуем разобраться, как и зачем сотрудники могут воровать данные, а главное, как с этим бороться.

    Идеальный рецепт корпоративной утечки


    По данным исследователей в России в 2019 году количество зарегистрированных утечек закрытой информации из коммерческих и государственных организаций по сравнению с 2018 годом выросло на 40%. При этом хакеры похищают данные меньше чем в 20% случаев, главными нарушителями являются сотрудники – по их вине происходит примерно 70% всех утечек.



    Сотрудники могут похитить корпоративную информацию и персональные данные клиентов умышлено или скомпрометировать их из-за нарушения правил информационной безопасности. В первом случае данные скорее всего будут проданы: на черном рынке или конкурентам. Стоимость их может варьироваться от нескольких сотен до сотен тысяч рублей, в зависимости от ценности. В условиях грядущего кризиса и в ожидании волны увольнений такой вариант развития событий становится вполне реальным: паника, страх неизвестности и желание подстраховаться на случай потери работы, а также доступ к рабочей информации без жестких офисных ограничений – это готовый рецепт корпоративной утечки.

    Какие данные востребованы на рынке? «Предприимчивые» сотрудники операторов связи предлагают на форумах услугу по «пробиванию номера»: таким путем можно получить имя владельца, адрес регистрации и его паспортные данные. Работники финансовых организаций также считают данные клиентов «ходовым товаром».

    В корпоративной среде сотрудники передают конкурентам клиентские базы, финансовые документы, исследовательские отчеты, проекты. Правила информационной безопасности хотя бы раз нарушали практически все офисные работники, даже если в их действиях не было никакого злого умысла. Кто-то забыл забрать из принтера бухгалтерский отчет или стратегический план, другой поделился паролем с коллегой, имеющим более низкий уровень доступа к документам, третий отправил друзьям фотографии новейшей разработки, еще не выведенной на рынок. Часть интеллектуальной собственности компании, которая может составлять коммерческую тайну, забирает с собой большинство увольняющихся сотрудников.

    Как найти источник утечек


    Информация утекает из компании несколькими путями. Данные распечатывают, копируют на внешние носители, отправляют на почту или через мессенджеры, фотографируют экран компьютера или документы, а еще скрывают в изображениях, аудио- или видеофайлах методом стеганографии. Но это высший уровень, поэтому он доступен только очень продвинутым похитителям. Среднестатистический офисный работник вряд ли будет использовать эту технологию.

    Пересылку и копирование документов службы безопасности отслеживают с помощью DLP-решений (data leak prevention – решения для предотвращения утечки данных), подобные системы контролируют перемещение файлов и их содержание. В случае подозрительных действий система оповещает администратора и блокирует каналы передачи данных, например, отправку электронных писем.

    Почему же несмотря на эффективность DLP информация продолжает попадать в руки злоумышленников? Во-первых, в условиях удаленной работы трудно контролировать все каналы обмена данными, особенно если рабочие задачи выполняются на персональных устройствах. Во-вторых, сотрудники знают о том, как работают подобные системы и обходят их с помощью смартфонов – делают снимки экранов или копий документов. В этом случае предотвратить утечку практически невозможно. По данным специалистов около 20% утечек приходится именно на фотографии, а особенно ценные копии документов передаются таким образом в 90% случаев. Основной задачей в такой ситуации становится поиск инсайдера и предотвращение его дальнейших противозаконных действий.

    Самый эффективный способ поиска нарушителя в случае утечек через фотографии – применение системы для защиты данных путем их предварительной скрытой визуальной маркировки. Так, например, система SafeCopy создает уникальную копию конфиденциального документа для каждого пользователя. В случае утечки по обнаруженному фрагменту можно точно выяснить владельца документа, который скорее всего и стал источником утечки.

    Подобная система должна не только маркировать документы, но и быть готова к распознанию маркировки с целью идентификации источника утечки. По опыту НИИ СОКБ, источник данных чаще всего приходится определять по фрагментам копий документов, либо по копиям плохого качества, на которых иногда трудно разобрать текст. В такой ситуации на первое место выходит функциональность системы, обеспечивающая возможность определения источника как по электронной, так и по печатной копии документа, или копии любого абзаца документа. Также важно может ли система работать с фотографиями низкого разрешения, сделанными, например, под углом.

    Система скрытой маркировки документов, помимо поиска виновника, решает и другую задачу – психологическое воздействие на сотрудников. Зная о том, что документы «помечены», сотрудники реже идут на нарушение, так как копия документа сама укажет на источник ее утечки.

    Как наказывают за утечку данных


    В США и европейских странах уже никого не удивляют громкие судебные процессы, инициируемые компаниями против действующих или бывших сотрудников. Корпорации активно защищают свою интеллектуальную собственность, нарушители получают внушительные штрафы и даже тюремные сроки.

    В России пока не так много возможностей наказать сотрудника, ставшего причиной утечки, особенно умышленной, но пострадавшая компания может попытаться привлечь нарушителя не только к административной, но и к уголовной ответственности. Согласно статье 137 УК РФ «Нарушение неприкосновенности частной жизни» за незаконный сбор или распространение сведений о частной жизни, например данных клиентов, совершенные с использованием служебного положения, может быть наложен штраф от 100 тыс. рублей. Статья 272 УК РФ «Неправомерный доступ к компьютерной информации» предусматривает штраф за незаконное копирование компьютерной информации от 100 до 300 тыс. рублей. Максимальным наказанием за оба преступления может стать ограничение или лишение свободы сроком до четырех лет.

    В российской судебной практике пока еще мало прецедентов с серьезными наказаниями для похитителей данных. Большинство компаний ограничиваются увольнением сотрудника и не применяют к нему никаких серьезных санкций. Поспособствовать наказанию похитителей данных могут как раз системы маркировки документов: результаты проведенного с их помощью расследования можно использовать в судопроизводстве. Переломить ситуацию и охладить пыл похитителей и покупателей информации помогут только серьезное отношение компаний к расследованиям утечек и ужесточение наказания за подобные преступления. Сегодня спасение утекающих документов – это дело рук…самих владельцев документов.
    НИИ СОКБ
    Компания

    Комментарии 14

      +3

      100% утечек происходит из-за человеков. Но это ненадолго, covid-19 должен исправить эту ситуацию, и инциденты ИБ на этом прекратятся.

        0

        Пока большинство офисных сотрудников работают из дома число намеренных и случайных инцидентов ИБ будет только увеличиваться. Службы ИБ вынуждены "закручивать гайки", в то время как сотрудникам нужно выполнять требуемые KPI. Если средства защиты будут этому мешать, конфиденциальный документооборот уйдёт в незащищённый контур личных устройств и сервисов, которые не будут контролироваться никакими DLP. У нашего решения есть пару интересных интеграций на этот счёт:


        1. Если интегрировать SafeCopy с корпоративной СЭД, то у каждого пользователя будет своя маркированная копия конфиденциального документа. Если она где-нибудь "всплывёт", можно будет определить владельца.
        2. Если интегрировать SafeCopу с корпоративной почтой, то почтовые вложения можно маркировать "на лету" — получатели получат маркированные копии отправленных документов. Дальше то же самое — где бы документ не "всплыл", отправитель будет определён. По идее электронная почта не должна использоваться для передачи конфиденциальной информации, но многие компании это только декларируют. По факту по почте регулярно передаётся весьма чувствительная информация.
        0
        Переломить ситуацию и охладить пыл похитителей и покупателей информации помогут только серьезное отношение компаний к расследованиям утечек и ужесточение наказания за подобные преступления.

        А не подскажите во что это обойдется, особенно если через суды?

          0

          Чтобы суд был "рентабельным", нужны доказательства. Мы запатентовали способ, который применяется в нашем продукте, чтобы результаты его работы можно было применять в суде. Без патента суд такие доказательства не принимает. Относительно недавний "нерентабельный" пример — в 2018 году в сотрудник Сбербанка Ростовской области перешёл на работу в ВТБ, перед этим распечатав клиентскую базу. Новость об этом можно прочесть тут. В правоохранительные органы обратилась одна из его новых подчинённых, которой поручили обзвонить 27 клиентов из этой базы. Других доказательств предъявить не удалось. В результате злоумышленнику назначили штраф в 70 тыс. руб. и наложили запрет доступа к банковской тайне на 1,5 года. Уверен, что нанесённый ущерб был существенно больше. Если бы суду предъявили маркированную копию базы из 3000 клиентов (цифры из статьи), то наказание было бы строже.

            0
            • По нашим данным, в распоряжении М. оказались данные более 3000 клиентов Сбербанка, однако точно в суде доказать эту цифру не удалось, его осудили за разглашение сведений в отношении 27 клиентов Банка. Именно такое количество было в списке, который девушка принесла в Сбербанк, — отметила Ольга Чуланова.

            Удалось доказать, что он выгрузил из базы ПД 3000 клиентов. Удалось доказать, что из этих 3000 он разгласил сведения 27 — тех самых, лист с данными которых попал сотруднице. Поскольку другие листы не нашли, суд пришёл к выводу, что относительно данных 2973 клиентов утечки не было. Не очень понятно, как именно ваше ПО позволило бы доказать, что в ВТБ были переданы все листы с распечатанными ПД.

              0

              Наше ПО может помочь в таком сценарии:


              1. Листы с распечатанными данными 3000 клиентов переданы в суд.
              2. Злоумышленник отказывается от того, что это его листы.
              3. Наше ПО устанавливает, что листы относятся к злоумышленнику.
                0

                В том и дело, что в приведённом деле обвинение располагало только единственным листом, который был передан сотруднице. Остальных листов не было найдено, а потому не удалось установить, что эти распечатанные листы действительно были переданы сотрудникам ВТБ.

              0
              Чтобы суд был "рентабельным", нужны доказательства.

              Рентабельный с чьей точки зрения? С точки зрения государства — рентабельность суда это это всякие сборы на процесс в пользу государства. С точки зрения заявителя — "рентабельности" можно ждать очень и очень долго. А расходы на суды будут расти и расти.


              И самое главное. Вы не совсем правильно написали или совсем не правильно написали :


              В правоохранительные органы обратилась одна из его новых подчинённых, которой поручили обзвонить 27 клиентов из этой базы.

              На самом деле она обратилась в Сбербанк:


              Девушка принесла в Сбербанк список клиентов из их же базы.

              Я думаю, если бы она пошла в суд, то ничего бы не выиграла!

              0
              www.vedomosti.ru/management/articles/2020/03/10/824849-mahinatsii-s-dannimi
              В среднем 1 год, примерно 400 т.р., которые возвращает осужденный в теч. года. Но желающих в компании после приговора становится ЗНАЧИТЕЛЬНО меньше
              +5

              Как ваша система SafeCopy справится с редактируемыми документами, с электронной почтой и записью совещаний и сторонними системами типа CRM и т.п., откуда тоже можно скопипастить или сфотографировать информацию?


              Кроме того, даже если это защищённые файлы с изображениями документов, то чтобы система нашла утечку, этот файл должен «всплыть» и дойти обратно до исходной компании, где его проверят безопасники. Но этого же может так никогда и не произойти. Кроме того, самое важное в документе — это информация, которая в него заложена. Конкуренты узнали о ней, приняли соответствующие шаги, и теперь им вообще этот документ не нужен и может быть уничтожен.

                0

                Содержимое любого документа можно разгласить множеством способов, начиная от копирования на флэшку, заканчивая сценариями типа "запомнить-пересказать" или "перепечатать в WhatsApp, глядя на экран read-only документа". Электронный документооборот контролируют DLP. Печатные копии конфиденциальных документов и их финальные нередактируемые электронные версии можно промаркировать с помощью SafeCopy. Утверждённые документы с подписями и печатями составляют большую ценность для злоумышленников по сравнению с проектами этих документов, потому что печати и подписи являются подтверждением подлинности документа. С учётом увеличения числа фейков крупные регулярные издания даже не будут рассматривать материал, подлинность которого нельзя подтвердить. Если речь про новую формулу лекарства или стоимость коммерческого предложения конкурента, то их можно просто запомнить и рассказать конкуренту по телефону или при очной встрече. Здесь SafeCopy не поможет.


                Для выявления канала утечки она действительно должна состояться и "всплыть" тем или иным образом, включая срабатывание DLP-систем на подозрительную передачу фотографии, которую можно загрузить в SafeCopy и проверить не является ли она фотографией конфиденциального документа. С точки зрения защиты SafeCopy имеет скорее превентивное действие. Зная о том, что канал утечки можно определить по фотографии или ксерокопии конфиденциального документа, злоумышленник скорее всего выберет другой способ кражи данных или вовсе от неё откажется.

                  0

                  То есть ваша система защищает только от единственного сценария — потенциального обнародования документа в СМИ?

                    0

                    Документ может обнародован не только в СМИ, но и, например, в социальных сетях, в публичных группах / каналах мессенджеров, при анализе срабатываний DLP. Во всех этих случаях наша система сможет идентифицировать владельца документа.

                      0

                      Думаю, что в XXI веке обнародование документа в соцсетях, публичных каналах мессенджеров и классических СМИ можно считать эквивалентным.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое