Многие компании халатно относятся к системам безопасности внутри своих организаций, поэтому не вкладываются в обеспечение защиты. В дальнейшем такие упущения могут пагубно отразиться на репутации компании. Утечки всегда приводят к негативным последствиям: бизнес теряет деньги, клиенты — доверие, сотрудники — мотивацию, а разработки — уникальность. Злоумышленники заинтересованы не только в компрометации «секретов» фирмы, но и хищении персональных данных потребителей. Многие компании, особенно сектора малого и среднего бизнеса, верят, что их это не коснется, что их данные никому не нужны, но это большое заблуждение.
Не туда нажал, не тем сказал
Киберинциденты бывают двух видов: неумышленные и умышленные. Первые происходят по неосторожности или невнимательности. Например, сотрудник, забывший напечатанные документы на офисном принтере, создал вероятность утечки конфиденциальной информации. В распечатках могут содержаться как чувствительная информация клиентов компании, так и персональные данные работников. Кроме того, персонал часто ведется на фишинговые рассылки — злоумышленники постоянно совершенствуют свои схемы, уходят от топорных и карикатурных шаблонов.
Особенно это актуально для предприятий, где отсутствуют или уже просто устарели средства технической защиты, а руководство не проводит систематических бесед или тренингов с сотрудниками по вопросам ИБ. При этом критически важно, чтобы команда была в курсе базовых правил кибергигиены и умела распознавать вредоносный спам и другие угрозы. Кроме того, кто-то из персонала может поделиться информацией с друзьями и родственниками, не осознавая, что распространяет конфиденциальные данные. Сотрудникам следует сохранять коммерческую тайну компании даже при общении с самыми близкими людьми — эту политику должно «проповедовать» и начальство.
Чужой среди своих
Умышленные киберинциденты — вопрос достаточно проблематичный. Подход к их предотвращению должен быть максимально деликатным, чтобы не вызвать у сотрудников ощущения постоянного давления и слежки за ними. Будет правильным выделить небольшое количество доверенных людей, которые комплексно займутся защитой компании именно от такого рода утечек.
Сотрудники могут целенаправленно сливать информацию конкурентам, СМИ, силовым или даже иностранным спецслужбам. Недобрые намерения внутреннего нарушителя могут также проявляться в умышленном бездействии — ситуации, когда сотрудник, зная о негативных последствиях каких-либо действий и имея возможность предотвратить их, специально ничего не сделал. Кроме того, сотрудники, осведомленные о предстоящих значимых изменениях в организации, влияющих, например, на котировки акций на бирже, могут передавать сведения в СМИ или помогать знакомым, развивающим свой инвестиционный портфель.
Обиженный персонал представляет большой интерес для конкурентов. Самые коварные из них могут «завербовать» человека для использования в своих целях, обещая в будущем предоставить ему высокую должность в обмен на ценные конфиденциальные данные.
Бухгалтерия также частенько раскрывает коммерческую информацию другим сотрудникам — чужие зарплаты, детали планов, сделок, уровень затрат, возможные сокращения, «дыры» в бюджете, штрафы и нарушения со стороны организации. Все эти данные можно использовать в корыстных целях.
Тяжелая броня от утечек
Успешное предотвращение слива данных основано на признании того, что проблема может коснуться вас в любой момент. Компании, в которых ИБ либо отсутствует в принципе, либо присутствует эпизодически, часто не думают, что это может как-то их задеть. Руководство должно осознавать, что ИБ — неотъемлемая часть каждого бизнеса, даже самого маленького.
Второй элемент успеха — знание внутренних процессов, а также учет внешних обстоятельств и уровня их влияния на организацию.
Третья составляющая — грамотная и рациональная реализация системы защиты компании от утечек. Важно иметь сильную юридическую поддержку с самого начала ведения бизнеса. Так, сотрудники и контрагенты обязаны подписывать соглашения о конфиденциальности, должен быть введен режим коммерческой тайны, в соответствии с которым будут передаваться все важные сведения. Права доступа к различным информационным системам и даже обычным файлам должны быть обоснованы и выдаваться исключительно в соответствии с выполняемыми задачами. Кроме того, крайне нежелательно, чтобы сотрудники работали с личных гаджетов и ПК.
Важный фактор предотвращения любых нежелательных последствий для компании — сильная корпоративная культура. Благополучие сотрудников, к которому организация имеет непосредственное отношение (заработная плата, достойный социальный пакет, практика системного и справедливого решения корпоративных споров) — залог их лояльности. Внимание к этому вопросу позволит свести к минимуму умышленные утечки информации, когда человек, из мести или соблазнившись денежным вознаграждением, сливает важные данные конкурентам.
Подход должен быть комплексным и основываться на принципах поведения подчиненных и руководства в любых ситуациях. При этом риск-ориентированный подход подразумевает, что наибольшие усилия следует сосредоточить в отношении объектов высокой опасности и меньшее внимание уделять сферам пониженного риска. Необходимо выделить и подробно описать несколько критичных бизнес-процессов и точечно для каждого разработать регламенты, пункты для должностных инструкций причастных сотрудников в дополнение к общепринятым в компании политикам ИБ. Таким образом, вы получите гибкую, эффективную, рациональную систему, в которой персонал будет понимать, зачем, почему и как именно компания защищает себя и свой штат от неблагоприятных последствий.
Грамотное ранжирование рисков
Наибольшую угрозу представляют собой действия сотрудников в отношении наиболее важной для компании информации, степень значимости которой зависит от отрасли бизнеса, бизнес-процессов, уровня зрелости организации. Например, для подающего надежды стартапа крайне значима технология разработки его продукта, план его развития и функциональное наполнение. Если причастные к разработке сотрудники допустят утечку информации конкурентам, это может обернуться банкротством. Вызовы, с которыми сталкиваются крупные игроки всех отраслей, многогранны — буквально одна просочившаяся новость «о возможном сокращении штата» может обрушить акции корпорации и принести внушительные убытки.
Руководство к действию
Сотрудники, которым стало известно об утечке данных, должны сразу сообщить об инциденте. Если это затрагивает публичные отношения компании, необходимо передать информацию в PR-службу и выпустить пресс-релиз, который успокоит инвесторов и других стейкхолдеров, а также позволит выиграть время. Информацию необходимо оперативно передать юристам, которые оценят правовую перспективу и дадут инструкции для руководства компании и сотрудников.
Задайте себе вопрос: откуда вы узнали о том, что произошла утечка? Наиболее «выгодный» вариант — от сотрудников, осознавших свою ошибку, или от собственной службы безопасности, а самый печальный — из публичных источников.
Подразделение, ответственное за информацию, слив которой произошел, в целях безопасности не должно знать никаких подробностей вашего расследования. Если злоумышленник находится среди «своих», то каждая деталь инцидента позволит ему замести следы и избежать наказания.
Если ИБ-команда смогла выявить утечку, она должна в кратчайшие сроки провести расследование и постараться дать ответы на вопросы: кто именно допустил слив, с какого устройства и каким образом он был осуществлен. На основе полученной информации необходимо составить план оперативных действий по оценке последствий утечки, а также по минимизации негативного эффекта такого слива. На данном этапе важно не допустить, чтобы новость о происходящем просочилась в СМИ.
В случае, когда об утечке вы узнаете извне, расследование инцидента значительно затрудняется. Оперативная группа, созданная в связи с такими событиями, должна быть расширена, а работа должна вестись в двух направлениях: внутри компании и в области внешних коммуникаций. Задача внутренних мероприятий состоит в выявлении злоумышленника и расследовании инцидента: необходимо воссоздать полную картину преступления, проанализировать события, зафиксированные в SIEM-, DLP- и UBA-системах, аккуратно провести опрос среди сотрудников. Цель внешних коммуникаций в период «обострения» — успокоить потребителей и стейкхолдеров, обозначить, что компании известны некоторые факты и она уже проводит активные действия в отношении данного инцидента, заверить, что указанные события никак не изменят взятых на себя обязательств, поблагодарить своих клиентов и партнеров за понимание и выразить надежду, что случившееся не повлияет на дальнейшее плодотворное сотрудничество.
Вывод
Важно помнить, что негативные инциденты — тот период, когда компании необходимо проявить себя достойно и профессионально. Это позволит в дальнейшем укрепить свои позиции на рынке в глазах потребителей, партнеров и сотрудников. И наоборот: все ваши ошибки в кризисный период надолго запомнят, что усугубит и без того весомый понесенный ущерб.
По материалам Журнала IT Expert