Существующие угрозы для компании при разглашении иод

Иформация о деятельности предприятия нередко представляет интерес для конкурентов, а также злоумышленников, которые стремятся завладеть чужими секретами в неблаговидных целях. Руководство обязано организовать защиту ценных сведений, выявлять каналы утечки информации и принимать меры для их полного перекрывания. Разглашение секретных данных грозит компаниям репутационным и финансовым ущербом, потерей клиентов, втягиванием в конфликты и судебные разбирательства с конкурентами.

Формы представления конфиденциальных данных

Информация может быть представлена:

• В виде бумажных или электронных документов (в графической, текстовой или цифровой форме). Данные можно изучить визуально, передать через интернет или другими способами;
• В речевой (акустической) форме. Сведения сообщаются при разговорах, в ходе обсуждения бизнес-процессов, исследований, экспериментов, во время докладов. Речевая информация может храниться в виде аудиозаписей. Ее можно перехватить путем улавливания акустических сигналов, исходящих от звукоусиливающей и звуковоспроизводящей аппаратуры;
• В телекоммуникационной форме (передается с помощью электромагнитных волн – по радио, телефону, телевизору, каналам спутниковой связи).

Информационная защита предотвращает реализацию угроз уничтожения или потери конфиденциальных данных, представленных в любой форме.

Классификация угроз потери информации

Угрозы утечки информации подразделяют на естественные и искусственные.

Причинами естественных утечек могут быть аварии, пожары и другие чрезвычайные события, приводящие к прекращению подачи электроэнергии, сбоям в работе охранной сигнализации и систем информационной безопасности. Все эти ЧП несут риск, что информация окажется в чужих руках: в охраняемый периметр могут попасть посторонние, а документы, оборудование или цифровые данные в результате сбоя – за его пределы из-за выноса, отправки «не туда» или других казусов.

Искусственные угрозы возникают по воле людей или в связи с их деятельностью. Такие угрозы могут быть непреднамеренными и умышленными.

Непреднамеренные угрозы возникают из-за недопонимания ценности информации, с которой работает персонал компании, или небрежности в обращении с корпоративными данными. Причиной разглашения становится в этом случае нарушение правил обработки и хранения конфиденциальной информации.

Умышленные угрозы создаются намеренно с целью нанесения вреда. Для похищения важной информации злоумышленники прибегают к различным приемам, позволяющим получить несанкционированный доступ к секретным материалам. Такими приемами могут быть вербовка сотрудников компании, внедрение агентов в рабочий коллектив, скрытое наблюдение, компьютерный взлом.

«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных.

Внутренние и внешние угрозы

Внутренние угрозы утечек информации могут возникать в результате:

• Случайных ошибок сотрудников, проявивших небрежность или невнимательность при загрузке и использовании программного обеспечения, эксплуатации технических средств обработки и хранения информации;
• Несоблюдения правил хранения бумажных и электронных носителей, утилизации ненужных документов и производственных отходов; 
• Намеренного вредительства настоящих и бывших работников компании. Мотивами могут быть зависть, месть, желание получить денежное вознаграждение;
• Действий уволенных сотрудников: передачи ценной информации конкурентам или использования своих и чужих «наработок» при создании собственной конкурирующей фирмы;
• Сбоев в работе электронного оборудования из-за прекращения подачи электроэнергии;
• Нарушения правил безопасного входа в информационную систему и передачи служебной информации, а также сообщение секретных паролей и кодов посторонним лицам.

«Внешними» причинами, по которым происходит утечка конфиденциальной информации, чаще всего являются:

• Вирусное заражение компьютеров, внедрение вредоносных программ;
• Разведывательные действия злоумышленников (установка закладных устройств, использование технических средств для улавливания речевой и видовой информации);
• Переманивание персонала конкурентами.

Разновидности каналов утечки информации

Каналы утечки конфиденциальной информации подразделяют на четыре основные группы, в которых для незаконного получения важных сведений производится:

1.Подслушивание, перехват электромагнитных сигналов (без внедрения технических приспособлений в линии связи);

2.Похищение, копирование, изучение и запоминание данных, остающихся на бумажных и электронных носителях во время их обработки;

3.Взлом систем защиты информации, проникновение в хранилища данных, незаконное подключение специальных устройств для просмотра и прослушки, а также внедрение шпионских компьютерных программ;

4.Подкуп или шантаж работников и руководства компании.

Разнообразие приемов требует комплексного подхода к защите конфиденциальной информации. Меры, принимаемые для борьбы с утечками данных, не должны отражаться на качестве и скорости выполнения производственных заданий. 

В зависимости от способов несанкционированного распространения ценных корпоративных данных каналы утечки подразделяют на физические, технические и информационные.

Особенности физических каналов утечки 

Физическими называют каналы утечки коммерческой информации, возникающие из-за слабой организации физической защиты данных от несанкционированного изучения и копирования, а также от похищения.

Канал подобных утечек может возникать в процессе:

• Передачи сотрудникам документов из хранилища, обмена данными между работниками компании, знакомства клиентов и поставщиков с деятельностью предприятия;
• Распечатки и тиражирования данных с помощью устройств, установленных в общем зале;
• Перевозки документов без должной охраны;
• Размещения документов в архивах и хранилищах;
• Уничтожения данных с несоблюдением правил и требований безопасности.

Каналы утечки информации могут появиться из-за непродуманной организации рабочих мест сотрудников (тесного расположения столов, отсутствие перегородок между ними, хранения документации не в сейфах, а в обычных шкафах).

Причиной утечки графической информации может быть использование в дизайне помещений стеклянных перекрытий, сквозь которые можно визуально проследить за работой сотрудников и изучить обрабатываемые данные.

Для утечки акустической информации достаточно подслушивания разговоров между сотрудниками. Злоумышленники могут почерпнуть сведения из чужой телефонной беседы, в ходе которой люди неосторожно делятся служебными секретами. Нередко, беспечные сотрудники обсуждают рабочие проблемы, находясь в общественных местах, провоцируя случайную утечку важной коммерческой информации.

Виды технических каналов

Для похищения коммерческих данных используется аппаратура, улавливающая сигналы различной природы, которые исходят от информационного объекта.
В зависимости от способов передачи и перехвата информации их подразделяют на:

• Электрические (электромагнитные). Регистрируются побочные электромагнитные излучения, возникающие в посторонних проводах и вспомогательном оборудовании, расположенном вблизи электронной техники, используемой при работе с данными;
• Акустические (используются устройства перехвата речевых сигналов – «закладки»);
• Вибрационные (для перехвата виброакустических сигналов, исходящих от поверхности стен и предметов, используются электронные стетоскопы, лазерные системы).

Потеря данных по информационным каналам 

Информационными каналами похищения данных могут быть различные web-серверы, электронная почта, файловые хранилища.

Причинами неумышленных информационных утечек зачастую являются:

• Использование сотрудниками служебной электронной почты для частной переписки, а также передача служебных данных в личных сообщениях;
• Обмен данными с другими пользователями с помощью SMS-сообщений, а также по ICQ, Skype и другим каналам электронной связи;
• Потеря мобильных телефонов или передача посторонним лицам съемных электронных носителей, содержащих служебные сведения;
• Предоставление персонального компьютера с незакодированной информацией другим сотрудникам или знакомым.

Канал утечки информации появляется в том случае, когда:

• В компаниях не проводится разграничение доступа к данным для сотрудников разных категорий;
• Нарушается порядок хранения и обработки документов с конфиденциальной информацией;
• Неправильно организован доступ к электронным носителям;
• Слабо контролируются действия привилегированных пользователей (системных администраторов, руководителей фирмы). При желании они могут отключить систему защиты данных и передать важную информацию заинтересованным лицам;
• Отсутствует контроль за установкой программных приложений, с помощью которых можно передавать зашифрованную информацию даже при наличии системы DLP (блокировки несанкционированной отправки сообщений);
• Проводится недостаточная работа с персоналом по разъяснению последствий разглашения служебной информации и требований безопасности.

Меры предотвращения утечек информации

Для того чтобы снизить вероятность появления каналов утечки информации, важно использовать надежные средства и методы ее защиты. Основными принципами являются:

1.Системность в работе по предотвращению утечек данных. Необходимо серьезно подходить к отбору персонала, его знакомству с правилами обработки и хранения документов и информационных файлов. Важно, чтобы сотрудники точно знали, какая информация не подлежит разглашению, и понимали, какие меры предосторожности необходимо соблюдать. Например, они должны знать о том, что, покидая рабочее место, следует выключать компьютер и убирать папки с ценными документами со стола. Требуется регламентировать разговоры сотрудников по телефону, контролировать отправку сообщений;

2.Бдительность и максимальное усложнение данных, чтобы непосвященным людям было труднее в них разобраться;

3.Разрозненность отправляемых электронных данных, то есть дробление пересылаемой информации на части. Например, при передаче логинов и паролей по интернету желательно пользоваться разными каналами связи;

4.Ограниченность доступа сотрудников к секретным данным, чтобы злоумышленник не мог получить сведения «из одних рук»;

5.Разумная перестраховка при обработке и хранении важных материалов, действие по принципу «доверяй, но проверяй». Необходимо использовать современные системы защиты от перехвата данных и контролировать работу персонала, занятого их обработкой.

В компании должна существовать четкая политика информационной безопасности. Требуется строго следить за выполнением установленных правил, создавать инструкции по работе с коммерческими данными. Следует уточнять время, в течение которого информация является актуальной и нуждается в защите от утечек, конкретизировать виды угроз и возможные цели похищения данных. Важно не допустить реализации внешних и внутренних угроз потери информации, обеспечивая ее правильное хранение, обработку и передачу другим пользователям. При этом необходимо учитывать все возможные варианты перехвата и несанкционированного распространения конфиденциальных данных.

15.03.2021

Любое использование материалов медиапортала РШУ возможно только с разрешения

редакции.

Утечка информации компании – одна из самых значимых угроз для современного бизнеса. Раскрытие конфиденциальных данных может привести к срыву контрактов, потере ключевых контрагентов, расторжению договоров и как итог – потере прибыли. Предупредить подобные инциденты можно с помощью специальных информационных систем защиты. Например, система Solar Dozor обеспечивает защиту от информационных утечек, контролирует коммуникацию сотрудников, позволяет обнаружить признаки и попытки корпоративного мошенничества.

Основные виды утечек информации

Передача информации – неотъемлемый элемент коммуникации, однако незаконная передача сведений о компании, ее намерениях и активах наносит бизнесу и репутации непоправимый вред. Утечкой информации называется неправомерное разглашение данных. Оно касается как отдельных персон, так и организации в целом. Утечки информации бывают случайными или умышленными. Предупредить подобные происшествия призвана политика безопасности, проводимая на предприятии. Логины, пароли, номера счетов и банковских карт, промышленные и корпоративные секреты необходимо защищать от попадания в общедоступные сети.

Различают:

• случайные утечки – происходят из-за потери физических носителей (сим-карты, флешки, планшеты, смартфоны), раскрытия паролей в следствие ошибочных действий человека;

• умышленные утечки из-за предоставления избыточных прав доступа – разглашение допускают сотрудники, имеющие доступ к закрытым IT-данным;

• умышленные инсайдерские утечки – сотрудник может специально раскрыть данные за пределами компании, иногда даже не имея легального доступа к информации;

• кража информации – осуществляется извне при помощи IT-инструментов (вирусы, вредоносные программы, хакерские атаки) или технических устройств (фото-, видеонаблюдение, подслушивающая аппаратура);

• кража носителей информации – физическое хищение устройств, непосредственно использующихся для хранения: банка данных, паролей, персональной информации;

• взлом ПО – проникновение в систему предприятия с помощью неучтенных уязвимостей или вредоносных программ.

Причины утечек информации и возможные ситуации

Чтобы защитить бизнес, на предприятии необходимо определять и закрывать возможные каналы утечки информации. Наиболее эффективно такая работа ведется на базе применения различных систем безопасности.

Утрата данных возможна:

• при отсутствии логичной системы охраны, включающей контроль персонала, физических носителей и каналов передачи информации;

• при неправильном обращении с техникой – вынос за пределы предприятия дисков, планшетов с секретной информацией, разглашение паролей/логинов;

• из-за недостаточной компетентности сотрудников, имеющих права доступа к закрытым базам;

• при установке нелицензионных программ или приложений, использовании пиратских копий ПО;

• при использовании не сертифицированных или не прошедших аттестацию систем, оборудования;

• при крупных авариях на технических станциях, поломках оборудования, глобальных сбоях системы.

Как отслеживать утечку информации

Безопасность компании требует, чтобы каждая утечка коммерческой информации тщательно отслеживалась и пресекалась. Наиболее эффективный и экономный способ защиты данных – установка специализированной системы. Рассмотрим возможности IT-продуктов на примере DLP-системы Solar Dozor.

Реализовано:

• сканирование архива электронной переписки;

• установка DLP-системы для текущего анализа каналов передачи информации;

• визуализация полученных сведений для оперативного анализа обстановки;

• отрисовка тепловых карт коммуникаций и графа связей;

• управление расследованиями с помощью встроенного workflow;

• профилирование сотрудников по устойчивым паттернам поведения.

Предотвращение утечки информации на предприятии требует установки комплексной системы. Она не только отслеживает движение данных, но и показывает текущие события с трех точек зрения: с позиции ИБ, сотрудников компании, происходящих внутренних процессов.

Способы и советы по уменьшению рисков утечки информации

Для компании утечка защищаемой информации несет финансовые и репутационные риски. Чтобы снизить риски, необходимо использовать специальные средства по идентификации пользователей при доступе к корпоративной системе, ограничить вынос физических носителей информации за пределы предприятия.

Для аутентификации сотрудников на разных уровнях можно использовать:

• пропускную систему при входе в офис и на объекты;

• криптографическую защиту данных и шифрование каналов передачи важных сведений.

• биометрические данные для доступа к объектам, имеющим статус коммерческой тайны;

• цифровые ключи или пароли для открытия информации конфиденциального характера;

Как защититься от утечек информации

Чтобы в организации не произошла утечка информации, необходимо обеспечить:

• систему контроля сотрудников – доступ с помощью идентификации по паролю или биометрии к каждому значимому объекту или базе данных;

• криптографическую защиту информации, которая передается или может попасть в открытый доступ в интернет;

• обеспечить шифрование данных с помощью современных программных систем.

Заключение

Чтобы минимизировать ущерб от утечки информации, необходимо заранее предусмотреть несколько степеней защиты данных на предприятии. Для этого используются различные DLP-системы, потоковое шифрование данных, аутентификация пользователей, также физические методы охраны объекта.

Решение, как отслеживать утечку информации и построить систему контроля, могут предложить специалисты компании «Ростелеком-Солар». Как разработчики Solar Dozor, они являются экспертами в вопросах безопасности. Она окупается в самые короткие сроки и способствует повышению доверия к компании со стороны партнеров, клиентов, потенциальных покупателей.

Случайное разглашение данных — разновидность непредумышленной утечки информации, когда в результате ошибки или технического сбоя конфиденциальные сведения оказываются известными посторонним людям. Например, сотрудник организации может отправить документы на неверный адрес электронной почты, написать SMS-сообщение на неправильный телефонный номер и т.п. Основная причина таких утечек — халатность, допущенная человеком. Каждый может ошибиться, и именно из-за этого происходят случайные утечки информации.

Классификация и способы случайного разглашения данных

Согласно «Глобальному исследованию утечек конфиденциальной информации в 2016 году», 47,1% всех зафиксированных инцидентов непредумышленной передачи охраняемых данных за пределы периметра организации приходятся на сетевой канал. Ощутимую часть занимают утечки через электронную почту (23,7%), бумажные носители (16,2%). В отдельных случаях виновны съемные накопители данных (6,7%), кражи или потери оборудования (5,3%). 

Данные могут быть случайно разглашены следующими способами:

1. Ошибка в адресе электронной почты. Набирая адрес вручную, пользователь может допустить малозаметную опечатку.
2. Неправильный номер телефона. Кроме отправки уже упоминавшихся SMS-сообщений, возможны и ошибочные звонки, вследствие которых (теоретически) может быть разглашена информация. Также есть вероятность того, что злоумышленники специально подменят номер в телефонной книге жертвы.
3. Ошибка при указании получателя в социальных сетях. В частности, пользователь может отправить сообщения с информацией или прикрепленными документами в адрес посторонней или даже фишинговой учетной записи. 
4. Неверно настроенные права доступа к файлам при использовании файлообменных сервисов, облачных хранилищ и FTP-серверов. Если сотрудник организации загрузил свои файлы (документы, отчеты и т.п.) на общедоступный ресурс и не установил строгие параметры конфиденциальности, то любой человек сможет извлечь эти документы с помощью обычного поисковика. 
5. Потеря бумажных копий документов.

Объект воздействия

Жертвами случайных утечек информации являются их виновники — неосторожные пользователи. Все утечки данного вида происходят из-за халатного отношения к конфиденциальным данным и неосторожных действий по отношению к ним.

Источник случайных утечек

Как уже было отмечено, чаще всего случайные утечки информации происходят по вине рядовых пользователей, допускающих ошибки, проявляющих невнимательность и беспечно относящихся к конфиденциальным данным. Реже к этому могут приводить сбои оборудования (например, аппаратуры сотового оператора, из-за чего SMS-сообщение отправится на другой номер). Иногда мошенники специально подменяют контактные данные получателя, чтобы жертва отсылала информацию по другому адресу.

Оценка риска случайных утечек

Случайные утечки информации несут существенный риск как для частного лица, так и для компании. Перед отправкой электронных писем стоит проверить адрес получателя, в случае SMS-сообщений — удостовериться в правильности набора номера.

Для того чтобы обезопасить компанию от случайных утечек, рекомендуется использовать DLP-системы и осуществлять контроль прав доступа к информации (IdM-решения). Также следует проводить просветительскую работу среди персонала, чтобы сотрудники более ответственно подходили к пользованию информацией компании, выполняли шифрование смартфонов и других устройств, которые они используют в работе, и т.п.