Как предотвратить утечку информации в компании
Перейти к содержимому

Как предотвратить утечку информации в компании

  • автор:

9 способов защититься от утечки данных

Начнем с определения. Нарушение данных — это нарушение безопасности, при котором конфиденциальные, защищенные или конфиденциальные данные копируются, передаются, просматриваются, крадутся или используются лицом, не уполномоченным на это. Здесь все довольно понятно, а вот кто и как давайте разберем.

Существует много разных факторов утечки персональных данных. Основные из них:

  1. от безалаберности сотрудников/разработчиков: открытые БД, открытые порты и т.п.;
  2. слив данных самими сотрудниками;
  3. дыры безопасности сайтов.

Давайте чуть более подробно расскажем про каждый пункт.

К нам приходил запрос от крупной сети АЗС, у которых злоумышленники воровали бонусные баллы клиентов. Для того чтобы понять в чем дело компания предоставила нам исходный код для анализа. Решение разрабатывала одна из топовых Российских IT команд, код был качественным, но без самой базовой проработки безопасности.

Элементарно: запросы в БД были не экранированы. Наша команда для проведения теста написала небольшой скрипт, который через эту уязвимость БД с помощью перебора за ночь подобрал несколько тысяч паролей. Предоставили клиенту полученные данные: найденную уязвимость и результаты полученные нашим скриптом.

Еще одна реальная история, которая длилась несколько лет. Все началось в 2013 году, когда сотрудник компании Allen&Hoshall Джейсон Нидхем покинул компанию и решил основать свою собственную HNA Engineering.

Продолжая поддерживать отношения с одним из бывших коллег, Джейсон мог спокойно периодически обращаться к сетевым дискам и почте своего прежнего места работы, загружая оттуда информацию о проектах, финансовые документы и проекты инженеров (в общей сложности — 82 документов AutoCAD и около 100 PDF-документов).

A&H долгое время пыталась отследить его действия, но все было неуспешно до 2016 года. Один из клиентов заметил схожесть в предложениях двух компаний и уже в 2017 году Джейсону предъявили обвинение.

Что касается дыр в безопасности сайтов. Они появляются в ситуациях, когда при разработке сайтов были использованы готовые решения.

Разработчики таких систем время от времени выкатывают различные «заплатки» для выявленных уязвимостей или предотвращения их появлений. А компании, которые использую эти решения просто не обновляют систему, в связи с этим и могут появляться так называемые «дыры» в безопасности сайтов.

Давайте немного обобщим виды утечки данных и разделим их на два типа: умышленные и неумышленные утечки данных.

Чаще всего не умышленные утечки данных происходят в сфере медицинских услуг. На долю здравоохранения приходится до 60% утечек произошедших по вине сотрудников и только 20% сделаны умышленно, остальные произошли из-за некомпетенции сотрудников.

Также большой процент не умышленных утечек данных происходит в сферах образования и ЖКХ. Но если говорить в общем, то в мире 72% утечек данных происходит умышленно. Чаще всего атакам подвергаются государственные учреждения, банки, страховые организации.

Где искать данные и к чему это может привести?

Несложно догадаться что утечки персональных данных ведут к повышению активизации мошенников. Поэтому если вам звонит незнакомый номер и уверяет вас что на другом конце провода сотрудник банка, то это скорее всего обман. Для каждого банка есть свой номер, как например для Сбербанка — 900, а ВТБ — 1000.

Также часто такие утечки могут быть использованы как ни странно в маркетинговых целях. Если провести небольшой ресерч, собрать слитые данные с нескольких сервисов, можно составить профиль человека. Узнать что он любит есть, где бывает, что смотрит. Когда у тебя есть такой портрет, можно выявить боли человека и знать куда «давить».

А найти эти самые слитые данные можно в даркнете, ведь не зря во всех хакерских фильмах используется. Как бы это не было грустно — в даркнете есть все.

Даркнет — это скрытый сегмент интернета, доступный только через специализированные браузеры. Для безопасности пользователей сети даркнет полностью анонимен — для доступа к нему используется зашифрованное соединение между участниками.

Еще один набирающий популярность способ «пробить человека» различные Telegram-каналы или боты, где за небольшую сумму вы получите необходимую информацию, просто предоставив ФИО или номер телефона. Существую два типа работы таких сервисов:

  • Боль­шинс­тво ботов Telegram работа­ют по схе­ме OSINT, то есть опи­рают­ся на откры­тые и доступные источни­ки. Для этого они используют API раз­личных служб и интернет‑ресур­сов.
  • Дру­гие исполь­зуют сли­тые базы дан­ных. Но такой способ менее достоверный, так как они не всег­да фун­кци­они­руют ста­биль­но, и у них есть проблема с акту­али­заци­ей информа­ции: любая утек­шая в паб­лик база со вре­менем уста­рева­ет и, разуме­ется, не обновля­ется

Сейчас самыми популярными ботами являются: Get Contact, «Глаз Бога», AVinfo, и другие.

Соглашаясь на обработку ПД мы сами даем информацию мошенникам?

Мы как пользователи тех или иных сервисов часто даем согласие на обработку персональных данных при получении определенных услуг, при покупке товаров через онлайн-сервис и так далее.

Порядок работы с личными нашими сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из статьи 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.

В том числе к таким сведениям можно отнести:
• Ф. И.О.;
• адрес проживания;
• паспортные данные;
• сведения о месте рождения;
• прочие данные.

Как можно себя обезопасить? Когда мы совершаем покупку товаров можно давать согласие на обработку персональных данных, но ограниченных видов , т. е. только имя, телефон ( в идеале иметь запасной номер на случаи, куда приходят коды, но не прикреплены карты), оплату производить с карты банковской, но неосновной, а завести такую, которую вы можете пополнять на сумму товара.

Согласно статьи 9 вышеуказанного закона можно отзывать согласие на обработку персональных данных, что позволяет наложить запрет на работу оператора с личными сведениями о человеке.

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

• суды при участии гражданина в судопроизводстве;
• приставы при исполнении судебного акта;
• государственные органы при исполнении своих полномочий;
• стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
• любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
• журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
• субъекты, участвующие в реализации международных договоров;
• органы статистики, если личные данные обезличиваются.

Блокировка своих данных.

Представим ситуацию, вы обнаружили свои персональные данные в открытом доступе. Сразу возникает вопрос а что же делать?

Можно запретить поисковым системам их отображать в поиске. В федеральном законодательстве говорится о праве на забвение, позволяющее гражданам обращаться с заявлением о прекращении выдачи в поисковике личных данных.

Суть такая: каждый человек может обратиться к администрации поисковика и попросить удалить ссылки на его страницы из списка поиска. Поисковик перестанет показывать эту информацию, ннформация, конечно, останется и найти ее уже сможет только тот, кто знает конкретный адрес.

Можно попросить «удалить» информацию, которая явно наносит вред чести и достоинству заявителя, а также можно удалить неактуальную информацию. Еще отметим, что закон не распространяется на внутренний поиск по соцсетям.

Для каждого поисковика есть свои собственные статьи, поэтому при подходе к данному вопросу стоит хорошо изучить информацию.

Если же Вы обнаружите свои персоналии на каком-либо сайте, необходимо сообщить об этом администратору, модератору или владельцу веб-ресурса (отправить электронное письмо по реквизитам сайта). То есть требовать, чтобы сведения удалили или хотя бы обезличили.

Еще один вариант, который может помочь — подать в суд на компанию которая слила эти самые данные. Наверное, самый непредсказуемый вариант, ведь все может пройти быстро, а может затянуться на долгое — долгое время.

И также не стоит забывать, что извлечь данные из интернета практически не возможно. Как говориться «интернет помнит все«.

Как защититься?

Как мы уже поняли безопасность это самое важное и касается всего: сайтов, мобильных приложений, компьютеров, телефонов. Защите сервера от взлома — мера комплексная. Ниже мы приведем небольшой, но очень важный список мер, чтобы защитить себя от взлома:

  1. Аутентификация при помощи SSH-ключа.
  2. Использование файерволов
  3. Старый добрый VPN
  4. Используйте SSL или TLS
  5. Изолированная среда для важных компонентов
  6. Программы помогающие в автоматическом режиме блокировать подозрительные и частые подключения к вашим ресурсам.
  7. Настройте бэкапы
  8. Двухфакторная аутентификация
  9. Аудит экспертов.

Сейчас мы чуть более подробно разберем каждый пункт.

SSH-ключ

Использование SSH-ключа предлагается в качестве альтернативы паролю. Такой ключ имеет большую длину, чем пароль, а также состоит из открытой и закрытой части.

Открытая кладётся в домашний каталог пользователя, «которым» заходят на сервер, закрытая — в домашний каталог пользователя, который идёт на удалённый сервер. Если простыми словами, то две эти части «сравниваются» и если всё ок — пускают.

Уточнение: здесь авторизация происходит с двух сторон: не только клиент на сервере, но и сервер по отношению к клиенту (у сервера тоже есть свой ключ).

Преимущество ключа по сравнению с паролем является то, что ключ нельзя «украсть», ведь взломав сервер — он не передается с клиента на сервер, а во время авторизации клиент доказывает серверу, что владеет ключом.

Как создать SSH-ключ

В OC Windows подключение к удаленным серверам по SSH возможно, например, с помощью клиента Putty. Он не требует установки — чтобы начать с ним работать, достаточно просто распаковать скачанный архив.

По завершении распаковки запустите файл puttygen.exe. Выберите тип ключа SSH-2 RSA и длину 2048 бит, а затем нажмите на кнопку Generate:

Во время генерации водите курсором в пустой области окна (это нужно для создания псевдослучайности). Сохраните сгенерированную пару ключей на локальной машине (кнопки Save public key и Save private key). Скопируйте сгенерированный ключ и вставьте его в соответствующее поле:

Файервол

Файервол — это система, которая предотвращает несанкционированный доступ к сети. Другими словами — это межсетевой барьер (между всемирной и домашней сетью), который контролирует трафик, поступающий в компьютер, и блокирует доступ к нежелательному контенту. Для этого необходимо настроить правило.

Подключение файервола

Нажмите Win+R и введите в командную строку firewall.cpl. Выберите в левом столбце «Дополнительные параметры». В открывшемся окне повышенной безопасности перейдите в раздел «Правила для входящих подключений», после чего нажмите «Создать правило».

В нашем примере разберем создание правило для порта 80.

Уточнение: также можно создать правило для конкретной программы или использовать стандартное правило для стандартных служб Windows. Можно также создать полностью настраиваемое правило под Ваши нужды.

Выберем тип протокола для фильтрации трафика, это может быть либо tcp либо udp, порт может быть любой или вообще можно открыть-закрыть все порты.

Далее определим что именно должно делать правило — разрешать или запрещать трафик по указанным нами на предыдущем шаге портам.

Укажем для какой сети должно применяться это правило. Доменной, частной или публичной.

На последнем шаге задайте имя правила. После этого можно соединяться по этому порту.

Virtual Private Network — это технология, позволяющая создать безопасное подключение пользователя к сети, организованной между несколькими компьютерами. Используется в том числе для обхода ограничений, а также помогает сохранять конфиденциальность в сети.

Как настроить VPN

Выберите кнопку пуск, а затем Параметры > сеть & Internet > VPN >Добавить VPN-подключение. В разделе Добавление VPN-подключения сделайте следующее:

  • В поле Поставщик услуг VPN выберите Windows (встроенный).
  • В поле Имя подключения введите понятное вам имя (например, «Мой личный VPN»). Это имя подключения VPN, которое будет нужно искать для подключения.
  • В поле Имя или адрес сервера введите адрес для сервера VPN.
  • Выберите Тип VPN-подключения, которое вы хотите создать. Вы должны знать, какой тип VPN-подключения или служба VPN используется в вашей организации.
  • В поле Тип данных для входа выберите тип данных для входа (или учетные данные), которые следует использовать. Это могут быть имя пользователя и пароль, одноразовый пароль, сертификат или смарт-карта, если вы подключаетесь к сети VPN для работы. Введите свое имя пользователя и пароль в соответствующие поля (при необходимости).

Уточнение: Если вам требуется изменить сведения о VPN-подключении или указать дополнительные параметры, например параметры прокси-сервера, выберите соответствующее VPN-подключение и нажмите Дополнительные параметры.

Подключение к сети VPN

Если у вас есть ПРОФИЛЬ VPN, вы можете подключиться.

Выберите значок сети ( или ) в дальнем правом углу панели задач.

Выберите VPN-подключение, которое вы хотите использовать, а затем выполните одно из следующих действий в зависимости от того, что происходит при выборе VPN-подключения:

Если под VPN-подключением отображается кнопка «Подключить», выберите Подключить.

Если в «Параметрах» открывается раздел «VPN», выберите это VPN-подключение, затем выберите Подключить.

При появлении запроса введите имя пользователя и пароль или другие данные для входа.

После подключения под ним будет отображаться имя VPN-подключения. Чтобы проверить наличие подключения к сети VPN во время работы за компьютером, нажмите значок Сеть ( или ) в крайнем правом углу панели задач и убедитесь, что под VPN-подключением есть надпись Подключено.

SSL/TLS

TLS — протокол установления и использования криптографически безопасного соединения между клиентом и сервером по сети Интернет. Он дает возможность клиентам проводить проверку подлинности серверов. Серверы же с его помощью выполняют проверку подлинности клиентов (когда это важно).

Уточнение: Для примера возьмем сайт SSL.com на котором предварительно нужно сгенерировать запрос на подпись сертификата (CSR) и отправьте его для проверки и подписания. После того как вам все подтвердят можно приступать к установке.

Сначала найдите заказ в своей учетной записи SSL.com и щелкните один из скачать ссылки. Затем, щелкните скачать ссылка на право Microsoft IIS (* .p7b) в загрузка сертификатов таблице.

Далее открываем Run, вводим команду inetmgr и нажимаем OК. Выберите сервер в Коммутация панель, с левой стороны окна. Дважды щелкните Сертификаты сервера значок, расположенный под IIS в центральной панели окна.

Нажмите Завершить запрос сертификата (Completed Certificate Request) в «Действия» панель, на правой стороне окна.

Затем появится окно «Полный запрос сертификата».

Сначала нажмите кнопку с надписью «…», Чтобы открыть диалоговое окно открытия файла. Перейдите в .p7b файл, который вы скачали с SSL.com. Обратите внимание, что вам придется изменить раскрывающееся меню справа от Имя файла поле из *.cer в *.* чтобы увидеть файл. Нажмите Откройте кнопку.

Затем введите памятное имя для сертификата в поле «Дружественное имя» Нажмите кнопку ОК.

SANDBOX

Или песочница. Принцип работы песочниц отчасти сопоставим с виртуальными машинами (Oracle VM VirtualBox и др., VMware Virtualization). Благодаря виртуализации, все процессы, инициированные программой, выполняются в песочнице — изолированной среде с жестким контролем системных ресурсов.

Подключение SANDBOX

Windows 10 имеет встроенную песочницу, которую можно включить:

  • В меню Компоненты Windows
  • С помощью PowerShell
  • С помощью Командной строки

Перед тем как включать песочницу нужно убедиться, что выполняются два необходимых условия:

  • Установите Windows 10 Pro или Enterprise, KB4512941 (Build 18362.329) или выше.
  • Включите виртуализацию.

Если вы используете физический компьютер, убедитесь, что в BIOS включена функция виртуализации.

Если вы используете виртуальную машину, включите встроенную виртуализацию с помощью этого командлета PowerShell:

Как включить / выключить Песочницу Windows в меню Компоненты Windows

Откройте меню Компоненты Windows (Панель управления > Программы > Программы и компоненты > Включение и отключение компонентов Windows) и выберите Песочница Windows. Нажмите OK, чтобы установить песочницу. Может понадобиться перезагрузка компьютера.

Как включить / выключить Песочницу Windows с помощью PowerShell

Запустите PowerShell от имени администратора (введите powershell в поиске меню Пуск и выберите «Запуск от имени администратора»). Выполните следующую команду, чтобы включить Песочницу Windows:

Enable-WindowsOptionalFeature –FeatureName «Containers-DisposableClientVM» -All -Online

Выполните следующую команду, чтобы отключить Песочницу Windows:

Disable-WindowsOptionalFeature –FeatureName «Containers-DisposableClientVM» -Online

Как включить / выключить Песочницу Windows с помощью Командной строки

Запустите Командную строку от имени администратора (введите cmd в поиске меню Пуск и выберите «Запуск от имени администратора»). Выполните следующую команду, чтобы включить Песочницу Windows:

Dism /online /Enable-Feature /FeatureName:»Containers-DisposableClientVM» -All

Выполните следующую команду, чтобы отключить Песочницу Windows:

Dism /online /Disable-Feature /FeatureName:»Containers-DisposableClientVM»

Запуск и использование Песочницы Windows

  • Используя меню «Пуск», найдите Windows Sandbox, запустите ее и разрешите повышение привилегий.
  • Скопируйте исполняемый файл с основной хост-системы.
  • Вставьте исполняемый файл в окно песочницы Windows Sandbox (на рабочем столе Windows).
  • Запустите исполняемый файл в песочнице Windows Sandbox; если это установщик, продолжайте и установите его.
  • Запустите приложение и используйте его как обычно.
  • Когда вы закончите экспериментировать, вы можете просто закрыть приложение Windows Sandbox. Все содержимое песочницы будет окончательно удалено.
  • Убедитесь, что на хост-системе нет изменений, внесенных вами в песочницу Windows Sandbox.

Дополнительные блокировщики

К примеру, таким блокировщиком может служить программа Fail2ban. Это простой в использовании локальный сервис, который отслеживает log—файлы запущенных программ, и на основании различных условий блокирует по IP найденных нарушителей.

Еще есть программа CrowdSec. Ее называют «современная альтернатива Fail2Ban и коллективный иммунитет для Интернета.»

Подключение дополнительных блокировщиков

Готовые пакеты Fail2ban можно найти в официальных репозиториях всех популярных Linux дистрибутивов.

Установка Fail2ban на Debian/Ubuntu:

apt-get install fail2ban

Установка Fail2ban на CentOS/Fedora/RHEL:

yum install fail2ban

Бэкапы

Другими словами настройка резервного копирования. С этим понятием работать и объяснять уже проще. Держать копии лучше всего на другом диске, это не защитит вас от взлома, но поможет не потерять данные.

Настройка резервного копирования на компьютере делается следующим образом:

Откройте меню «Пуск», а затем выберите команду Параметры → Обновления и безопасность → Резервное копирование → Добавить диск и выберите внешний жесткий диск или сетевую папку, где будут создаваться резервные копии.

Двухфакторная аутентификация

При таком типе аутентификации вы подтверждаете вход двумя типами. Чаще всего это пара логин/пароль + код. Такой доступ серьезно усложняет жизнь злоумышленником, но не является 100% способом защиты

Аудит экспертов

В идеале необходимо проводить аудит безопасности сервера раз в месяц для своевременного обнаружения возможных проблем, связанных с проникновением злоумышленников на сервер. Аудит безопасности включает в себя:

— Анализ версий ПО;

— Анализ настроек веб-сервера;

— Анализ настроек операционной системы;

— Анализ прав доступа к основным файлам и папкам системы, содержащим конфиденциальную информацию;

— На сервере, который находится под подозрением, что он скомпрометирован, и может использоваться злоумышленниками для ведения вредоносных действий, специалисты выполняют необходимые меры для того, чтобы очистить его от вредоносных программ, и предотвратить повтор данной ситуации.

Лучшие практики по предотвращению утечки данных

Лучшие практики по предотвращению утечки данных

Что из нижеперечисленного относится к передовым методам предотвращения утечек данных? Определение потенциальных рисков, обеспечение безопасности данных и сетей, внедрение контроля доступа, а также мониторинг и реагирование на угрозы — все это ключевые элементы передовой практики предотвращения утечек данных.

Регулярное обучение сотрудников и программы повышения осведомленности могут помочь предотвратить человеческий фактор, который может привести к нарушению. Наличие плана реагирования, а также регулярный пересмотр и обновление мер безопасности важно для того, чтобы опережать развивающиеся угрозы.

Обзор утечки данных

A утечка данных это когда кто-то получает доступ к конфиденциальным данным компании или ко всем ее данным.

Нарушения могут произойти где угодно, и когда они случаются, это может стоить компаниям миллионов долларов в виде штрафов и пеней.

Утечки данных стали одной из самых серьезных проблем для компаний сегодня.

Согласно статистике утечек данных, средняя стоимость утечки данных выросла на 2,6% до $4,35 млн в 2022 году с $4,24 млн в 2021 году. Средняя стоимость утечки данных для предприятий критической инфраструктуры, напротив, выросла до 4,82 млн долларов.

И существует множество различных способов, которыми может произойти нарушение:

  • Плохо обученные сотрудники
  • Вредоносные инсайдеры или хакеры
  • Человеческая ошибка (например, случайная отправка электронного письма не тому человеку)

Предотвращение утечки данных — объяснение

Предотвращение утечки данных — это проактивные меры, направленные на то, чтобы конфиденциальная информация вашей организации оставалась в безопасности от киберпреступников.

Это включает в себя выявление потенциальных рисков, внедрение процессов и технологий, снижающих эти риски, и мониторинг ваших систем, чтобы вы знали о несанкционированном доступе или нарушении безопасности.

Почему каждому предприятию необходима надежная стратегия предотвращения утечки данных?

Утечки данных — серьезная проблема для предприятий любого размера. Но малые компании более уязвимы, поскольку они располагают иными ресурсами безопасности, чем крупные предприятия.

Высокая стоимость утечки данных

Высокая стоимость утечек данных включает в себя прямые денежные потери и косвенные расходы, такие как потеря доверия клиентов, ущерб репутации, а также юридические и нормативные последствия. Например, каждый пятый человек прекращает вести дела с компанией после того, как в ней произошла утечка данных.

Потеря доверия клиентов и ущерб репутации

Нарушение данных может негативно повлиять на репутацию вашего бренда, поскольку клиенты могут почувствовать, что их личная информация не находится в безопасности. Это может привести к снижению конверсии и продаж, а также к снижению производительности из-за текучести кадров или низкого морального духа сотрудников, которые боятся, что их конфиденциальная информация будет скомпрометирована в ходе будущих атак на сети вашей организации.

Правовые и нормативные последствия

Утечки данных могут привести к юридическим и нормативным последствиям, если они затрагивают информацию потребителей. Утечки данных могут привести к финансовым штрафам или даже уголовным обвинениям против руководителей, поскольку они нарушили законы о конфиденциальности или проявили халатность при защите конфиденциальных данных.

Проактивные стратегии для защиты данных и предотвращения утечек

Что касается защиты ваших данных, то первая линия обороны — это вы сами. Важно использовать проактивный подход к безопасности и рассмотреть основные стратегии для обеспечения сохранности ваших данных и защиты от утечек.

Используйте DMARC для предотвращения фишинговых атак по электронной почте

DMARC (Domain-based Message Authentication, Reporting & Conformance) — это система аутентификации электронной почты, которая помогает защитить ваш домен от фишинговых атак, отклоняя электронные письма, пришедшие не от авторизованных отправителей, и обеспечивая доставку легитимной электронной почты по назначению.

DMARC также дает вам представление о том, как используется электронная почта в вашей организации, чтобы вы могли внести изменения на основе полученных знаний.

Обнаружение и предотвращение вторжений

Первым шагом должно стать развертывание систем обнаружения и предотвращения вторжений (IDPS). IDPS предназначены для выявления подозрительной активности в вашей сети и блокирования ее до того, как она сможет нанести ущерб. Например, если кто-то пытается войти в вашу сеть, используя фиктивное имя пользователя или пароль, IDPS обнаружит эту атаку и не даст ему получить доступ.

Оценка безопасности третьей стороной

После развертывания системы IDPS необходимо провести оценку инфраструктуры своей сети с привлечением сторонних организаций. Такой аудит позволит выявитьслабые места в системе, которые могут привести к несанкционированному проникновению или взлому. Аудитор также предоставит рекомендации по устранению этих недостатков, чтобы они не превратились в проблемы.

Надежные пароли и MFA

Надежные пароли — обязательное условие. Они должны быть длинными, сложными и никогда не использоваться повторно. Чем сложнее пароль, тем труднее злоумышленникам получить доступ. Но одних паролей недостаточно; двухфакторная аутентификация (MFA) может помочь предотвратить несанкционированный доступ, если кто-то узнает ваш пароль.

Регулярные обновления и исправления

Большинство предприятий имеют брандмауэр, который защищает от хакеров, пытающихся получить доступ к конфиденциальным данным или системам. Однако эти брандмауэры могут сделать лишь очень многое; они полагаются на исправления от таких производителей, как Microsoft и Google, чтобы устранить уязвимости в программном обеспечении, таком как Windows XP, которыми могут воспользоваться хакеры. Чтобы защитить себя от угроз, подобных WannaCry, необходимо регулярно обновлять и исправлять все программное обеспечение, работающее в вашей сети.

Ограничить доступ к чувствительным данным

Лучший способ предотвратить утечку информации — ограничить доступ к конфиденциальным данным. По возможности используйте программное обеспечение, которое шифрует данные в состоянии покоя и при передаче. Даже если кто-то получит доступ к вашим данным, он не сможет прочитать их без ключа шифрования. По возможности используйте надежные пароли и двухфакторную аутентификацию для предотвращения несанкционированного доступа.

Шифрование чувствительных данных

Шифрование конфиденциальных данных гарантирует, что даже в случае их кражи они будут бесполезны для тех, кто их получил. Шифрование может происходить в пути (например, при отправке конфиденциальной информации по электронной почте) или в состоянии покоя (при хранении конфиденциальных данных на устройствах).

Обучение сотрудников

Знающие сотрудники — это первая линия защиты от кибер-атак. Они должны быть обучены распознавать фишинговые аферы, вредоносное ПО и другие угрозы, которые могут скомпрометировать их устройства или украсть их данные.

План реагирования на утечку данных

План реагирования на утечку данных включает в себя шаги, которые необходимо предпринять сразу после утечки, а также планирование различных типов атак, чтобы вы могли эффективно реагировать в случае их возникновения. Это также поможет обеспечить информирование всех сторон о том, что должно произойти в чрезвычайной ситуации, чтобы не было никаких задержек в восстановлении работоспособности после атаки.

Оценка уязвимостей и тестирование на проникновение

Тестирование на проникновение — это оценка, которую проводят внешние фирмы по кибербезопасности, имитирующие атаки на системы вашей организации с целью выявления уязвимостей. Этот тип тестирования позволяет вам оценить слабые места в вашей сети и внести коррективы до того, как злоумышленник сможет использовать их против вас.

Сегментация сети

Сегментирование сетей помогает хранить конфиденциальные данные отдельно друг от друга, чтобы неавторизованные пользователи не могли получить к ним доступ. Это повышает общую безопасность сети, снижая риск утечки данных или кражи и уменьшая ущерб, если одна из частей сети окажется под угрозой.

Защита вашего бизнеса: Основные передовые методы предотвращения утечки данных в двух словах

Предотвращение утечки данных крайне важно для предприятий, чтобы защитить свои конфиденциальные данные и сохранить доверие клиентов. Компании могут значительно снизить риск утечки данных, применяя лучшие практики, описанные в этом руководстве, такие как надежные пароли, регулярные обновления, использование цифровых перекидных книг вместо обычных документов и обучение сотрудников.

Важно сохранять бдительность и проактивность в оценке и устранении потенциальных уязвимостей по мере развития угроз. Благодаря надежной стратегии предотвращения утечек данных компании могут эффективно защитить свои данные, обеспечить соответствие нормативным требованиям и защитить свою репутацию.

Как перекрыть утечку информации в компании

Старший юрист гражданско-правового департамента «Клифф» Екатерина Денисенко рассказала vc.ru, как обезопасить свою компанию от утечки конфиденциальной информации.

Материал подготовлен при поддержке юридической фирмы «Клифф».

В российском законодательстве есть законы, охраняющие право на информацию, но люди не хотят их знать и принимать меры, чтобы сохранить свои же секреты. Итог такой халатности — утечка данных и соответствующие убытки.

В Великобритании ученые подсчитали, что экономические потери от одного случая утечки информации составляют в среднем 10–12 тысяч фунтов. По России таких данных нет, но можно предположить, что показатели сопоставимы. Сумма, конечно, зависит, от содержания информации: это может быть и клиентская база, и последние еще не запатентованные разработки.

Причины утечки информации можно разделить на внутренние, то есть связанные с действиями персонала, и внешние — когда происходит непосредственное вторжение в информационную систему. Если внешним агрессорам нужно устанавливать «жучки» и взламывать чужие системы безопасности, то сотруднику достаточно просто вынести флешку или пару чертежей. Информационные носители с каждым днем уменьшаются в размерах, а значит, заимствовать информацию становится все проще.

Если в результате недосмотра руководства из компании утекли сведения, вред может быть причинен не только самой компании, но и третьим лицам. Чаще всего это ваши клиенты и партнеры, а значит, под угрозу в первую очередь попадает репутация компании. Необходимо опасаться неправомерного раскрытия персональных данных, чужой коммерческой тайны, содержания чужих изобретений и ноу-хау. Если информация была доверена компании, то и спрос будет с компании, а не с конкретного сотрудника, допустившего утечку.

Таким образом, сохранение своих секретов — это право, а чужих — обязанность. За несоблюдение этой обязанности предусмотрена ответственность вплоть до уголовной.

Способы передачи и получения информации меняются, но безопасность, как и прежде, основана на трех аспектах:

  • лояльность сотрудников;
  • контроль входящих лиц (соискателей на работу и контрагентов);
  • правовое обеспечение конфиденциальности информации.

Если в результате собеседования или работы над проектом кто-то может узнать ваши или чужие тайны, нужно заранее подписать с ними соглашение о неразглашении информации.

В судебных разбирательствах, связанных с незаконным получением и использованием конфиденциальной информации, основная проблема — это доказательства. В первую очередь нужно доказать, что информация и вправду конфиденциальная. Для этого необходимо провести ряд обязательных процедур и придать информации статус конфиденциальной.

Во-вторых, нужно предоставить доказательства того, что информация была получена и передана незаконно. Если порядок работы с конфиденциальной информацией с правовой точки зрения оформлен неверно — даже самые очевидные доказательства кражи сведений могут быть отклонены судом как недостаточное обоснование того, что нарушение имело место. Проще говоря, вы пытаетесь доказать, что у вас украли тайну, а в суде вам говорят, что никакой тайны и не было.

Основные меры обеспечения защиты информации можно разделить на технические, организационные и правовые. На технических мы не будем останавливаться, так как это не юридический вопрос, и поговорим об остальных двух видах.

Организационные меры — это, например, установка в офисе видеокамер или создание входа в систему по отпечатку пальца. Данные меры нужно применять законно. Недопустимо использовать для контроля за сотрудниками нелицензионное программное обеспечение: в суде это сочтут недопустимым доказательством, да еще можно получить штраф за нарушение чужих прав на интеллектуальную собственность.

Некоторые организационные меры можно принять только с письменного согласия сотрудников — это сбор биометрических персональных данных (отпечатков пальцев) и видеонаблюдение. При этом ссылки на соответствующее положение в трудовом договоре будет недостаточно — понадобится подпись сотрудника, подтверждающая его согласие. Если согласие получено не было, то и возможность использования видеозаписи в суде оказывается под большим вопросом.

Итак, поговорим о правовых мерах. Если вы хотите оставить информацию в пределах своего офиса, необходимо предпринять следующие действия:

  1. Определить перечень информации, составляющей коммерческую тайну.
  2. Установить порядок обращения с ней.
  3. Организовать учет лиц, получивших доступ к коммерческой тайне.
  4. Внести изменения в трудовые договоры и договоры с контрагентами.
  5. Нанести на материальные носители, содержащие коммерческую тайну, гриф «Коммерческая тайна». Под грифом должны быть указаны наименование и адрес владельца информации.

Перечислим обязательные правовые документы по установлению режима конфиденциальности в организации:

  1. Приказ об установлении режима коммерческой тайны.
  2. Перечень информации, относящейся к коммерческой тайне.
  3. Положение о коммерческой тайне.
  4. Положение о порядке работы с коммерческой тайной (соглашение о неразглашении).
  5. Трудовой договор с сотрудниками, которые работают с информацией, содержащей коммерческую тайну.
  6. Положение об электронном документообороте.

Большая часть компаний использует электронный документооборот для обмена информацией между сотрудниками. При этом интернет — это море, из которого выуживают информацию недобросовестные участники рынка. Почтовые ящики, размещенные на серверах Mail.Ru и «Яндекса», взламывают чаще, чем корпоративные, поэтому многие компании создают свою корпоративную почту, за безопасностью которой следят квалифицированные сотрудники.

Однако, если у вас есть корпоративная почта, но нигде не указано, что сотрудники могут пользоваться только ей, — вы ни с кого не сможете спросить, если утечка произойдет из-за использования альтернативных почтовых ящиков.

На что можно рассчитывать, если утечка информации все же произошла?

Для работников предусмотрена дисциплинарная, административная, гражданско-правовая и уголовная ответственность. И если штраф в 5000 рублей за болтливость мало кого напугает, то перспектива сесть в тюрьму на семь лет заставит призадуматься любого.

Исследования американских ученых показали, что только 15% людей ни в коем случае не сделают того, что может повредить их деловой репутации. 10% — это злостные нарушители, которые нарушают правила при любой возможности, таких лучше просто не брать на работу. А вот большинство людей, 75% — это те, кто может нарушить закон или правила фирмы, если будут знать, что останутся безнаказанными.

Можно предположить, что в России злостных нарушителей больше, но средняя прослойка — те, кто не будет нарушать из-за страха наказания, — явно не меньше 50%. Если создать четкую систему защиты информации, разработать необходимые правовые документы и ознакомить с ними сотрудников, а главное, щепетильно выполнять то, что там написано, — можно снизить риск утечки информации из офиса на 50–75%.

Примите положение о коммерческой тайне, повесьте видеокамеры, предупредите сотрудников об ответственности за разглашение информации — и вы уже во многом себя обезопасите.

С кражей информации третьими лицами также можно бороться. Административный штраф за незаконное использование чужой коммерческой тайны доходит до 500 тысяч рублей, и ФАС активно привлекает к ответственности по статье 19.5 Кодекса об административных правонарушениях РФ. Привлечение к ответственности по уголовной статье также возможно, но только если на предприятии введен режим коммерческой тайны, если информация охраняется самим ее владельцем.

В России часто крадут информацию именно потому, что люди не боятся ответственности: статья есть, а ответственности нет. Невозможность привлечения к ответственности с правовой стороны в 90% случаев вызвана безалаберностью самих владельцев информации.

В дополнение к данной теме хочу рассказать про одну бюджетную «фишку». В результате утечки информации часто возникают споры о первенстве создания того или иного изобретения, произведения науки или искусства. Патентование в Роспатенте и заверение авторства в Российском авторском обществе стоит немало — именно это часто останавливает правообладателей от оформления своих прав на результат интеллектуальной деятельности.

Но есть простой и дешевый способ сделать это по-другому. Необходимо документально оформить свое изобретение или произведение — распечатать описание, формулы, программный код или текст песни, а затем положить все это в конверт и отправить самому себе по почте заказным письмом. Вскрывать конверт после получения нельзя. На конверте будет указана дата отправки — ее можно считать датой создания изобретения или произведения.

В случае возникновения спора в суде конверт может быть вскрыт под протокол — и у вас будет супердешевое и неоспоримое доказательство вашего авторства.

Как избежать утечки информации в своей компании

Один из лучших способов избежать утечки данных — убедиться, что конфиденциальная информация не разбросана по всем цифровым устройствам предприятия, включая смартфоны сотрудников и USB-флешки. Особенно важные данные, например банковские реквизиты, не должны храниться на ноутбуках или внешнем жестком диске во избежание их физического похищения. Лучше хранить конфиденциальную информацию централизованно в надежно защищенной базе данных, к которой будут иметь доступ только обладатели специальной учетной записи.

2. Ограниченный доступ сотрудников к конфиденциальной информации

Представь себе следующий корпоративный сценарий. Егор — сотрудник call-центра компании, отвечающий на жалобы клиентов по поводу заказов. Выполняя свои профессиональные обязанности, он должен иметь возможность просматривать учетные записи клиентов и истории их заказов. Тем не менее Егор также имеет неограниченный доступ к данным платежных карт клиентов по причине того, что штатный айтишник, раздавая учетные права, забыл ограничить ему доступ к этой информации.

И вот однажды Егор открывает неопознанную ссылку в своем электронном ящике и, послушно следуя инструкции, натыкается на фишинг. А через пару дней кто-то под учетной записью Егора крадет данные платежных карт каждого клиента компании.

Но первое, что необходимо сделать, — это предоставить каждому сотруднику доступ лишь к тем данным, которые непосредственно связаны с его должностными функциями. Таким образом, удастся поддерживать «политику эксклюзивных прав», при которой доступ к конфиденциальной информации имеет только узкий круг лиц.

3. Тренинги персонала по информационной безопасности

Как уже было сказано выше, если бы Егор смог вовремя распознать попытку фишинга, его аккаунт не был бы взломан, и информация осталась неприкосновенной. Поэтому важно обучить своих сотрудников основам кибербезопасности, чтобы в случае попытки взлома они могли не только распознать атаку, но и грамотно ей противодействовать. В данную программу обучения могут входить: способы распознавания угроз, советы по созданию и хранению паролей, правила пользования интернетом на работе, стратегия поведения в случае хакерского проникновения.

4. Работоспособность базовой системы кибербезопасности

Хоть такие элементарные средства сетевой безопасности, как антивирусы или брандмауэры, не остановят опытного хакера от взлома базы данных компании, они могут помочь минимизировать потери. Установка таких программ и их регулярное обновление необходимы, чтобы распознавать наиболее очевидные угрозы и своевременно предпринимать шаги по их нейтрализации.

5. Закрытый доступ для уволенных сотрудников

Неважно, уволился работник по собственному желанию или нет, остались вы при этом хорошими друзьями или теперь не будете здороваться, в любом случае следует лишить его доступа к любой конфиденциальной информации предприятия. Собственно, почему это важно для кибербезопасности — и так понятно, но на всякий случай напомним тебе уместную в данном случае английскую поговорку: Caution is the parent of safety.

6. Анализ существующей системы информационной безопасности

Лучший способ избежать войны — это быть к ней готовым. Эта расхожая истина в более пацифистской формулировке проецируется и на работу предприятия. Чтобы предотвратить любую кибератаку, лучше сыграть на опережение и выявить уязвимые места в собственной системе защиты. Этот процесс является чрезвычайно ответственным, а потому требует высокого профессионализма. Рекламное интернет-агенство OLIT осуществляет комплексное тестирование информационной безопасности компании, в которое входят:

— внешний анализ сети и периметра;
— тест на проникновение;
— внутреннее тестирование сети;
— поиск уязвимостей и эксплуатация;
— тестирование web-сайтов компании;
— тестирование мобильных приложений компании;
— отчет о тестировании и рекомендации.

Похожие публикации:
  1. Как перепрошить робот пылесос
  2. В чем измеряется вибрация
  3. 7mbr25sa120 50 как проверить
  4. Почему сила лоренца не совершает работу

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *