(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Не утекай

Источник: kommersant
Ольга Говердовская

В российских реалиях вопрос защиты корпоративной информации стоит крайне остро. Технологические ограничения и обязательства не разглашать секреты работодателя не мешают сотрудникам регулярно "сливать" ценные данные. В борьбе с утечкой информации иногда более эффективны постоянные напоминания об угрозах, а также повышение уровня лояльности работников.

Как песок сквозь пальцы

Компания Zecurion совместно с порталом Superjob.ru провели исследование, задачей которого было выявить мнение офисных сотрудников, непосредственно работающих с конфиденциальными данными, о необходимости защиты корпоративной информации. Выяснилось, что проблема информационной безопасности привлекает пристальное внимание бизнеса: только 10% топ-менеджеров не считают, что их компаниям нужны специализированные сотрудники или отделы, занимающиеся информационной безопасностью. Беспокойство представителей бизнеса понятно: ситуация с защитой корпоративных данных в российских компаниях с трудом поддается контролю. Более половины работников (53%) при трудоустройстве подписывали соглашения о неразглашении конфиденциальных сведений (Non-Disclosure Agreement), но это не мешает им передавать информацию вовне по незащищенным каналам и выносить документы на уязвимых мобильных носителях.

По мнению офисных работников, наиболее ценная информация в корпоративной среде - это персональные данные сотрудников и клиентов (так считают в сумме 28% опрошенных), а также сведения о сделках и договорах (эту категорию информации назвали 16%).
В подавляющем числе случаев утечка происходит не по злому умыслу, а случайно, по невнимательности или вследствие низкой осведомленности о недопустимости таких действий: сотрудники выносят конфиденциальную информацию на мобильных устройствах за пределы офиса, публикуют данные о проектах, заказчиках в социальных сетях, выкладывают корпоративные файлы в облачные хранилища (iCloud, Dropbox и т. п.).
Подобное обращение с корпоративной информацией часто грозит компаниям серьезными потерями. "Мы часто слышим, что халатное отношение сотрудников к необходимости защищать корпоративные данные (утеря мобильных телефонов, USB-носителей с финансовыми отчетами и т. п.) стоит крупным компаниям репутации. Например, потребитель может прекратить всякое взаимодействие с компанией, допустившей обнародование его личной информации", - рассказывает Дмитрий Лисогор, заместитель генерального директора SAP СНГ. Помимо потери клиентов компании могут понести и финансовые потери. Примеров немало: так, утечка данных о 94 млн клиентов розничной сети по продаже одежды TJX"s обошлась компании в $18,5 млрд.
В России подобные случаи редко становятся известны общественности и оказываются предметом судебного разбирательства. Это подтверждает исследование Zecurion и Superjob.ru: как правило, утечки информации происходят фактически безнаказанно, лишь в исключительно редких случаях (менее 1%) инсайдеров привлекают к уголовной ответственности. В России практически отсутствует судебная практика защиты конфиденциальных данных, а информация о случаях утечек закрыта и не распространяется широко. "Это объяснимо: во-первых, утечки информации подрывают goodwill любой компании, а во-вторых, на ошибках учатся не только охраняющие коммерческую тайну, но и интересующиеся ею", - говорит Виктор Усачев, заместитель генерального директора РДТЕХ по юридическим вопросам. При этом почти во всех опрошенных компаниях признались, что проблемы с утечкой информации в российском бизнесе встречаются регулярно, но доказать вину сотрудника и привлечь его к ответственности часто сложно чисто технически. Юридически значимая доказательная база может быть собрана только с помощью специализированных технических средств контроля. Поэтому неудивительно, что многие компании пытаются защитить корпоративную информацию с помощью современных технологий.
Защита боем

Не все компании скрывают, какие решения они используют для того, чтобы сохранить от посягательств ценные данные, и охотно делятся своими находками. Например, у Osrtrovok.ru нет единой программной системы защиты информации, но в компании максимально разделяют данные о клиентах или заказах и операционные данные, необходимые сотрудникам для работы. Они находятся в разных базах, на разных серверах и в разных дата-центрах. Доступ к действительно секретным данным есть у очень ограниченного числа сотрудников, и для них действуют специальные правила безопасности, например двухфакторная авторизация. В компании Mind вся разработка ведется в облаке, благодаря SaaS-сервисам нет необходимости хранить конфиденциальную информацию на жестких дисках компьютеров сотрудников. В Cognitive Technologies организацию внутреннего и внешнего документооборота осуществляют с помощью ПО "Евфрат Е1", которое использовалось в российских силовых структурах и имеет сертификат ФСТЭК. "Технически предотвратить утечку важных данных можно с помощью систем класса DLP (Data Loss / Leakage Prevention), которые контролируют все основные каналы распространения информации, такие как электронная почта, интернет, съемные носители, печать, мгновенный обмен сообщениями (IM) и пр., и позволяют идентифицировать информацию самыми современными способами", - рассказывает Михаил Башлыков, руководитель направления информационной безопасности компании КРОК. Подобная система работает как в самой КРОК, так и, например, в ГК "Роснанотех". Для обеспечения конфиденциальности информации в КРОК используют системы класса IRM (Information Right Management), с помощью которых можно управлять доступом к файлам в привязке к контенту, а не к месту его размещения. Другими словами, информацию, содержащуюся, например, внутри электронного письма или документа, смогут получить только те сотрудники, которым разрешен доступ к ней.

Компания SAP регулярно информирует о полезности своих решений, таких как SAP GRC или SAP Afaria. Последнее обеспечивает полный контроль широкого спектра мобильных устройств и приложений, дает возможность удаленного резервного копирования данных и даже их удаления в случае, если устройство было потеряно или украдено. Например, европейское подразделение Tommy Hilfiger использует SAP Afaria на сотнях мобильных устройств сотрудников для защиты новых коллекций от копирования.
В компании IBS используют VDI (Virtual Desktop Infrastructure) для централизации рабочих мест в ЦОД, что позволяет собирать данные и приложения, которые с ними работают, в одном месте; MDM / MAM - для управления мобильными устройствами сотрудников, разделения данных на них на персональные и корпоративные, управления мобильными приложениями, а также для защиты конфиденциальных данных при утере и порче устройств; Unified Communications - для связи с сотрудниками и организации их совместной работы; онлайн-хранилище - для того, чтобы у сотрудника под рукой всегда были его актуальные рабочие материалы. "Это же позволяет заменить Dropbox на решение корпоративного класса, с интеграцией с Active Directory и прочими возможностями", - рассказывает Антон Карасев, эксперт дивизиона IT-инфраструктуры IBS.
Далекие от IT-отрасли компании тоже стараются заботиться о своей информационной безопасности. Но такие игроки вынуждены соотносить затраты с результатом, и часто введение в организационную структуру подразделения информационной безопасности оказывается для них экономически нецелесообразным. "В отдельных случаях мы прибегаем к помощи друзей, профессионалов из силовых структур, а иногда гениев из мира интернета. Самим содержать высококлассных специалистов по защите корпоративной информации нам было бы не под силу", - говорит Георгий Дзагуров, генеральный директор Penny Lane Realty.
Аутсорсинг подобных услуг - довольно распространенная практика, но только на уровне аудита, то есть когда наемные специалисты проверяют информационную безопасность компании и помогают найти и устранить основные дыры. Радж Пономаренко, руководитель технического департамента Mind, говорит, что вопросы консультирования и аудита желательно осуществлять именно на основе аутсорсинга. А вот доверять сторонним структурам операционную работу по безопасности (выдавать доступы, сертификаты и т. п.) специалисты решительно не советуют.
Ласковым словом

Компании, особенно крупные, как правило, тратят большие деньги на предотвращение информационных утечек. Но как показывает практика, гораздо эффективнее видеокамер и тотального контроля оказывается обучение сотрудников и повышение их лояльности к работодателю. "Любой современный сотовый телефон является флешкой и имеет выход в интернет. Если ваши сотрудники могут пользоваться сотовыми телефонами на работе, то они могут "слить" данные, даже не уходя с работы. Так что большинство существующих мер безопасности, направленных на защиту от слива данных, помогут только от болтливых домохозяек", - говорит Евгений Курышев, технический директор Ostrovok.ru.

Гендиректор компании "Облакотека" Максим Захаренко повторяет, что очень часто, вынося данные, клерки не считают, будто что-либо нарушают. И чтобы бороться с этим, необходимо акцентировать внимание персонала на важности происходящих в компании процессов, добиваться того, чтобы работники понимали степень своей ответственности за сохранение конфиденциальности корпоративной информации, предупреждать их в случаях, вызывающих сомнение. Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies, напоминает о существовании технических решений, позволяющих обучать сотрудников правильному поведению. Например, UserCheck: когда работник хочет зайти, например, на сайт "Одноклассники", у него на экране появляется страница с предупреждением; при попытке отправить секретный файл всплывает окно "Подтверди, что уверен"; при попытке зайти в соцсети ему напоминают, чем грозит публикация информации о командировках, проектах и т. п. "Впервые я столкнулся с тем, как работает DLP, когда общался с заказчиком и партнером из Узбекистана, - рассказывает Антон Разумов. - Система предупредила меня: мол, не ошибся ли я, почему помимо адресов из Узбекистана присутствует и казахский e-mail. И лишь когда я подтвердил, что все правильно (дистрибутор, отвечающий за Среднюю Азию, расположен в Казахстане), письмо ушло адресатам".
Конечно, многие эксперты советуют включать в трудовой договор пункт о неразглашении конфиденциальной информации. Иногда это работает. Однако, как уверяет Ирина Семенова, вице-президент по маркетингу группы компаний MAYKOR, бесполезно лечить симптомы, если не устранять причину: никакие бумаги, подписи, драконовские меры не гарантируют информационной безопасности компании, если лояльность сотрудников на низком уровне. "Я полагаю, что лояльность - основа сохранения конфиденциальности. И люди не воруют не потому, что подписали, не потому, что боятся, а потому, что подобный шаг им видится неприемлемым и не в этом заключается суть их работы", - резюмирует Георгий Дзагуров.
И все-таки не только от лояльности сотрудников или качественного ПО зависит информационная безопасность. Ее обеспечение - это комплексная задача, требующая постоянного мониторинга и контроля, и мало где она решается эффективно. "Дело не только в используемых средствах защиты, что входит в зону ответственности служб безопасности, но и в организации размещения корпоративных данных и доступа сотрудников к ним, что является зоной ответственности бизнеса. Например, огромное количество конфиденциальных данных накапливается на ноутбуках и других девайсах топ-менеджеров, - рассказывает Максим Захаренко. - Известно, что "безопасность - это всегда неудобно". Вот все и ищут компромисс между удобством работы и обеспечением безопасности, но к сожалению, не всегда его находят".


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 28.06.2013 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Zend Server with Z-Ray Developer Edition - Standard
CAD Import .NET Professional пользовательская
EMS SQL Management Studio for InterBase/Firebird (Business) + 1 Year Maintenance
VCL Subscription
Allround Automation PL/SQL Developer - Annual Service Contract - Single user
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Один день системного администратора
Мастерская программиста
Краткие описания программ и ссылки на них
Adobe Photoshop: алхимия дизайна
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100