(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Не утекай

Источник: kommersant
Ольга Говердовская

В российских реалиях вопрос защиты корпоративной информации стоит крайне остро. Технологические ограничения и обязательства не разглашать секреты работодателя не мешают сотрудникам регулярно "сливать" ценные данные. В борьбе с утечкой информации иногда более эффективны постоянные напоминания об угрозах, а также повышение уровня лояльности работников.

Как песок сквозь пальцы

Компания Zecurion совместно с порталом Superjob.ru провели исследование, задачей которого было выявить мнение офисных сотрудников, непосредственно работающих с конфиденциальными данными, о необходимости защиты корпоративной информации. Выяснилось, что проблема информационной безопасности привлекает пристальное внимание бизнеса: только 10% топ-менеджеров не считают, что их компаниям нужны специализированные сотрудники или отделы, занимающиеся информационной безопасностью. Беспокойство представителей бизнеса понятно: ситуация с защитой корпоративных данных в российских компаниях с трудом поддается контролю. Более половины работников (53%) при трудоустройстве подписывали соглашения о неразглашении конфиденциальных сведений (Non-Disclosure Agreement), но это не мешает им передавать информацию вовне по незащищенным каналам и выносить документы на уязвимых мобильных носителях.

По мнению офисных работников, наиболее ценная информация в корпоративной среде - это персональные данные сотрудников и клиентов (так считают в сумме 28% опрошенных), а также сведения о сделках и договорах (эту категорию информации назвали 16%).
В подавляющем числе случаев утечка происходит не по злому умыслу, а случайно, по невнимательности или вследствие низкой осведомленности о недопустимости таких действий: сотрудники выносят конфиденциальную информацию на мобильных устройствах за пределы офиса, публикуют данные о проектах, заказчиках в социальных сетях, выкладывают корпоративные файлы в облачные хранилища (iCloud, Dropbox и т. п.).
Подобное обращение с корпоративной информацией часто грозит компаниям серьезными потерями. "Мы часто слышим, что халатное отношение сотрудников к необходимости защищать корпоративные данные (утеря мобильных телефонов, USB-носителей с финансовыми отчетами и т. п.) стоит крупным компаниям репутации. Например, потребитель может прекратить всякое взаимодействие с компанией, допустившей обнародование его личной информации", - рассказывает Дмитрий Лисогор, заместитель генерального директора SAP СНГ. Помимо потери клиентов компании могут понести и финансовые потери. Примеров немало: так, утечка данных о 94 млн клиентов розничной сети по продаже одежды TJX"s обошлась компании в $18,5 млрд.
В России подобные случаи редко становятся известны общественности и оказываются предметом судебного разбирательства. Это подтверждает исследование Zecurion и Superjob.ru: как правило, утечки информации происходят фактически безнаказанно, лишь в исключительно редких случаях (менее 1%) инсайдеров привлекают к уголовной ответственности. В России практически отсутствует судебная практика защиты конфиденциальных данных, а информация о случаях утечек закрыта и не распространяется широко. "Это объяснимо: во-первых, утечки информации подрывают goodwill любой компании, а во-вторых, на ошибках учатся не только охраняющие коммерческую тайну, но и интересующиеся ею", - говорит Виктор Усачев, заместитель генерального директора РДТЕХ по юридическим вопросам. При этом почти во всех опрошенных компаниях признались, что проблемы с утечкой информации в российском бизнесе встречаются регулярно, но доказать вину сотрудника и привлечь его к ответственности часто сложно чисто технически. Юридически значимая доказательная база может быть собрана только с помощью специализированных технических средств контроля. Поэтому неудивительно, что многие компании пытаются защитить корпоративную информацию с помощью современных технологий.
Защита боем

Не все компании скрывают, какие решения они используют для того, чтобы сохранить от посягательств ценные данные, и охотно делятся своими находками. Например, у Osrtrovok.ru нет единой программной системы защиты информации, но в компании максимально разделяют данные о клиентах или заказах и операционные данные, необходимые сотрудникам для работы. Они находятся в разных базах, на разных серверах и в разных дата-центрах. Доступ к действительно секретным данным есть у очень ограниченного числа сотрудников, и для них действуют специальные правила безопасности, например двухфакторная авторизация. В компании Mind вся разработка ведется в облаке, благодаря SaaS-сервисам нет необходимости хранить конфиденциальную информацию на жестких дисках компьютеров сотрудников. В Cognitive Technologies организацию внутреннего и внешнего документооборота осуществляют с помощью ПО "Евфрат Е1", которое использовалось в российских силовых структурах и имеет сертификат ФСТЭК. "Технически предотвратить утечку важных данных можно с помощью систем класса DLP (Data Loss / Leakage Prevention), которые контролируют все основные каналы распространения информации, такие как электронная почта, интернет, съемные носители, печать, мгновенный обмен сообщениями (IM) и пр., и позволяют идентифицировать информацию самыми современными способами", - рассказывает Михаил Башлыков, руководитель направления информационной безопасности компании КРОК. Подобная система работает как в самой КРОК, так и, например, в ГК "Роснанотех". Для обеспечения конфиденциальности информации в КРОК используют системы класса IRM (Information Right Management), с помощью которых можно управлять доступом к файлам в привязке к контенту, а не к месту его размещения. Другими словами, информацию, содержащуюся, например, внутри электронного письма или документа, смогут получить только те сотрудники, которым разрешен доступ к ней.

Компания SAP регулярно информирует о полезности своих решений, таких как SAP GRC или SAP Afaria. Последнее обеспечивает полный контроль широкого спектра мобильных устройств и приложений, дает возможность удаленного резервного копирования данных и даже их удаления в случае, если устройство было потеряно или украдено. Например, европейское подразделение Tommy Hilfiger использует SAP Afaria на сотнях мобильных устройств сотрудников для защиты новых коллекций от копирования.
В компании IBS используют VDI (Virtual Desktop Infrastructure) для централизации рабочих мест в ЦОД, что позволяет собирать данные и приложения, которые с ними работают, в одном месте; MDM / MAM - для управления мобильными устройствами сотрудников, разделения данных на них на персональные и корпоративные, управления мобильными приложениями, а также для защиты конфиденциальных данных при утере и порче устройств; Unified Communications - для связи с сотрудниками и организации их совместной работы; онлайн-хранилище - для того, чтобы у сотрудника под рукой всегда были его актуальные рабочие материалы. "Это же позволяет заменить Dropbox на решение корпоративного класса, с интеграцией с Active Directory и прочими возможностями", - рассказывает Антон Карасев, эксперт дивизиона IT-инфраструктуры IBS.
Далекие от IT-отрасли компании тоже стараются заботиться о своей информационной безопасности. Но такие игроки вынуждены соотносить затраты с результатом, и часто введение в организационную структуру подразделения информационной безопасности оказывается для них экономически нецелесообразным. "В отдельных случаях мы прибегаем к помощи друзей, профессионалов из силовых структур, а иногда гениев из мира интернета. Самим содержать высококлассных специалистов по защите корпоративной информации нам было бы не под силу", - говорит Георгий Дзагуров, генеральный директор Penny Lane Realty.
Аутсорсинг подобных услуг - довольно распространенная практика, но только на уровне аудита, то есть когда наемные специалисты проверяют информационную безопасность компании и помогают найти и устранить основные дыры. Радж Пономаренко, руководитель технического департамента Mind, говорит, что вопросы консультирования и аудита желательно осуществлять именно на основе аутсорсинга. А вот доверять сторонним структурам операционную работу по безопасности (выдавать доступы, сертификаты и т. п.) специалисты решительно не советуют.
Ласковым словом

Компании, особенно крупные, как правило, тратят большие деньги на предотвращение информационных утечек. Но как показывает практика, гораздо эффективнее видеокамер и тотального контроля оказывается обучение сотрудников и повышение их лояльности к работодателю. "Любой современный сотовый телефон является флешкой и имеет выход в интернет. Если ваши сотрудники могут пользоваться сотовыми телефонами на работе, то они могут "слить" данные, даже не уходя с работы. Так что большинство существующих мер безопасности, направленных на защиту от слива данных, помогут только от болтливых домохозяек", - говорит Евгений Курышев, технический директор Ostrovok.ru.

Гендиректор компании "Облакотека" Максим Захаренко повторяет, что очень часто, вынося данные, клерки не считают, будто что-либо нарушают. И чтобы бороться с этим, необходимо акцентировать внимание персонала на важности происходящих в компании процессов, добиваться того, чтобы работники понимали степень своей ответственности за сохранение конфиденциальности корпоративной информации, предупреждать их в случаях, вызывающих сомнение. Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies, напоминает о существовании технических решений, позволяющих обучать сотрудников правильному поведению. Например, UserCheck: когда работник хочет зайти, например, на сайт "Одноклассники", у него на экране появляется страница с предупреждением; при попытке отправить секретный файл всплывает окно "Подтверди, что уверен"; при попытке зайти в соцсети ему напоминают, чем грозит публикация информации о командировках, проектах и т. п. "Впервые я столкнулся с тем, как работает DLP, когда общался с заказчиком и партнером из Узбекистана, - рассказывает Антон Разумов. - Система предупредила меня: мол, не ошибся ли я, почему помимо адресов из Узбекистана присутствует и казахский e-mail. И лишь когда я подтвердил, что все правильно (дистрибутор, отвечающий за Среднюю Азию, расположен в Казахстане), письмо ушло адресатам".
Конечно, многие эксперты советуют включать в трудовой договор пункт о неразглашении конфиденциальной информации. Иногда это работает. Однако, как уверяет Ирина Семенова, вице-президент по маркетингу группы компаний MAYKOR, бесполезно лечить симптомы, если не устранять причину: никакие бумаги, подписи, драконовские меры не гарантируют информационной безопасности компании, если лояльность сотрудников на низком уровне. "Я полагаю, что лояльность - основа сохранения конфиденциальности. И люди не воруют не потому, что подписали, не потому, что боятся, а потому, что подобный шаг им видится неприемлемым и не в этом заключается суть их работы", - резюмирует Георгий Дзагуров.
И все-таки не только от лояльности сотрудников или качественного ПО зависит информационная безопасность. Ее обеспечение - это комплексная задача, требующая постоянного мониторинга и контроля, и мало где она решается эффективно. "Дело не только в используемых средствах защиты, что входит в зону ответственности служб безопасности, но и в организации размещения корпоративных данных и доступа сотрудников к ним, что является зоной ответственности бизнеса. Например, огромное количество конфиденциальных данных накапливается на ноутбуках и других девайсах топ-менеджеров, - рассказывает Максим Захаренко. - Известно, что "безопасность - это всегда неудобно". Вот все и ищут компромисс между удобством работы и обеспечением безопасности, но к сожалению, не всегда его находят".


 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Дискуссии и обсуждения общего плана »
Написать редактору 
 Рекомендовать » Дата публикации: 28.06.2013 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
ESET NOD32 Parental Control – универсальная лицензия на 1 год для всей семьи
Quest Software. Toad for Oracle Development Suite
Toad Data Modeler Per Seat License/Maint
ABBYY PDF Transformer+ Full
Quest Software. TOAD Xpert Edition
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Один день системного администратора
Каждый день новые драйверы для вашего компьютера!
Все о PHP и даже больше
Краткие описания программ и ссылки на них
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
работа на дому! (5)
Доброго времени суток дорогие друзья. Многоуровневый маркетинг окончательно признан...
 
Проблемы с интернетом в Windows 7 (2)
Здравствуйте, подписан на вашу рассылку - весьма полезная вещь. Если не сложно чиркните пару...
 
Помощь по MS Access (330)
Доброе время суток. Случайно оказался на этом сайте, искал статьи по OLAP. Вижу, что...
 
Не активен пункт меню Tools->References (3)
В редакторе Microsoft Visual Basic не активен пункт меню Tools->References. С чем это может быть...
 
Отличается ли ДрифтКазино от беттинга? (3)
Друзья, давно заметил, что на Дрифте уже несколько месяцев во всю рекламируется и предлагается...
 
 
 



    
rambler's top100 Rambler's Top100