Утечка персональных данных может привести к неприятным последствиям, однако для бизнеса нежелательное раскрытие критичной информации нередко становится попросту фатальным. Укрепляя периметр информационной безопасности (ИБ), развёртывая на офисных ПК и серверах специализированное ПО для контроля целостности бизнес-данных, не следует выпускать из внимания самое слабое звено в цепочке ИБ: сотрудников компании.

Рынок программных средств для предотвращения утечек данных весьма динамичен. По оценке Market Reports, в глобальном масштабе он будет прирастать с CAGR на уровне почти 24% на интервале 2019-2024 гг. Аналитики отмечают, что главный вектор угроз, которому призвано противодействовать такое ПО, — «широковещательные» кибератаки извне, нацеленные на эксплуатацию известных уязвимостей в операционных системах и приложениях, а также избирательные взломы с использованием внутренних слабых мест. В первую очередь, инсайдеров, которые по тем или иным причинам готовы делиться корпоративными секретами: чаще всего — не без материальной выгоды для себя, хотя порой доступ внутрь периметра ИБ открывают несправедливо (по их мнению) уволенные или даже попросту обойдённые очередным повышением сотрудники.

Современные решения, противодействующие утечкам данных, отлично справляются как раз с «широковещательными» угрозами. В том числе и в облачных средах, кстати: именно высокая надёжность защиты деловой информации даже в публичных облаках не в последнюю очередь обусловила стремительный рост популярности сервисов everything-aaS — «всего-что-угодно-как-услуга» — для бизнеса. Борьба с инсайдерами — дело другое: здесь в чести программные решения для контентной фильтрации. Важно отметить, что сами по себе, «из коробки», такие решения не слишком эффективны: в каждом конкретном случае необходима их кропотливая настройка и юстировка в соответствии с особенностями бизнес-процессов заказчика.

Развёртывание эффективной системы контентной фильтрации требует многоэтапной тщательной проработки, от базовой классификации данных (по степени потребности в их защите через выявление наименее надёжных звеньев в существующем периметре ИБ) и до отработки на практике быстрого, решительного реагирования на обнаруживаемые инциденты. Инвестиции в такое решение велики, сроки его внедрения довольно длительные, но против, скажем, инсайдера, делающего снимок рабочего монитора с важным документом камерой персонального смартфона либо взятого из собственного авто видеорегистратора, в большинстве случаев подобные системы бессильны.

Что же остаётся — смириться с неизбежностью риска утечки корпоративных данных, постоянно принимать её в расчёт наряду с форс-мажорными обстоятельствами глобального характера? В целом — да, однако снизить этот риск до разумного минимума руководству предприятия вполне по силам. Как свидетельствует маркетинговое исследование, проведённое компанией-разработчиком популярного магазина смартфонных приложений для бизнеса GetApp, задел для укрепления периметра ИБ имеется в каждой организации. Надо лишь внимательно сопоставить перечни штатных обязанностей сотрудников предприятия с перечнем лиц, допущенных к работе с особо чувствительными для бизнес-процессов данными.

Опрос, в котором приняли участие более 700 работающих на условиях полной занятости сотрудников американских компаний различного масштаба и из самых разных отраслей хозяйства, выявил весьма заметное легкомыслие со стороны работодателей в отношении делегирования доступа к критически важным данным. Около 48% опрошенных признались, что имеют на работе более широкие права доступа, чем им реально необходимо для исполнения прямых обязанностей, а 12% и вовсе заявили, что в любой момент способны получить какую угодно внутреннюю информацию касательно бизнес-процессов, организационной структуры и связей своего нанимателя.

Основная проблема, отмеченная экспертами, заключается в неготовности подавляющего большинства (даже американских) компаний признавать значимость стратификации данных по степени их открытости и общедоступности. Не более трети организаций, где трудятся участники опроса GetApp, используют хотя бы базовую схему классификации бизнес-документов: «общедоступно — конфиденциально». Среди этой трети ещё меньшая доля компаний выделяет дополнительные уровни доступа («строго конфиденциально», «для внутреннего обращения», «чувствительная информация» и т. п.)

Более того: в 80% компаний, согласно результатам опроса, нет чёткого понимания, на каких носителях и в какой среде (локальной, облачной, гибридной) фактически размещаются даже помеченные как «конфиденциальные» данные, а также по каким физическим каналам чувствительная для их бизнеса информация перемещается в ходе генерации и обработки. Именно эта невнимательность позволяет взломщикам — даже без внедрения инсайдеров либо с использованием минимальных навыков социальной инженерии — выявлять самые уязвимые участки ИТ-инфраструктуры и производить узконаправленные высокоэффективные атаки.

Общий совет, который дают бизнесменам эксперты, — провести тщательный аудит как своих корпоративных секретов, так и программно-аппаратных средств их охраны. Если ожидаемый ущерб от утечки чувствительных бизнес-данных окажется ниже стоимости разработки и внедрения адекватного периметра ИБ, проще заранее смириться с возможными потерями. Лучше найти страховую компанию, готовую покрыть в случае утечки расходы хотя бы частично, чем тратить деньги на заведомо неэффективную систему информационного контроля, — раз уж эффективная не по карману.

Однако в ситуации, когда утечка корпоративных секретов обойдётся слишком дорого (а сегодня всё чаще дела обстоят именно так даже для представителей среднего бизнеса), имеет смысл обратиться к профессиональным интеграторам, способным провести детальный аудит действующего периметра ИБ и перестроить его оптимальным в данном конкретном случае образом.

Тут потребуется, конечно, и введением классификации внутренних документов озаботиться, и сотрудников к соответствующему порядку обращения с данными приучить, и права доступа пересмотреть. Но по мере того, как цифровизация всё глубже проникает в каждую отрасль экономики, у вынужденных оберегать бизнес-секреты руководителей не будет оставаться иного выхода. Проще уж тогда сразу переквалифицироваться в управдомы.

Источник: Максим Белоус, crn.ru

Версия для печати (без изображений)   Все новости