В настоящее время утечки информации на предприятиях любых отраслей стали обыденным явлением. Неограниченный доступ к конфиденциальным данным, широкий инструментарий быстрой передачи данных, нерадивость и нелояльность отдельных групп сотрудников – всё это ведет к тому, что случайно или злонамеренно люди используют информацию компании в личных целях.
Это подтверждается данными портала информационной безопасности Content Security, озвучивающего степень опасности внутренних и внешних угроз:
разглашение (излишняя болтливость сотрудников) — 32%;
несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок — 24%;
отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности — 14%;
традиционный обмен производственным опытом — 12%;
бесконтрольное использование информационных систем — 10%;
наличие предпосылок возникновения среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой кадров по сплочению коллектива — 8%.
Встает вопрос о стоимости этих утечек для предприятия, и имеет ли смысл вкладывать деньги в информационную безопасность?
Даже у специалистов, которые вплотную занимаются данной проблемой, существуют разные идеи на этот счет.
ИТ-директор одного из крупных ритейлеров Сибири на личной встрече сказал: «Бороться с утечками не имеет смысла. Давайте, Вы назовете мне конкурента и что Вы хотите о нем знать, — в течение часа я предоставлю Вам информацию. Да и вообще, я знаю, каково это — в день зарабатывать по 15000 рублей на, допустим, кассе — вот это проблема». Получается, человек знает о факте утечек, знает о каналах утечек, но не предпринимает никаких действий.
Другой пример случая, приключившегося с директором крупного холдинга на дружественной встрече с конкурентом действительно заставляет задуматься: конкурентом директору был вручен своеобразный презент – кипа документации по стартующей в ближайшее время крупномасштабной рекламной акции этого крупного холдинга. Утечка информации?! Сколько стоила разработка акции, сколько денег уже инвестировано в новый продукт, ради которого всё и было задумано? Миллионы долларов инвестиций оказались спасены благодаря добропорядочности конкурента. Данные о подобных потерях за рубежом давно уже не имеют должного эффекта на нас, но российские специалисты в области ИБ знают, это действительно происходит и требует нашего внимания к проблеме.
Другой пример дорогой для предприятия утечки – проектный институт, где трудится несколько сотен работников. А теперь представьте, что в один день уходит треть из них и не в какую-то другую сферу, а к прямому конкуренту. Так и случилось пару лет назад на одном из крупных институтов России по проектированию предприятий ключевой отрасли промышленности. Сотрудники унесли с собой не только свои разработки (их они на 100% считали личными), но и достижения своих товарищей, которые не сочли возможным покинуть свое предприятие. Как итог: предприятие безвозвратно потеряло около 50% своих собственных разработок за последние пару лет, потеряла ключевых сотрудников. Сколько стоила эта утечка, возможно ли было её предотвратить?
По словам профессиональных безопасников, крупные утечки не происходят без подготовки:
Сотрудники ведут между собой и внешними покупателями информации переговоры, накапливают чужую информацию, уносят свои наработки домой. Минимальные контрмеры – оградить явных инсайдеров от важной информации, провести беседы с колеблющимися и ведомыми сотрудниками.
Для полной убедительности приведем последний пример. Руководство стало фиксировать постоянные недостачи, и было непонятно, кто виновен, куда тоннами уходит цемент. На предприятии в тестовом режиме была поставлена DLP-система, которая зафиксировала факт двойной печати отгрузочных документов: документы отличались между собой на суммы недостач, — один шел в бухгалтерию, другой же показывался при отправке груза. Настораживает?
Каждая из этих проблем (не говоря уже о тривиальных: «слив» баз, переговоры об откатах, утечки информации по значимым условиям договоров с клиентами), решение которых стоит перед службой безопасности, могла быть решена с помощью DLP-системы соответствующего уровня.
Каждая компания сама решает, сколько стоит его информация. Мы, в свою очередь, готовы провести демонстрации, проконсультировать по выбору подходящего решения и поучаствовать в Вашем проекте создания системы информационной безопасности.