15 августа 2019 г.
Утечка персональных данных может привести к неприятным последствиям, однако для бизнеса нежелательное раскрытие критичной информации нередко становится попросту фатальным. Укрепляя периметр информационной безопасности (ИБ), развёртывая на офисных ПК и серверах специализированное ПО для контроля целостности бизнес-данных, не следует выпускать из внимания самое слабое звено в цепочке ИБ: сотрудников компании.
Рынок программных средств для предотвращения утечек данных весьма динамичен. По оценке Market Reports, в глобальном масштабе он будет прирастать с CAGR на уровне почти 24% на интервале
Современные решения, противодействующие утечкам данных, отлично справляются как раз с «широковещательными» угрозами. В том числе и в облачных средах, кстати: именно высокая надёжность защиты деловой информации даже в публичных облаках не в последнюю очередь обусловила стремительный рост популярности сервисов everything-aaS — «всего-что-угодно-как-услуга» — для бизнеса. Борьба с инсайдерами — дело другое: здесь в чести программные решения для контентной фильтрации. Важно отметить, что сами по себе, «из коробки», такие решения не слишком эффективны: в каждом конкретном случае необходима их кропотливая настройка и юстировка в соответствии с особенностями бизнес-процессов заказчика.
Развёртывание эффективной системы контентной фильтрации требует многоэтапной тщательной проработки, от базовой классификации данных (по степени потребности в их защите через выявление наименее надёжных звеньев в существующем периметре ИБ) и до отработки на практике быстрого, решительного реагирования на обнаруживаемые инциденты. Инвестиции в такое решение велики, сроки его внедрения довольно длительные, но против, скажем, инсайдера, делающего снимок рабочего монитора с важным документом камерой персонального смартфона либо взятого из собственного авто видеорегистратора, в большинстве случаев подобные системы бессильны.
Что же остаётся — смириться с неизбежностью риска утечки корпоративных данных, постоянно принимать её в расчёт наряду с форс-мажорными обстоятельствами глобального характера? В целом — да, однако снизить этот риск до разумного минимума руководству предприятия вполне по силам. Как свидетельствует маркетинговое исследование, проведённое компанией-разработчиком популярного магазина смартфонных приложений для бизнеса GetApp, задел для укрепления периметра ИБ имеется в каждой организации. Надо лишь внимательно сопоставить перечни штатных обязанностей сотрудников предприятия с перечнем лиц, допущенных к работе с особо чувствительными для бизнес-процессов данными.
Опрос, в котором приняли участие более 700 работающих на условиях полной занятости сотрудников американских компаний различного масштаба и из самых разных отраслей хозяйства, выявил весьма заметное легкомыслие со стороны работодателей в отношении делегирования доступа к критически важным данным. Около 48% опрошенных признались, что имеют на работе более широкие права доступа, чем им реально необходимо для исполнения прямых обязанностей, а 12% и вовсе заявили, что в любой момент способны получить какую угодно внутреннюю информацию касательно бизнес-процессов, организационной структуры и связей своего нанимателя.
Основная проблема, отмеченная экспертами, заключается в неготовности подавляющего большинства (даже американских) компаний признавать значимость стратификации данных по степени их открытости и общедоступности. Не более трети организаций, где трудятся участники опроса GetApp, используют хотя бы базовую схему классификации бизнес-документов: «общедоступно — конфиденциально». Среди этой трети ещё меньшая доля компаний выделяет дополнительные уровни доступа («строго конфиденциально», «для внутреннего обращения», «чувствительная информация» и т. п.)
Более того: в 80% компаний, согласно результатам опроса, нет чёткого понимания, на каких носителях и в какой среде (локальной, облачной, гибридной) фактически размещаются даже помеченные как «конфиденциальные» данные, а также по каким физическим каналам чувствительная для их бизнеса информация перемещается в ходе генерации и обработки. Именно эта невнимательность позволяет взломщикам — даже без внедрения инсайдеров либо с использованием минимальных навыков социальной инженерии — выявлять самые уязвимые участки ИТ-инфраструктуры и производить узконаправленные высокоэффективные атаки.
Общий совет, который дают бизнесменам эксперты, — провести тщательный аудит как своих корпоративных секретов, так и программно-аппаратных средств их охраны. Если ожидаемый ущерб от утечки чувствительных бизнес-данных окажется ниже стоимости разработки и внедрения адекватного периметра ИБ, проще заранее смириться с возможными потерями. Лучше найти страховую компанию, готовую покрыть в случае утечки расходы хотя бы частично, чем тратить деньги на заведомо неэффективную систему информационного контроля, — раз уж эффективная не по карману.
Однако в ситуации, когда утечка корпоративных секретов обойдётся слишком дорого (а сегодня всё чаще дела обстоят именно так даже для представителей среднего бизнеса), имеет смысл обратиться к профессиональным интеграторам, способным провести детальный аудит действующего периметра ИБ и перестроить его оптимальным в данном конкретном случае образом.
Тут потребуется, конечно, и введением классификации внутренних документов озаботиться, и сотрудников к соответствующему порядку обращения с данными приучить, и права доступа пересмотреть. Но по мере того, как цифровизация всё глубже проникает в каждую отрасль экономики, у вынужденных оберегать бизнес-секреты руководителей не будет оставаться иного выхода. Проще уж тогда сразу переквалифицироваться в управдомы.
Источник: Максим Белоус