Как предотвратить утечку информации через ИТ-сотрудников компании

Поделиться

В марте 2015 года Дмитрий Коробов скопировал исходный код поисковика Яндекса. Стоимость украденных данных исчислялась миллиардами. Этот случай говорит, что 100% защиту данных организовать невозможно, но необходимо всячески к этому стремиться и сводить риски к минимуму.

Безопасность — величина обратно пропорциональная удобству. В идеальной защищенной системе ни у кого нет доступа ни к чему. Но такая система неработоспособна, и поэтому стремитесь к компромиссу, а не идеалу. Нет ничего хуже чем иллюзия защищенности для галочки.

 

Профилактика

Информационная безопасность начинается с человеческого фактора. Безопасность подразумевает контроль, а людям не нравится, когда их контролируют. Сотрудникам очень импонирует, если начальство не вмешивается в работу отдела. И это повод для разговора.

Прозрачность
Александр Прохоров в своей книге пишет, что российским сотрудникам привычно объединяться в кластеры и организовывать работу в группе самостоятельно. Главная цель разговоров — чтобы сотрудники делились информацией с коллегами и руководством.

Открытый код отличается от закрытого только прозрачностью. Засомневались — посмотрели исходники и убедились, что никаких сюрпризов там нет. Пропаганда безопасности начинается с открытости.

Прием на работу
Общение с самого начала избавляет от многих проблем. Надежные сотрудники не сливают информацию, и задача айти-директора — подобрать надежных программистов, администраторов или иб-специалистов.

Помните, что открытость важна для безопасности и проверяйте сотрудников при приеме на работу. Продумайте вопросы, с помощью которых определите искренность соискателя. Для этого подходит банальный вопрос о судимости или более каверзные вопросы о вредных привычках и личной жизни.

Если первоклассный профессионал закрывается, стоит подумать, как с ним работать и чего ждать, прежде чем ставить его на ключевую должность.

Прощание
Иногда приходится расставаться даже с ключевыми сотрудниками. Готовьтесь к этому. Удалите у него все доступы к корпоративным ресурсам к разговору об увольнении. Расставайтесь с миром, но предупредите о последствиях кражи данных и несанкционированного доступа. Спокойно перечислите учетные записи и спросите, не остались ли еще доступы. Попрощайтесь и останьтесь друзьями по возможности.

 

Контроль

Внедрение DLP-систем

Серьезные разговоры о безопасности сводятся к внедрению DLP-систем. Основная проблема этих систем — в щепетильности. Ущемление личных прав и этических норм, недоверие и, вообще, подглядывать нехорошо. Как решить проблему? В Московском энергетическом институте придумали добавить в учебный процесс деловую игру.

Попробуйте системы мониторинга без обязательного внедрения. Сравните удобство Симантек, Инфовотч или Инфоджет и выберите наиболее подходящую. А с организацией помогут HR-специалисты. Также во время игры они смогут наблюдать и анализировать действия игроков со стороны, и составить более полное представление о каждом сотруднике.

В игре участвуют обычные, удаленные пользователи, нарушители режима и хакеры. Администраторы DLP-системы и руководители управляют процессом. На основе полученных данных принимают решения и пытаются выявить нарушителей и хакеров. В ходе игры участники могут меняться ролями: нарушители исправляются, администраторы пытаются обмануть систему, а обычные пользователи становятся руководителями.

После окончания игры обсуждаются сроки и сложности внедрения, решается вопрос целесообразности использования системы.

Облачные решения
Использование облачных сервисов позволит стандартизировать рабочее окружение и фиксировать каждый вход в систему в логах. Централизованный подход не только ускоряет разработку и тестирование новых функций, но еще и позволяет уйти от использования внешних носителей — потенциального канала утечки информации. Каждый факт подключения внешнего носителя должен учитываться в режиме реального времени.

 

Изоляция

Некоторые данные не стоят того, чтобы их защищать. А те, которые стоят, нужно изолировать.

Чтобы ограничить доступ к важным разделам или к диску есть множество алгоритмов шифрования и программ. Например, Truecrypt, разработку которой свернули в 2014. Форк последней версии с шифрованием прошел аудит безопасности в 2015 году. Алгоритмы шифрования не были скомпрометированы, в коде не обнаружили никаких закладок.

У программы открыты исходники. Для шифрования целого диска или отдельных томов применяется 3 алгоритма шифрования и их комбинации: AES, Serpent и Twofish. Программа кроссплатформенна и умеет создавать разделы с двойным дном.

На корпоративном сервере и компьютерах руководства создается общий раздел с общим доступом и несколько разделов с критичными для бизнеса данными: бухгалтерия, коммерческие тайны и переписка топ-менеджеров. Далее разграничивается доступ к каждому разделу. У большинства айтишников нет доступа к защищенной информации, они заходят на сервер со своим ключом, и не видят разделов с бухгалтерией и коммерческими секретами. У главного бухгалтера — доступ к бухгалтерии, но раздела со стратегическими наработками у него нет. Полный доступ есть только у руководства, главного администратора и безопасника.

Развивающийся преемник — VeraCrypt. В ней улучшили шифрование, но упала скорость монтирования зашифрованных разделов. Также есть лицензионные аналоги с закрытым исходным кодом, такие как BitLocker.

 

Автоматизация

Стоит понимать, что выстраивание грамотной политики информационной и сетевой безопасности — недешево. С ростом компании проблемы и бюджеты будут только увеличиваться, поэтому многие компании доверяют безопасность сторонним организациям. В Orange Business Services работают над безопасностью специалисты из 15 научно-исследовательских учреждений.

 
Команда Orange

We are a bunch of people sharing the latest news news with our customers and users. We love to write about technologies that are changing our daily life for better. Have a question? Feel free to drop a line to one of us — alexandra.tolokonnikova@orange.com