На правах рекламы

Бумажная защита от «дурака» и злоумышленника


Небрежное отношение сотрудников и руководства при работе с конфиденциальной информацией - явление распространенное. Иногда все обходится без последствий, а иногда может стоить компании миллионов. И если за тем, что сотрудники пересылают по электронной почте служба безопасности «худо бедно» присматривает, то печатные документы в большинстве компаний беззащитны как перед безразличием разгильдяев, так и перед пристальным вниманием злоумышленника.

Примеров безалаберного отношения к конфиденциальной информации неисчислимое множество. Одному из кандидатов на пост президента США безответственное обращение с документами в 2016 году стоило президентского поста. Возможно, это и преувеличение, но не отправляй она служебных писем с личного почтового ящика, не оставляй бумажные документы в доступных для домашней прислуги местах, было бы меньше скандалов вокруг ее имени. Но случилось то, что случилось …

Впрочем, это пример из категории возможного, а вот другая история, куда более однозначная. В 2014 году американский PNC Bank подал в суд на бывшего вице-президента регионального отделения во Флориде Эйлин Дейли (Eileen Daly) за кражу конфиденциальной информации. Дама-руководитель, готовясь покинуть компанию, захватила с собой значительный массив конфиденциальной информации. Причем, установленная система ИБ не дала злокозненному вице-президенту просто скопировать информацию, однако Эйлин Дейли обошла систему просто начав фотографировать документы с экрана компьютера. Кроме того, после ухода руководителя из офиса PNC Bank пропало 10 коробок бумажных документов. В то же время Эйлин Дейли благополучно перешла в Morgan Stanley и «перетянула» за собой группу сотрудников, а также 15 крупных клиентов. Общий ущерб от действий недобросовестного руководителя был оценен пострадавшим банком в 250 млн долларов (по курсу 2017 года это более 14 млрд рублей).

Справедливости ради, очень немногие злоумышленники пользуются таким экзотическим способом кражи информации, как фотографирование на смартфон. По данным InfoWatch, доля организованных утечек информации с использованием смартфона не превышает 0,5%, от общего их числа. Для злоумышленников основной канал передачи конфиденциальной информации – это сеть интернет. Более половины всех краж информации осуществляется через браузер и облачные сервисы. В то же время, если говорить о случайных утечках, то наиболее часто «секретная» информация покидает компании и структуры власти в виде бумажных документов. До четверти всех непредумышленных «инсайдов» – это выброшенные или потерянные бумаги.

К примеру, в 2014 году в Ижевске на свалке были обнаружены конфиденциальные документы из местного отделения «Сбербанка России». В отделении банка проводилась реконструкция и вся конфиденциальная информация вместе со строительным мусором была вывезена как хлам. В результате в мусорных кучах можно было обнаружить анкеты с паспортными данными, выписки по счетам, заявления на выдачу кредитов, служебную переписку, копии трудовых книжек и других документов. За год до этого, аналогичный случай произошел в одном из столичных офисов «Сбербанка».

И количество утечек информации ежегодно растет, так, по информации аналитического центра компании InfoWatch, в 2016 году произошло 1556 зафиксированных инцидентов, что на 3,4% больше, чем годом ранее, и на 11,5% больше, чем в 2014. Конечно, эволюция средств защиты так или иначе сказывается на структуре рынка «утечек». Например, если в 2014 году собственные сотрудники компании «обеспечивали» 54% утечек, а злоумышленники несли ответственность только за 25,8% инцидентов, то уже в 2016-м доля сотрудников «ужалась» 33,9%, в то время как злоумышленники были повинны в организации 55,4% утечек информации. При этом значительно выросло количество непредумышленных утечек, которые произошли из-за безответственного отношения при работе с конфиденциальной информацией.

Снижение доли инсайдов от сотрудников это отчасти заслуга «безопасников», меняющих регламенты, внедряющих разграничение доступа для сотрудников к информации и внутренним ресурсам, устанавливающим DLP-системы. Конечно, очень сложно остановить злоумышленника, а тем более целую организацию, работающих целенаправленно на «добычу» информации, представляющей коммерческий интерес. Это требует значительных усилий и инвестиций, регулярных профилактических и просветительских мероприятий в среде сотрудников и менеджмента компании. И даже в этом случае невозможно гарантировать, что в вашей компании «инсайда» не случится. В конце концов, потери от утечек – это чья-то личная заинтересованность, а победить алчность практически невозможно.

И когда «неприятность» все-таки случилась, у руководства и владельцев компаний обостряется жажда справедливости. Пострадавший от утечки хочет отмщения, требует наказания для виновных. Ведь как говаривал нарком путей и сообщений СССР Лазарь Моисеевич Каганович: «У каждой аварии есть имя, фамилия и должность». Выявление и заслуженное наказание для виновного, это для компании не только частичная компенсация моральных и материальных ущербов, но и демонстрация эффективности работы внутренних служб, а также профилактическая акция, снижающая вероятность повторений инцидентов.

Однако, по данным аналитиков InfoWatch, более чем в 10% случаев не удается установить виновника утечки. При этом злоумышленники все реже используют заведомо контролируемые каналы передачи информации — электронную почту, сервисы мгновенных сообщений и т.д. В этом смысле сеть все еще остается каналом передачи данных, где возможности систем контроля и защиты в целом превосходят возможности злоумышленников. А вот старая добрая «бумага», популярность которой в эпоху электронного документооборота неуклонно снижается, подчас оказывается совершенно незащищенной.

Конечно, можно у сотрудников на входе в офис забирать мобильные телефоны и планшеты, проверять карманы и сумки на выходе. Однако, такие драконовские регламенты совершенно не вписываются во все более «освобождающееся» пространство высоких технологий. В современном мире есть вполне технологичные решения для борьбы с утечками конфиденциальных документов, в том числе и бумажных.

Российская компания «Инновационные технологии» разработала семейство продуктов SafeCopy, которое отлично дополняет традиционные DLP-системы, которые препятствуют выходу информации за пределы компании по каналам передачи данных. Разработка дает возможность однозначно определять пользователя – владельца конфиденциального документа, который стал источником утечки. Более того, злонамеренного или безалаберного сотрудника/руководителя «выпустившего» секреты на волю можно будет установить даже если все было сфотографировано с монитора или сделана копия с копии. Система маркирует документы незаметным для глаза образом. Поэтому, как только украденная информация окажется за пределами компании или в публичном доступе ее можно будет «прогнать» через SafeCopy и выявить источник «слива». А дальше начинают работать стандартные механизмы преследования злоумышленника, начиная от внутренних регламентов и заканчивая нормами уголовного права РФ. Важно, что решение легко интегрируется со сторонними системами, например, установленной системой электронного документооборота, а также со всеми наиболее популярными офисными приложениями.

Развивая это направление «Инновационные технологии» совместно с другой отечественной компанией «НИИ СОКБ» в 2016 году представила решение, работающее с бумажными документами. Программно-аппаратный комплекс SafeCopy-xConfiDoc предназначен для защиты печатных копий документов. Решение не только оптимизирует расходы на печать, дает возможность разграничить права доступа для различных категорий сотрудников, но и позволяет выявить злоумышленника в случае возникновения инцидента. Комплекс SafeCopy-xConfiDoc был создан также при участии международной компании Konica Minolta, но может быть развернут на базе многофункциональных печатающих и копирующих устройств и других производителей.

Число непредумышленных утечек, растет быстрее, чем количество спланированных «диверсий». Поэтому важно научить сотрудников и менеджмент ответственно относиться к распространению и передаче информации. Внедрение таких решений, как SafeCopy, дисциплинирует сотрудников: когда они знают, что в случае случайной утери или передачи конфиденциальной информации виновные будут выявлены, то работают с документами более ответственно.

ООО «Научно-испытательный институт систем обеспечения комплексной безопасности»

Архив