Распространение DLP-систем (англ. Data Loss Prevention, DLP - предотвращение утечек) среди электротехнических компаний не помогает, к сожалению, уменьшить числа утечек информации в отрасли. По данным компании SearchInform, до сих пор более трети промышленных и торговых компаний страдают от сотрудников, распространяющих их конфиденциальные данные. Видимо, проблема заключается в том, что компании не совсем правильно пользуются таким мощным инструментом, как DLP-система.
Проблема рационального использования DLP-систем
Доля компаний, внедривших уже у себя DLP-систему, в России в 2012 году достигла, в среднем, 37%. Наибольший охват оказался в финансово-кредитной сфере, где 93% организаций обеспечивают свою защиту от утечек информации с помощью DLP. В промышленности этот показатель составил 34%, а в торговых компаниях, включая ритейл, 41%. В среднем, число компаний, пользующихся DLP-системами, выросло на 21%, что является весьма серьезным показателем.
Но количество инцидентов, связанных с информационной безопасностью, включая утечки конфиденциальных данных, продолжает оставаться высоким. Не в последнюю очередь это связано с тем, что компании, приобретающие DLP-систему, используют ее возможности не на все 100%, из-за чего возникает ситуация, когда дорогостоящее внедрение DLP-системы не дает ожидаемого улучшения в сфере обеспечения информационной безопасности компании. Руководство компании закономерно разочаровывается в DLP, считая подобные системы очередным маркетинговым трюком. Так происходит из-за того, что руководители недостаточно хорошо понимают суть DLP-систем, являющихся лишь удобным инструментом, грамотно применять который может лишь достаточно умелый «безопасник».
Поэтому внедрение DLP-системы должно быть лишь одним из этапов комплекса мероприятий по формированию системы информационной безопасности электротехнической компании, которая начинается с момента принятия на работу нового сотрудника и заканчивается процессом его увольнения.
Практика применения DLP — основные моменты
Необходимо понимать, что в процессе работы сотрудника в компании имеется ряд моментов, наиболее рискованных с точки зрения утечки информации. Именно на их выявлении необходимо сосредоточить, в первую очередь, работу DLP-системы.
Для типовой компании электротехнической отрасли это будут следующие ситуации:
- поиск работы сотрудниками;
- отправка бизнес-планов и отчетов;
- пересылка персональных данных;
- пересылка информации о сделках с партнерами и клиентами;
- передача нестандартных конфиденциальных документов (например, чертежей);
- передача паролей от корпоративных информационных ресурсов третьим лицам;
- переписка сотрудников с конкурентами;
- передача текста в графических файлах;
- подделка сотрудниками печатных документов (например, накладных) с целью извлечения личной выгоды;
- нанесение ущерба имиджу компании в социальных сетях, на форумах, в блогах;
- использование сотрудником корпоративного ноутбука для пересылки конфиденциальной информации;
- кулуарная борьба внутри компании;
- подготовка сотрудника к «сливу» конфиденциальной информации;
- пересылка больших объемов данных.
Ниже мы рассмотрим, каковы должны быть действия специалиста, ответственного за информационную безопасность, в некоторых из этих ситуаций. К сожалению, поскольку их достаточно много, то рассмотреть подробно все не представляется возможным, но общий алгоритм из примера будет понятен.
DLP на страже финансовых документов
Финансовая документация представляет собой один из важнейших информационных ресурсов компании, и ее попадание на глаза посторонним лицам может иметь очень тяжелые последствия для компании любой величины.
Широко известны случаи, когда обнародование финансовой отчетности крупных компаний приводило к отставке их руководства. Попадание подобных документов в руки конкурирующих компаний также не сулит ничего хорошего, поскольку позволит им сосредоточиться на тех сегментах рынка, которые являются основными для вашей компании. Особенно актуально это для бизнес-планов, в которых излагаются шаги компании в стратегической и тактической перспективах. Обнародование подобных документов перечеркивает всю ту гигантскую подготовительную работу, которая обычно предшествует их появлению.
Для предотвращения утечек финансовых документов отдел информационной безопасности должен осуществлять мониторинг данных, передаваемых сотрудниками компании за ее пределы по всем возможным каналам, на предмет возможного содержания в них корпоративной финансовой документации.
Для отслеживания утечек финансовых документов целесообразно использовать DLP-систему, поддерживающую поисковый алгоритм, позволяющий использовать в качестве поискового запроса списки фраз и целые документы. В качестве поисковых запросов можно взять шаблоны документов, по которым ведется основной документооборот организации. Как правило, в этот список входят следующие документы: отчет о движении денежных средств;
- бухгалтерский баланс;
- хозяйственные договора;
- протоколы собраний акционеров;
- бизнес-планы.
Для усиления контроля можно дополнительно взять в качестве запроса список месяцев, который обычно встречается в финансовых отчетах. В целях исключения большого числа ложных срабатываний нужно подобрать опытным путем оптимальную релевантность поиска.
При появлении похожих на указанные документы в перехваченном трафике, DLP-система оповестит об этом специалиста по информационной безопасности. Он должен тщательно изучить все обстоятельства передачи данных, чтобы принять решение о том, имел ли сотрудник право на передачу этих сведений за пределы компании.
Если обнаружится, что в организации есть сотрудники, передающие финансовые документы внешним адресатам, необходимо инициировать служебное расследование и выяснить причины и мотивы подобного поведения работников. В случае, если окажется, что сотрудник действовал без злого умысла (например, отправлял документы на личный почтовый ящик или копировал на флэшку, чтобы поработать с ними дома), то имеет смысл провести с ним разъяснительную беседу. В случае же преднамеренной отправки документов конкурентам, очевидно, более правильным вариантом наказания будет увольнение такого сотрудника.
Зачем сотрудники переписываются с конкурентами?
Другим примером применения DLP-системы является отслеживание переписки сотрудников компании с конкурентами. Вложенные в разработку технологий, бизнес-планов, обучающих методик деньги и время можно очень легко сэкономить, если украсть все это у конкурентов. Идеальной будет схема, когда конкурент сам все принесет на блюдечке руками собственных сотрудников. Поэтому нередко руководители и HR-менеджеры организаций предлагают сотрудникам конкурирующих компаний более высокую зарплату и массу других бонусов с тем условием, что при переходе на новую работу они должны взять с собой кое-какую информацию со старой.
Как показывают исследования компании SearchInform, сотрудники с готовностью идут на такие, скажем прямо, не совсем честные сделки. Опросы, проведенные на семинарах во многих городах России и стран СНГ, показали, что лишь 19,2% работников готовы ответить твердым отказом на предложение о продаже конфиденциальной информации, в то время как 43,7% не устоят перед соблазном легкого заработка, а 12% и вовсе поделятся всеми доступными им корпоративными секретами совершенно бесплатно. Опасны и ранее уволенные работники. Более трети уволенных сотрудников выражают готовность к продаже корпоративных данных по инициативе покупателя, а еще 15,7% и сами готовы предложить их конкурентам последнего работодателя.
Для того, чтобы отслеживать переписку сотрудников с конкурентами, нужно их знать: достаточно знать названия и домены корпоративных сайтов. Именно по этим данным и нужно искать переписку с конкурентами при помощи DLP-системы. Также полезно отслеживать появление в переписки названий конкурирующих организаций. Вполне понятно, что в последнем случае какая-то часть уведомлений будет содержать в себе переписку, в которой конкуренты просто упоминаются, однако ее легко отличить от той, которая ведется именно с ними.
Если обнаружится, что кто-то из сотрудников действительно переписывается с конкурентами, необходимо принимать меры по санкциям в отношении данного сотрудника. В простейшем случае будет достаточно ограничить его доступ к конфиденциальным корпоративным документам, в более «запущенных» ситуациях может идти речь и об увольнении инсайдера «по статье».
Резюме
DLP-система - инструмент, который должен применяться в нужных ситуациях знающими людьми. Без наличия таких людей в компании приобретение DLP-системы не даст ожидаемого эффекта. Если же применять ее в описанных выше ситуациях, то вероятность утечки информации из вашей компании станет близка к нулевой.
Роман ИДОВ,
ведущий аналитик компании SearchInform
Статья опубликована в журнале «Электротехнический рынок», № 1 (49), 2013