«Директора часто пренебрегают правилами защиты». Как избежать проблем с утечками данных

Директор по безопасности компании «СёрчИнформ» Иван Бируля: 

— В Интернете всплыла база данных с информацией о 120 тысячах клиентов из «черного списка» Центробанка — от физлиц до компаний. Критично здесь не количество строк в базе — в российской истории были утечки гораздо глобальнее, — а полнота и качество информации, а также ее причины. 

Доступ к этой базе строго авторизированный, а сами данные передавались по защищенным,каналам, поэтому нужно предполагать инсайдерскую утечку. Но кто ее допустил, сказать невозможно. Доступ к базе был у сотрудников многих российских банков, Центробанка и Росфинмониторинга — у всех участников обмена данными. 

Нельзя сказать, что банки и ЦБ защищены плохо. В России действуют постановления, распоряжения и национальные стандарты по информационной безопасности для финансовой сферы. Основные — ГОСТ Р 57580.1-2017 и СТО БР ИББС 1.3-2016. Документы предписывают банкам обязательно использовать программные средства защиты от утечек информации с конкретными функциональными возможностями. 

В частности, ГОСТ предписывает обеспечивать автоматизированный контентный анализ передаваемой информации по сетевым каналам, вести архив коммуникаций, ограничивать хранение отдельных типов данных, предотвращать передачу данных на устройства хранения и т.д. 

Почему при таком жестком регулировании банки допускают утечки данных?  Все просто — человеческий фактор.

Отраслевые стандарты — это рамки, которые добропорядочным банкам дают в руки инструментарий, практики, кейсы и советы. Но всегда существует вероятность халатного выполнения требований. Формально риски будут закрыты, по факту — нет. Только в Сбербанке за прошлый год произошло три громких инцидента, информация о которых попала в сеть. А ведь в крупнейшем российском банке стоит система защиты от утечек информации и штат службы безопасности один из самых укомплектованных в отрасли. 

Если такова ситуация в банках, что происходит в менее защищенных бизнесах? Удовлетворительной можно назвать ситуацию с безопасностью в компаниях со штатом от 500 сотрудников. Тут и специально выделенные люди есть, и программное обеспечение. При этом в России больше 20 тысяч компаний со штатом до 250 человек, и тут ситуация совсем другая. А ведь вопросы кибербезопасности в этих компаниях стоят не менее остро. В лучшем случае их решает IТ-специалист (вариант совсем не идеальный, но на безрыбье не самый худший). Но часто и выделенного человека нет. Пока практика аутсорсинга только приобретает доверие, руководству приходится справляться имеющимися ресурсами. 

Чтобы эта работа имела результат, нужна системность. Что можно сделать в формате «дешево и сердито»? Ввести режим коммерческой тайны в компании.

Придется говорить с работниками и доносить, что информация на рабочем компьютере — собственность компании, а не трудового коллектива. Это кажется очевидным директору, но для сотрудников это совсем не так.

Но одними беседами не обойтись. Правила, как и в каких целях могут использоваться компьютеры, интеллектуальная собственность и другие ресурсы организации должны быть прописаны в трудовом контракте, внутренних инструкциях. Сам факт принятия договоренностей с работодателем о том, что есть регламент и ответственность за его нарушение — большой шаг к воспитанию новой трудовой дисциплины. Одно дело уповать на сознательность, другое — доносить под подпись, что утеря грифованных документов карается штрафом в размере 1,5 млн рублей или даже риском получить 7 лет тюрьмы за кражу данных.  

Следующий шаг — повышение киберграмотности, и это куда более сложное дело. По статистике Сбербанка, треть продвинутых пользователей открывают фишинговые письма. Получается, что на уловки мошенников попадаются даже те, кто в курсе угрозы. Происходит это не только по невнимательности. Атаки мошенников становятся почти совершенными: фишинговые письма и сайты похожи на настоящие как братья-близнецы.   

Беседы и тренинги сами по себе рабочий инструмент, но как только у компании растет размах деятельности, положиться только на них уже нельзя. На такие случаи существуют технические «заборы», которые уберегут и от случайного инсайдерства, и от злонамеренного. На первых порах бизнесу оказывается достаточно антивирусных программ, средств администрирования Windows, программ контроля продуктивности сотрудников. Дальше организации приходят к пониманию необходимости использования Firewall, Proxy, IDS/IPS, DLP- и SIEM-систем. По моим наблюдениям планка снижается. Если раньше профессиональные инструменты были необходимостью только крупному бизнесу, сейчас их приобретают собственники компаний совершенно разного калибра.

Все эти инструменты работают тогда, когда и сам руководитель придерживается правил информационной безопасности. Парадокс заключается в том, что директора, которые понимают важность защиты информации, часто пренебрегают правилами.

В сентябре PwC рассказала о результатах опроса руководителей российских компаний, и 81% членов советов директоров хранят на своих телефонах закрытую и дорогостоящую информацию.