• Главная
  • Блог
  • Защита от инсайда: почему сотрудники сливают данные компаний и как это предотвратить

Об авторе

начальник отдела информационной безопасности «СёрчИнформ»

Защита от инсайда: почему сотрудники сливают данные компаний и как это предотвратить

06.12.2021
1876

Большинство утечек информации, о которых пишут в новостях, произошли по вине сотрудников пострадавших организаций. Кто-то действовал по ошибке, а кто-то — по злому умыслу. Что такое инсайдерские риски, по каким причинам происходят внутренние утечки информации и как от этого защитить компанию — рассказывает Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».

Кто такие инсайдеры и чем они опасны

Финансовые организации — одни из самых уязвимых перед утечками информации. Несмотря на то, что защищены они, как правило, лучше других компаний, на них всегда направлено внимание мошенников и общественности. Постоянно появляются новости об утечках данных в тысячи и миллионы строк. Например, в сентябре в сеть утекло 150 тысяч анкет с данными потенциальных заемщиков Совкомбанка. А в октябре в открытом доступе оказались базы данных испанского филиала страховой компании Zurich, в которых содержалось 4 млн строк с информацией из страховых полисов клиентов компании.

Подобные утечки происходят, как правило, из-за того, что компании забывают, что киберпреступник — необязательно таинственный хакер из интернета. Им может оказаться собственный сотрудник.

Инсайдерами называют сотрудников любой организации, которые имеют доступ к конфиденциальным данным компании. К ним относятся коммерческая тайна, персональные данные клиентов и сотрудников, платёжная информация, интеллектуальная собственность. Утечки подобной информации могут привести к потере репутации, денежным убыткам и судебным искам.

Согласно исследованию СёрчИнформ, в списке специалистов, которые чаще всего оказываются виновниками утечек ценных данных, — менеджеры по работе с клиентами (41%), менеджеры снабжения (20%), бухгалтеры и финансисты (22%). Цифры подтверждают опасную ситуацию: самые уязвимые участки бизнеса — это отделы, которые распоряжаются деньгами и критичной информацией. В финансовой сфере, в силу ее специфики, почти любая информация критична и почти каждый сотрудник — потенциальный инсайдер.

Непреднамеренные нарушения

Не все утечки — результат намеренных действий. Напротив, это чаще всего случайность, халатность или незнание основ информационной безопасности со стороны сотрудника.

Так, из-за халатного отношения к информации сотрудников одной страховой компании, в прошлом году на свалке оказались свежие копии паспортов, водительских прав, рукописных заявлений и других документов, которые не были утилизированы должным образом. Получается, недобросовестные работники не только выбросили копии с неистекшим сроком хранения, но и не потрудились сжечь или шредеровать их. Попадись информация не в те руки, владельцы документов могли бы стать жертвами атак с элементами социальной инженерии или хуже — обладателями микрокредитов на свое имя.

Что касается непреднамеренных утечек в сеть, наиболее частая ошибка — это неверная настройка доступов к базам данных. Например, как-то на сайте одной российской страховой компании можно было найти эксель-таблицы с базами клиентов и информацией о принадлежащих им автомобилях. Их выдавал поиск на сайте по любой фамилии.

Кроме того, сотрудники могут стать жертвами фишинга или BEC-атаки, из-за чего также может произойти случайная утечка важной информации.

  • Фишинг – разновидность мошенничества, при котором преступник пытается сыграть на доверии жертвы, чтобы выманить у неё конфиденциальную информацию или вынудить на какие-либо нежелательные действия. Для выполнения своих целей мошенники используют почту, поддельные веб-ресурсы, звонки и СМС-сообщения.
  • BEC-атака – компрометация корпоративной переписки, в том числе с помощью фишинга.

Порой атака проходит в несколько этапов. С помощью фишинга киберпреступникам удается завладеть учетными данными рядового сотрудника, преследуя конечную цель — добраться до его руководителя. Чаще атакующих интересуют деньги. Однако бывают случаи, когда мошенникам важна конфиденциальная информация, например, клиентская база или документы с разработками.

Преднамеренные сливы

По другую сторону стоят умышленные сливы данных. Причин для подобных действий может быть множество.

  • Инсайдеры «выносят» информацию для экономической выгоды, в таком случае продают ее конкурентам или выкладывают в даркнет.
  • Сотрудники могут быть обиженны сокращением или лишением премии, из-за чего в отместку руководителю сливают данные компании в сеть. Кроме того, перед увольнением инсайдер может сохранить информацию на флешку или в облако и использовать ее на будущем месте работы.

Так, например, бывший инженер Apple Сяолан Чжан перед увольнением скопировал информацию о разрабатываемом беспилотном автомобиле на свой ПК. Экс-сотрудника успели поймать раньше, чем секреты корпорации пересекли границу. Иначе разработками Apple уже с месяц пользовалась бы китайская Xiaopeng Motors. В подобных ситуациях службе безопасности стоит серьезнее присматриваться ко всем «обиженным» сотрудникам.

Но не стоит думать, что такая опасность грозит только крупным корпорациям. Брать «сувениры» на память любят и работники малого и среднего бизнеса. Из практики наших клиентов, сотрудница торгового предприятия, получив отказ в повышении, решила уволиться. Но перед этим загрузила в облако архив на 900 мегабайт, в котором хранились все исследования компании по московскому рынку.

Стоимость информации составляла около 100 млн рублей. При оценке учли стоимость разработки документации, недополученную прибыль, раскрытие внутренних данных о клиентах. Сотрудники ИБ-отдела вовремя предотвратили утечку и при расследовании нашли еще и факт подделки бухгалтерской документации.

Как защитить информацию от утечки

Предотвратить инсайдерские нарушения возможно, но для этого нужно знать хотя бы базовые правила информационной безопасности. В первую очередь, это дело службы информационной безопасности (далее — ИБ) и ИТ-департаментов.

Сотрудникам других отделов нужно понимать, что требования не берутся из воздуха и не игнорировать их. Поэтому организационные меры касаются улучшения осведомленности специалистов и грамотности в работе за компьютером.

Полный список мер зависит от конкретного бизнес-процесса, но есть несколько общих правил.

Бизнес-процесс

Способ защиты

Отправка документов и других данных
  • Для пересылки счетов, договоров, отчетов должна использоваться только корпоративная почта и мессенджеры, ftp-сервера.
  • Если на нет средств на свой почтовый сервер, воспользуйтесь корпоративными почтовыми сервисами от Яндекс или Google. Личной почтой пользоваться небезопасно, так как почтовые ящики ваших сотрудников могут быть уже давно украдены.
  • Используйте только зашифрованные каналы передачи данных: https, ftps, vpn-соединения между офисами и для доступа в локальную сеть компании извне.

Доступ к данным
  • Разделяйте файлы с важными данными по категориям (конфиденциальные, важные, бухгалтерия и т.д.) и храните их в определенных сетевых папках или сетевых хранилищах с ограниченными правами доступа.
  • Проверяйте, нет ли у сотрудников избыточных прав доступа к корпоративным сервисам. Необходимо, чтобы осталось минимум прав для выполнения служебных обязанностей.
  • Включите стандартный Windows Bitlocker и зашифруйте важные папки или весь диск на тех рабочих станциях, где есть ценные данные. Установите и сохраните пароль от Bitlocker на флешку или запишите на листок, запечатайте и отдайте директору или специалисту по безопасности.

Согласование счетов
  • В компании должны быть четкие инструкции по регламенту согласования счетов или любых действий в форс-мажорных ситуациях.
  • Сотрудники обязаны связаться с бухгалтерией контрагента в случае получения уведомления о смене реквизитов. Сделать это нужно по телефону, указанному на официальном сайте, а не в письме, которое может оказаться фишинговым.

Лицензионное ПО

Устанавливайте только лицензионное ПО для выстраивания бизнес-процессов либо свободно распространяемый софт от надежных поставщиков, регулярно обновляйте его.

Антивирусная защита

Если нет средств на покупку лицензий от хорошего вендора, регулярно обновляйте Windows и не отключайте стандартный защитник. Не забывайте и о компьютерах на Linux и OSX – они, хоть и в меньшей степени, но тоже подвержены атакам.

Двухфакторная аутентификация для важных служб

Настройте двухфакторную авторизацию для доступа к критичным для компании службам и сервисам, доступным извне.

Роутеры, коммутаторы, принтеры, Wi-Fi

Сразу меняйте стандартный пароль на всех маршрутизаторах, коммутаторах, мини-АТС, принтерах и создайте изолированную гостевую сеть Wi-Fi (только Интернет, без возможности подключиться к локальной сети) и отдельный Wi-Fi для сотрудников.

Обучите сотрудников киберграмотности

Самый действенный способ предотвратить случайные утечки — критически относиться к информации вокруг. И обучить этому сотрудников.

  • Расскажите работникам, какие ссылки нельзя открывать и в каком случае лучше сразу прекратить переписку с отправителями писем.
  • Объясните, что такое фишинг. И как мошенники используют информацию об адресате, чтобы втереться в доверие под видом контрагента. Введите политику безопасных паролей. Расскажите, почему важно блокировать свой сеанс на компьютере или ноутбуке, уходя от рабочего стола.

Можно сделать запоминающиеся памятки-правила с яркими примерами. Например, мы в компании создали документ «Пирожки с ИБ-начинкой», где в шутливой стихотворной форме рассказали о серьезных ИБ-инцидентах.

  • Периодически проверяйте знания сотрудников. Разошлите поддельное письмо и проконтролируйте, кто из сотрудников прислушался к предупреждениям, а кто все равно открыл письмо, перешел по ссылке и скачал вложения.

Проверять можно и в открытую с помощью тестов. Их можно сделать легкими и без выставления оценок, как в школе. Главное чтобы сотрудник смог узнать свои слабые места. Например, у нас есть тест «Инсайдер внутри вас: можете ли вы навредить своей компании?». Можно сделать похожий или воспользоваться нашим.

  • Расскажите, как проверить, настоящий ли отправитель письма, куда звонить за подтверждением. Создайте памятки с официальными email-адресами руководства, крупных партнеров и клиентов, регуляторов, ссылками на их официальные сайты. Так сотрудники смогут распознать, если им придет замаскированное фишинговое письмо или ссылка на фейковую страницу.

Для борьбы со случайными инсайдерскими утечками самостоятельное обучение сотрудников и простые технические средства — неплохие методы. Однако даже самый осознанный сотрудник может совершить ошибку, если будет завален работой. И как бы ни хотелось избежать трат, безопасность стоит денег.

Самая надежная защита от инсайда — ИБ-специалист в штате и хорошая система контроля. Предотвращать утечки и расследовать другие ИБ-инциденты помогают специальные программы — DLP-системы. Если в компании работает не более 100 человек, имеет смысл воспользоваться услугой ИБ-аутсорсинга, в таком случае получится сократить затраты на безопасность.

Рекомендуем посмотреть бесплатный вебинар:

Успешный CFO: кто это?

Успешный CFO: кто это?

Также рекомендуем
Татьяна Водилова о квестах на курсе ДипНРФ и переезде в Россию

Татьяна Водилова о квестах на курсе ДипНРФ и переезде в Россию

Что выбрать: CIMA или ACCA?

Что выбрать: CIMA или ACCA?

Камила Алтаева: как изучить МСФО за 2 недели и самостоятельно подготовиться к экзамену IPFM

Камила Алтаева: как изучить МСФО за 2 недели и самостоятельно подготовиться к экзамену IPFM

Что такое сертификат CFM и чем он отличается от ACPM

Что такое сертификат CFM и чем он отличается от ACPM

Как распознать фальшивые вакансии

Как распознать фальшивые вакансии

Эту книгу можно скачать бесплатно:

Внутренний аудит: от идеи до развитой риск-ориентированной работы подразделения

Внутренний аудит: от идеи до развитой риск-ориентированной работы подразделения

Рекомендуем пройти:

Тест: Инновации в компании

Тест: Инновации в компании