Обиженные работодателем сотрудники тащат всю информацию, что «плохо лежит». Глобальный экономический ущерб от таких действий составляет миллиарды долларов. В России утечки пока не обходятся так дорого, но лиха беда начало. Кризисный 2009 год показал, что во всем мире число случаев нарушений информационной безопасности со стороны уволенных или нелояльных сотрудников компаний существенно увеличилось. По мнению экспертов, легкость, с которой утекает информация — вина топ-менеджеров, которые не только не были готовы тратиться на обеспечивающее защиту информации программное обеспечение, но и легкомысленно относились к разрешенным законом способам защиты коммерческой информации. По данным проведенного в этом году международного исследования компании Ernst & Young, в последнее время случаи утечки информации становятся все более частыми. В ходе исследования были опрошены 1,9 тыс. топ-менеджеров из 60 стран мира, 75% респондентов отметили, что они обеспокоены вероятностью того, что уволенные и сокращенные сотрудники станут мстить, 42% респондентов пытаются получить представление о потенциальных рисках, связанных с этим вопросом, и только 26% принимают меры по минимизации этих рисков. По мнению руководителя практики Ernst & Young Global по оказанию услуг в области управления информационными технологиями и информационной безопасностью Пола Ван Кессела, в распоряжении сотрудников, подлежащих сокращению и затаивших неприязнь по отношению к работодателю, масса способов, позволяющих нарушить бесперебойное функционирование компании, которую им предстоит покинуть. При этом информационные системы все чаще становятся мишенью атак, кроме того, распространяются случаи хищения данных. Информационная беспечность обходится все дороже Проблема безответственного отношения компаний к собственной информации возникла не сегодня. По словам директора департамента аудита компании «Информзащита» Максима Эмма, чаще всего менеджмент компаний относится к технологиям защиты информации как к чему-то эфемерному и спохватываются, только когда происходит тот или иной инцидент. Так, более 90% сотрудников компаний постоянно выносят конфиденциальную информацию за пределы организации при помощи электронной почты или внешних носителей — причем не по злому умыслу, а просто по непониманию, хотя в ряде случаев это является нарушением закона. Экономический кризис обострил эту проблему. «Все поняли, что главная угроза — это не внешние атаки со стороны конкурентов или хакеров, а реальные сотрудники, которые до кризиса были лояльны к компании, а сейчас из-за урезанной зарплаты, соцпакета или тем более сокращения готовы выдать коммерческие тайны работодателя», — говорит руководитель аналитического центра компании Infowatch Илья Шабанов. Согласно данным статистики утечек конфиденциальной информации, собранной компанией Infowatch, в 2009 году 60,4% утечек информации произошло умышленно, тогда как в 2008 году — только 45%. Финансовые компании как главные пострадавшие На Западе в основном от информационных утечек страдает финансовый сектор. Так, по данным Identity Theft Resource Center (ITRC), в США в 2009 году произошло 356 случаев утечки информации. 46 из них произошли в финансовых организациях по сравнению с 36 случаями за тот же период в прошлом году. Илья Шабанов приводит данные исследования Ponemon Institute, согласно которым финансовые организации после каждого опубликованного инцидента теряют до 7% своих клиентов. Средние компании в других секторах — 3-5%. Кроме того, Шабанов объясняет, что даже если прямой ущерб составит десятки тысяч долларов, то отложенный может достигать миллионов долларов. В России число случаев потери и кражи информационных данных растет в прогрессии, сравнимой с мировой, хотя проблема приобрела актуальность сравнительно недавно. По данным Infowatch за первое полугодие 2009 года, произошло 23 случая информационных утечек, тогда как за 2008 год их было не более 6. В России в основном пользуются популярностью базы данных общегосударственного плана, финансовых организаций, а также базы телекомкомпаний. Паспортные данные и номера социального страхования злоумышленников мало интересуют, но, по мнению Ильи Шабанова, «у нас все впереди». Речь о том, что за границей наибольшую ценность представляют номера социального страхования, потому что эту информацию можно быстро превратить в деньги; эти данные часто воруют из государственных органов, медицинских учреждений, служб страхования. Вообще, если составить рейтинг популярности похищаемой информации, то 88% составят персональные данные, 3% — коммерческая информация, 2% — государственные тайны. Новые средства против проверенного арсенала Как же компании намерены противостоять кражам информации? Главным способом борьбы со злоупотреблениями со стороны увольняемых сотрудников опрошенные компанией Ernst & Young руководители считают увеличение средств, выделяемых на нужды информационной безопасности. Половина респондентов оценивают важность этой задачи как высокую или значительную (в прошлом году так считающих было на 17% меньше). При этом 40% опрошенных заявили о намерении увеличить долю средств, направляемую на инвестиции в области информационной безопасности, в суммарных расходах компании, а 52% как минимум не намерены сокращать эти затраты. Приоритетной задачей руководители отделов информационной безопасности называют внедрение или совершенствование технологий по предотвращению утечки данных (Data Loss Prevention). Исследование показало, что ничтожно малое количество компаний шифрует данные в ноутбуках. В настоящее время такое шифрование выполняют лишь 41% опрошенных; всего 17% планируют внедрить эту практику в следующем году. Правда, шифрованием информацию от собственных сотрудников не защитишь. Остаются только технологии DLP и соблюдение законодательства в сфере информационной безопасности. DLP-системы выявляют основные каналы утечки — внешние устройства, принтеры, электронную почту. Они работают по принципу лингвистического алгоритма, выстраивая рейтинг опасности. Выстраивание такой системы — удовольствие не из дешевых. Безусловно, все зависит от числа модулей. Если оценивать грубо, то один модуль стоит от 100 долларов, и если в компании 1000 сотрудников, значит, в бюджет на информационную безопасность придется заложить не менее 100 тысяч долларов. Илья Шабанов говорит, что пока DLP-технологии не получили массового распространения. «В основном DLP-системы приобретают компании, у которых хорошо работает отдел информационной безопасности», — говорит эксперт, но признает, что таких компаний становится все больше. Вместе с тем, по мнению Максима Эмма из «Информзащиты», DLP — продукт маркетологов, а средства по борьбе с защитой информации «стары как мир»: ограничение доступа к информации, мониторинг систем и протоколирование использования информации. Также полезно, по мнению эксперта, время от времен проверять защиту коммерческой информации при помощи «этичных хакеров», которые используют те же методы, что и злоумышленники, и позволяют увидеть брешь в системе. Анна Левинская foto/www.mrcheapstuff.com Источник bfm.ru |