Блог для владельца бизнеса

Подпишитесь и раз в месяц получайте на почту подборку полезных материалов и кейсов для роста продаж, автоматизации бизнеса, ведения финансового и управленческого учета

Защита от утечек данных в бизнесе: как предотвратить и как бороться
12 Feb 2020

Утечка данных в бизнесе может грозить многомиллионными потерями. Менеджер ушел, прихватив с собой базу данных покупателей — готовьтесь к оттоку клиентов: возможно, он просто переманит их к конкурентам. Другой компании стали известны внутренние разработки — возможно, они первые выпустят крутой продукт по ним и соберут всю прибыль.

Давайте разберемся, как не допустить потерь. Рассказываем, как защититься от утечки данных и что делать, если она все-таки произошла.

Почему защита от утечек данных важна

Когда мы готовили статью, столкнулись с тем, что представители малого бизнеса не понимают, зачем им нужна защита от утечек данных. «Кому мы вообще нужны? С сотрудниками заключаем договор, а на почту и CRM устанавливаем пароли» — одно из распространенных мнений.

Это — то самое русское «авось». Надежда, что небольшая компания с прибылью около 100 000 рублей в месяц никому не нужна и никто не будет воровать у нее какие-то данные. А когда надежда испаряется и данные все-таки крадут, что-то делать уже поздно.

Защита данных от утечек - Как предотвратить и бороться с утечкой

 

Приведем один из распространенных сценариев, по которому у вас могут украсть данные. Злоумышленники взламывают CRM и получают доступ к базе данных клиентов. Потом делают сайт точь-в-точь как у вас и регистрируют похожий адрес электронной почты. А затем рассылают клиентам предложение, от которого нельзя отказаться: например, письмо с уведомлением о скидках в 60%. Ваши клиенты переходят на сайт и оплачивают товары, думая, что покупают их у вас. Злоумышленники получают прибыль, клиенты теряют деньги, вы тонете под волной негатива. Это называется фишингом, но вам от этого не легче.

Еще один возможный сценарий — размещение ссылки на вредоносный сайт. Так же, как и в предыдущем случае, злоумышленники взламывают CRM и получают email ваших клиентов. А потом рассылают им письма со ссылкой на вредоносный сайт, который крадет пароли пользователей. Злоумышленники получат пароли и смогут, например, украсть деньги с электронных кошельков людей. А вы получите тонну негатива, потому что письмо будет якобы от вас.

Пройдемся по статистике. Cybersecurity Ventures в ежегодном официальном отчете указали, что каждые 14 секунд во всем мире происходят атаки хакеров. К 2021 году они будут происходить каждые 11 секунд, а общий ущерб от киберпреступности достигнет 6 триллионов долларов в год. А специалисты компании InfoWatch рассказали, что только за прошлый год в сеть утекло более 14 млрд конфиденциальных записей. При этом в России число утечек возросло на 40% по сравнению с прошлым годом, тогда как во всем мире только на 10%.

В прошлом году в России было много скандальных утечек — в сеть «уплывали» базы данных 30 млн автовладельцев, 20 млн налоговых деклараций, 9 млн абонентов «Билайна». И если вы не хотите, чтобы очередная хакерская атака или человеческое недомыслие коснулись вас, читайте дальше. Если продолжаете уповать на «авось», посмотрите хотя бы информацию о том, что делать в случае утечки данных.

Как предотвратить утечку коммерческих данных

Профилактика — наше все. Грамотная защита от утечек данных поможет предупредить негативные последствия, которые могут серьезно повлиять на ваших клиентов и репутацию.

Предотвращаем внутренние утечки данных

Внутренняя утечка данных — это когда ваши же сотрудники сливают информацию конкурентам или забирают с собой базы клиентов или другие данные, когда увольняются. Есть несколько способов защиты от таких недобросовестных работников.

Используйте NDA. Так называют договор о неразглашении коммерческой тайны. Сначала нужно ввести режим защиты коммерческой тайны и четко прописать, что относится к таким сведениям. А затем подписать с каждым сотрудником NDA и обязательно получить подписи работников на документах, относящихся к коммерческой тайне. А в договоре прописать ответственность работников за нарушение. Это чуть умерит пыл предприимчивых дельцов — никто не захочет таскаться по судам и выплачивать 1–2 миллиона рублей компенсации за то, что скинет какие-то данные «на сторону».

Установите DLP-систему. Это технически сложное автоматизированное решение — специальное программное обеспечение, отслеживающее попытки передачи информации посторонним. На корпоративный сервер и все устройства в офисе устанавливают программу, которая в режиме реального времени проверяет все операции и блокирует подозрительные. Например, если сотрудник попытается отправить таблицу Excel с контактами клиентов с корпоративной почты на личную. DLP-система остановит отправку и сразу уведомит о нарушении того, кто ответственен за защиту от утечек данных.

Единственный недостаток DLP-системы — то, что ее невозможно установить на все личные устройства сотрудников. Они смогут сфотографировать что-то на смартфон или записать разговор на диктофон.

Разграничивайте доступ. Один из самых простых способов обезопасить ценную информацию — разграничивать доступ к данным и давать сотрудникам только то, что им нужно для работы. Например, передавать менеджеру не всю базу, а только контакты клиентов, которых он ведет. Или настроить уровни доступа к документации — это можно сделать в CRM-системе.

Наблюдайте за сотрудниками. Это можно сравнить с DLP-системами, но на самом деле решение работает по-другому. Вы просто устанавливаете в офисе видеонаблюдение и прослушивающие устройства, а на ПК — программы для контроля всего, чем занимается сотрудник. Например, ПО для записи всего происходящего на экране. А потом можно самому просматривать и прослушивать записи, чтобы узнать о факте утечки. Это долго и дорого, но подобное решение можно использовать в качестве одного из этапов защиты. Сотрудникам будет психологически некомфортно красть данные, если они знают, что за ними наблюдают.

Защита данных от утечек - Наблюдение за сотрудниками

 

Дайте мотивацию. Еще один простой способ защитить коммерческие данные компании — мотивировать сотрудников на нормальную работу. Не важно чем: зарплатой, премиями, комфортными условиями труда, перспективной карьерного роста. Если сотрудники будут полностью отдаваться работе в вашей компании, у них не возникнет мысли навредить ей. Построить такую команду мечты очень сложно, но возможно.

Эти способы защиты сработают лучше, если использовать их комплексно. Например, создать нормальные условия для сотрудников, подписывать с ними NDA и дополнительно установить DLP-систему.

Предотвращаем внешнюю утечку

Внешние утечки — это когда кто-то извне ворует информацию, не связываясь с вашими сотрудниками. Например, взламывает почту или получает доступ к CRM, ворует документы из офиса. С этим тоже можно и нужно бороться.

Устанавливайте сложные пароли. Это — самое простое решение, которое часто игнорируют. И делают пароли типа «12345». Их подберет даже школьник, который играючи попытается получить доступ к почте, указанной на вашем сайте. Поэтому используйте генераторы паролей. И храните их там, куда очень сложно добраться: лучший вариант — в вашей голове.

Используйте корпоративную почту. Бесплатные почтовые агенты — не зло, но они не подходят для работы с важными коммерческими данными. Их легко взломают, особенно если этим займется хороший специалист. Купите домен и заведите корпоративную почту, арендуйте почтовый сервер у провайдера или используйте платные агенты.

Включите двухфакторную аутентификацию. Двухфакторная аутентификация — это когда чтобы зайти в систему, надо указывать не только пароль, но и другой способ идентификации, например одноразовый код из смс, уведомление на экране смартфона, отпечаток пальца. Такую защиту можно установить на почту и в некоторые CRM-системы и сервисы. Это серьезно усложнит жизнь любителям красть коммерческие данные.

Установите антивирус. Еще одно простейшее решение, которое часто игнорируют. Не скупитесь на хороший антивирус — установите его на все ПК в офисе. Он перехватит вирусы, которые «подсматривают» пароли или крадут ценные данные напрямую.

Уничтожайте документы. Безвозвратно удаляйте уже ненужные документы с серверов. А если работаете и с бумажными документами, содержащими ценные сведения, не поскупитесь на шредер. Если просто выкинуть их в мусорку, любой сможет достать их из ближайшего мусорного бака. А особо упорные — еще и из мусоровоза.

Защита данных от утечек - Уничтожение документов

 

Используйте СКУД. Так называют системы контроля и управления доступом на предприятиях. Они защитят офис или производство от проникновения посторонних людей. Одно из самых простых и незатратных решений — установить шлагбаум на проходной и выдать сотрудникам именные пропуска. А еще установить видеонаблюдение: и на проходной, и на всей территории предприятия.

Подумайте о средствах сетевой защиты. Рассказывать о них можно много и долго. Если коротко, они нужны тем, кто хранит важные сведения онлайн. Среди таких есть системы контроля трафика, WAF, межсетевые экраны. У них общая цель — обеспечить легкий обмен информацией внутри компании, но полностью защитить ее от любых проникновений извне.

Используйте IRM. Это — контейнеризация каждого документа, содержащего ценные для вас сведения. Работает это так: к каждому документу привязывается информация о ключах шифрования и доступе. Даже если его украдут (например, на флешке), не смогут прочитать на своем устройстве. Внедрение такого решения обойдется дорого, но оно того стоит, если у вас на руках очень важная информация.

Сделайте шифрование дисков на ноутбуках и планшетах работников (FDE). Без специальных ключей доступа пользоваться устройством будет невозможно — даже если его украдут, все данные будут надежно защищены. Полное шифрование файловой системы особенно актуально для ноутбуков – это позволяет защитить данные от случайной кражи: например, если сотрудник забудет рабочий ноутбук в кафе или аэропорту. Подобными решениями пользуются крупнейшие корпорации типа NASA.

Вы уже догадались, что лучше использовать комплексные решения? Чтобы защита от утечек данных работала, просто установить надежный пароль недостаточно.

Что делать, если утечка уже произошла

Фактически вы ничего не сможете сделать — данные уже в руках у злоумышленников. Если вы пытались как-то их защитить, можно, например, подать на бывшего сотрудника в суд. При грамотно составленных документах и хорошем юристе вы выиграете дело и, возможно, даже сможете взыскать ущерб. Это — лучший для вас сценарий при внутренней утечке данных.
Если произошла внешняя утечка или не можете найти виновного — в принципе не знаете, к кому попали данные — остается только смириться. Конечно, можно попытаться что-то сделать: запустить в СМИ утку о том, что украденные данные бесполезны, объявить награду за поиск похитителя или предложить ему вернуть информацию за хорошее вознаграждение. Но далеко не факт, что хоть что-то из этого сработает. А кроме того, обычно все это — игры птиц крупного полета: компаний с многомиллионным ежемесячным оборотом. Малому бизнесу чаще проще смириться, чем тратить нереальные деньги на то, чтобы вернуть данные и не допустить их распространения и использования.

Что о защите коммерческих данных говорят предприниматели

Мы решили узнать, что о защите от утечек данных думают российские предприниматели. И получили интересные мнения.

Галина Камышанская, руководитель компании 42Clouds, рекомендует обращаться к надежным провайдерам. И дает рекомендации по выбору фирмы, которой можно довериться:

«Есть три нюанса, на которые надо обращать внимание.

Триал период. Тестовый период должен быть не менее недели, чтобы у вас была возможность проверить скорость работы, систему бекапирования и скорость реакции технической поддержки.

Техническая поддержка. Это один из ключевых показателей, на которые стоит обратить внимание после стоимости и скорости работы. В обязательном порядке во время тестового периода проверьте, отвечает ли следующим требованиям служба хотлайна:
— Скорость первого ответа — не более 60 сек. От этого зависит, насколько быстро специалисты реагируют на запросы и как быстро смогут устранить неполадки и защитить данные.
— Круглосуточная поддержка. Это одно из обязательных условий для безопасного хранения ваших данных. Форс-мажорные ситуации могут возникать как на стороне клиента, так и на стороне провайдера. Крайне важно своевременно отреагировать и устранить причину возникновения во избежания потери данных.
— Скорость решения задачи не более 1-х суток. Допускается скорость решения до 2-х суток, если задача касается ведения учета в вашей учетной системе. Но провайдер должен обязательно уведомить клиента, что на решение проблемы потребуется дополнительное время.
— Система бекапирования. Попросите предоставить вам копию вашей базы за позапрошлый день. Таким образом вы сможете проверить, действительно ли у них работает система бекапирования, и точно ли в случае форс-мажоров ваши данные останутся целыми. Не у всех провайдеров делаются бекапы на тестовом периоде, поэтому точно проверить это можно будет в первый оплаченный месяц.

Дополнительные инструменты защиты. Не у многих провайдеров есть индивидуальные средства защиты данных клиента. Как пример, в компании 42Clouds создается специальная «Кнопка экстренного отключения». Она очень помогает, когда к клиенту приходят «маски-шоу» с целью забрать данные. В таких случаях с помощью смс-сообщения или фактической кнопки на столе (по желанию клиента) тушится сетевой интерфейс. Сам сервер продолжает работать, но доступ к нему закрывается. Таким образом вся информация остается целой и невредимой, но доступ к ней можно получить только от самого клиента»

Илья Горбаров, СЕО digital-агентства «Атвинта», рассказал о самых простых способах защиты от утечки данных, которые часто игнорируют:

«Когда речь заходит про защиту коммерческих данных компании, нужно четко понимать, что является слабым звеном. Чаще всего слабым звеном оказываются люди. От их внимательности зависит безопасность ваших данных, а порой и коммерческий успех компании.

Давайте говорить про информацию, с которой мы имеем дело каждый день. Отбросим сложные темы типа перехвата трафика и взлома серверов специально обученными людьми.

Начинать нужно с простого — это пароли. Если у вас CRM, в которой хранятся данные тысяч ваших клиентов, и у руководителя отдела продаж с полным доступом пароль qwe123asd, у меня для вас плохие новости. Подобрать или подсмотреть такой пароль не составляет труда.

Важно не забывать про уволенных сотрудников, которых нужно лишать прав доступа к клиентской базе до увольнения, чтобы не было соблазна прихватить ее с собой. Если у вас база клиентов хранится в Excel или на Google Диске, вместо облачной CRM с разграничением прав доступа, у меня для вас тоже плохие новости. Скорее всего, ее копия уже есть у менеджеров.

Люди должны обладать минимальной компьютерной грамотностью, чтобы не открывать фишинговые сайты и подозрительные файлы в почте. У нас был случай, когда через зараженный компьютер сотрудника злоумышленники получили доступ к рекламному кабинету в Facebook и слили приличный бюджет до того, как Facebook успел его заблокировать. Деньги нам не вернули, а личный кабинет пришлось заводить новый. Потеряли мы порядка 50 000 рублей, хватило бы на зарплату среднего сотрудника.

При работе с документами Google очень важно не лениться и давать доступ не по ссылке, а расшаривать его по почте. И не забывать вычищать оттуда уволенных сотрудников. Наша невнимательность однажды привела к тому, что таблица с финансовыми данными оказалась доступна по ссылке. Узнал я об этом от знакомого, которому ее показали. Информация была за прошлые годы, но было неприятно.

И не забудьте поменять пароль по-умолчанию у вашего Wi-Fi роутера, админки сайта и… IP-видеокамер наблюдения. Поищите видео по запросу «взлом IP камер пранк», и у вас отпадут вопросы, зачем это делать»

А вы защищаете коммерческие данные компании или надеетесь на «авось»? Поделитесь своим мнением и лайфхаками по защите в комментариях!

Блог для владельца бизнеса

Подпишитесь и раз в месяц получайте на почту подборку полезных материалов и кейсов для роста продаж, автоматизации бизнеса, ведения финансового и управленческого учета

0 Комментариев

Оставить комментарий