Как решить проблему утечек в компании?

«С нами такого никогда не случится, потому что это всегда был вопрос доверия» («That won't happen to us, 'cause it's always been a matter of trust»). Этой строчкой из хита Билли Джоэла 1986 года можно легко описать подход, которым в течение последних пяти лет пользуются многие организации для защиты конфиденциальных личных данных, находящихся в их распоряжении.

Согласно данным британской организации Information Commissioner’s Office, из-за десятикратного увеличения числа случаев утечки данных за последние пять лет уверенность общества в способности частных компаний и государственных организаций защитить персональную информацию резко снизилась. В ходе опроса более чем 2000 граждан Великобритании в декабре 2012 года половина респондентов заявили, что их доверие к государственным и общественным организациям снизилось из-за постоянных утечек персональных данных, а 44% отметили снижение доверия к частным компаниям. Вполне естественно, что мы ожидаем от организаций ответственного отношения к нашим персональным данным.

Кому можно доверять?

На деле большинство людей, чья деятельность связана с обработкой данных, не всегда с должной ответственностью подходят к выполнению своих рабочих задач. В ходе уже упомянутого исследования выяснилось, что 34% сотрудников регулярно отправляют рабочую информацию на свои личные электронные адреса, чтобы продолжить работу вне офиса; 40% опрошенных постоянно проверяют рабочую почту на личных телефонах, планшетах и ноутбуках; 33% переносят рабочую информацию на USB-накопителях без шифрования, а 17% пользуются незащищенными облачными ресурсами, такими как Dropbox.

Более того, 25% респондентов сказали, что делают это вопреки принятой в их компании политике ИТ-безопасности, а еще 23% даже не знали, что именно предписывает политика безопасности их компании. Конечно, в подавляющем большинстве случаев действия сотрудников не имеют злого умысла — они просто хотят работать эффективнее, без потерь данных. К сожалению, такие действия ведут к возрастанию риска. В сегодняшнем деловом и законодательном климате организации не могут позволить себе продолжать поддерживать такой подход к безопасности данных в связи с риском ущерба для репутации и финансов, а также потери доверия.

Итак, каким образом организации могут обрести уверенность в том, что сотрудники ответственно относятся к обработке данных и защищены от таких простых человеческих ошибок, как попадание ноутбука, смартфона или другого личного устройства в чужие руки или ошибка при введении электронного адреса? Как организации доказать своим партнерам, что ей можно доверять?

Для этого необходим двухступенчатый процесс, который объединил бы обучение пользователей в реальном времени и внедрение защитного программного обеспечения, которое пользователь не сможет самостоятельно отключить или как-то повлиять на его работу. Рассмотрим сначала способы предотвращения утечки данных через электронную почту, а затем — методы защиты данных, содержащихся в документах, независимо от того, на каком носителе или устройстве передается или обрабатывается документ.

Утечка данных через электронную почту

В традиционных решениях для предотвращения утечки данных (Data Loss Prevention, DLP) предпринимались попытки решения проблемы с утечкой данных через электронную почту, но они не имели большого успеха. Настройка таких приложений обычно отнимает много времени: программе требуются недели интенсивного самообучения, чтобы «научиться» точно классифицировать конфиденциальные данные и файлы организации. Кроме того, процедуры блокировки и пропускания электронных писем пользователей требуют обязательного участия ИТ-специалистов.

Существует и другой подход, подразумевающий вовлечение пользователей в процесс защиты информации. Он не только способствует повышению осведомленности персонала о правильном использовании электронной почты, но и позволяет DLP-решениям действительно работать на упреждение, предупреждая о возможности утечки данных еще до отправки письма.

Пусть, например, сотрудник организации создает электронное письмо, выбирает адресата и нажимает кнопку «Отправить». DLP-решение должно проанализировать тело письма вместе со всеми вложениями и адресом получателя на соответствие заданным заранее параметрам, позволяющим обнаружить потенциально конфиденциальные данные. Производится поиск определенных ключевых слов в теле письма, например «финансовый», «отчет», «технические условия», «конфиденциально» и т.п. Файловые вложения также анализируются. Если в результате анализа DLP-решение выявляет потенциальную утечку информации, оно отменяет команду отправки письма и выводит всплывающее сообщение, информирующее пользователя о потенциальном риске и предлагающее ему на выбор два варианта действий.

Пользователь может либо отправить письмо вместе со всеми вложениями в исходном виде, либо исправить текст письма или удалить подозрительные вложения. Кроме побуждения пользователя пересмотреть содержимое письма и адрес получателя перед отправкой, DLP-решение выполняет функцию учета действий пользователя, сохраняя контрольный журнал для последующего анализа. Это повышает ответственность персонала и позволяет решить все потенциальные проблемы с утечкой данных до того, как они станут реальностью.

Только для личного пользования

Конечно же, электронная почта — не единственный путь утечки данных. Документы и другие файлы часто бывают разбросаны по разным электронным почтовым ящикам (часто дублируемым на смартфонах), ноутбукам, ящикам веб-почты, облачным ресурсам и сменным носителям. Это умножает вероятность того, что незащищенный конфиденциальный документ будет перехвачен, особенно если учесть, что шифрование всего устройства не всегда возможно.

Традиционно для защиты документов использовались пароли, однако от них нет почти никакого эффекта, так как существуют бесплатные и легко доступные онлайн-инструменты для взлома паролей к файлам. Вместо паролей необходимо использовать криптостойкое шифрование файлов в сочетании со средствами разграничения прав пользователей на доступ к файлам. Этот метод позволяет создавать и защищать документы в разных форматах (таблицы Excel, файлы Word, PowerPoint, Acrobat и др.), назначая разным пользователям и группам пользователей разные права. По умолчанию читать документы должны только уполномоченные на это сотрудники.

Просматривать документы и иметь к ним доступ могут только пользователи с соответствующими правами, назначенными им автором документа или организацией. Например, для определенного круга документов право на их открытие и изменение может быть предоставлено только сотрудникам отдела кадров или бухгалтерии; для этого они должны ввести имя пользователя и пароль, а также использовать корректную программу-клиент на своем устройстве. С некоторыми ограничениями на использование документы могут распространяться и за пределы организации. Они просматриваются либо в облаке (после того, как пользователь зашел в облачную службу, введя соответствующие учетные данные), либо с использованием защищенного клиента на компьютере пользователя или другом устройстве.

Такой двухступенчатый подход к управлению данными и предотвращению их потери перекрывает наиболее широко распространенные пути утечки информации и заставляет сотрудников соблюдать политику безопасности организации, возлагая на них ответственность за свои действия. Кроме того, это дает организациям возможность укрепить доверительные отношения с партнерами. Ведь никогда не стоит забывать, что хорошие деловые отношения всегда были вопросом доверия.

• Комментарии