О чем речь? Утечка информации – это несанкционированное распространение данных. Несмотря на то, что подобная кража всегда имеет негативные последствия для компании, риски ее возникновения практически невозможно снизить до нуля.
Как предотвратить? Тем не менее, это вовсе не означает, что ничего сделать нельзя. Совмещение грамотной кадровой политики, обучения в сфере информационной безопасности, современных средств защиты позволит значительно снизить вероятность утечки.
- Суть утечки информации
- Причины утечек информации
- Типы каналов утечки информации
- 5 признаков уязвимости информации в компании
- Первые действия при обнаружении утечки информации
- 5 принципов информационной безопасности компании
- Профилактика утечек информации
- Программные средства защиты от утечки информации
- 3 примера громких утечек информации
-
Пройди тест и узнай, какая сфера тебе подходит:
айти, дизайн или маркетинг.Бесплатно от Geekbrains
Суть утечки информации
Термин «утечка информации» используется для обозначения бесконтрольного распространения важных сведений за пределы компании, объекта, круга лиц, имеющих разрешение на доступ к определенным данным. При выявлении таких фактов необходимо оперативное вмешательство. Безусловно, лучшим вариантом решения подобных проблем является проведение превентивных мероприятий для предотвращения утечки той информации, которая попадает в категорию «ограниченного доступа».
На данном этапе развития технологий доступны четыре средства для передачи информации: лучи света, физические носители (фото, бумага, магнитные накопители и т.д.), звуковые и электромагнитные волны. Все они выступают компонентами систем связи, включающих в обязательном порядке:
- источник данных;
- ретранслятор;
- канал передачи данных;
- приемник;
- объект, получающий сведения.
При использовании одного или нескольких средств передачи данных, которые перечислены выше, человек может случайно или преднамеренно инициировать процесс утечки информации.
В связи с этим возникает необходимость организации контроля, который позволит сделать процесс передачи данных быстрым, надежным и безопасным. В случае отсутствия необходимого уровня защищенности канала передачи данных, когда сведения транслируются без ведома их источника, его называют каналом утечки информации.
входят в ТОП-30 с доходом
от 210 000 ₽/мес
Скачивайте и используйте уже сегодня:
Топ-30 самых востребованных и высокооплачиваемых профессий 2023
Поможет разобраться в актуальной ситуации на рынке труда
Подборка 50+ бесплатных нейросетей для упрощения работы и увеличения заработка
Только проверенные нейросети с доступом из России и свободным использованием
ТОП-100 площадок для поиска работы от GeekBrains
Список проверенных ресурсов реальных вакансий с доходом от 210 000 ₽
Причины утечек информации
Самые распространенные причины утечки информации:
- Недостаточная защищенность чужой информации доверенной стороной.
- Неумелое обращение с системами хранения данных (технические причины).
Такие причины имеют место при наличии условий, допускающих утечку:
- Недостаточный уровень компетенции сотрудников, которые работают в сфере защиты информации, их недопонимание важности сохранности данных, а также безответственное отношение к своей деятельности.
- Использование нелицензионного ПО или не прошедших аттестацию программ по защите клиентов и личных данных.
- Недостаточный контроль над средствами защиты важных сведений.
- Высокая текучка кадров, задействованных в данной сфере деятельности.
Если произошла утечка информации, то вина за это лежит на работниках и руководителях организации, которая должна была заниматься ее защитой. Атаки злоумышленников можно предотвратить при соответствующем уровне компетентности и профессионализма сотрудников. Отметим, что существуют ситуации, на которые организация, отвечающая за сохранность данных, повлиять не может:
- Глобальные катастрофы.
- Природные катаклизмы.
- Неполадки на техстанциях, выход аппаратуры из строя.
- Неподходящий климат.
Типы каналов утечки информации
Каналы утечки информации — варианты и направления перемещения данных из системы; нежелательная цепочка информационных носителей, один или несколько элементов которой являются нарушителями прав на обработку данных или относятся к разряду специальной аппаратуры для их хищения. Выступают в качестве основного компонента в системе защиты данных и являются фактором информационной безопасности.
Приведем примеры косвенных каналов утечки информации:
- Пропажа, кража или утеря информационного накопителя, исследование неудаленной корзины.
- Прослушивание, дистанционные снимки.
- Перехват электромагнитных устройств.
Примеры прямых каналов утечки информации:
- Человеческий фактор. Утечка данных из-за несоблюдения режима коммерческой тайны.
- Непосредственное копирование данных.
Каналы утечки данных разделяют по физическим параметрам и особенностям функционирования:
- звуковые – прослушивающие устройства, запись, подслушивание;
- звуко-электрические — получение данных посредством звуковых волн с последующей пересылкой через электрические сети;
- вибро-звуковые — сигналы, которые появляются в результате преобразования звуковых волн при их воздействии на элементы строительных конструкций или инженерных систем;
- оптические: фото и видеосъемка, визуальное наблюдение;
- электромагнитные — получение информации путем снятия индуктивных наводок;
- радио- и электро-сигналы от встроенных подслушивающих систем;
- материальные — предоставление данных на бумаге или других информационных носителях.
Каналы технической утечки информации в зависимости от вида систем связи разделяются на:
- Электромагнитный
Преобразованные информационным сигналом электромагнитные излучения передающих средств связи могут быть перехвачены мобильной аппаратурой служб радиоразведки и передаваться в специальный центр для обработки и расшифровки данных. Такой канал пользуется большой популярностью для подслушивания разговоров по мобильным устройствам или обычному телефону.
- Электрический
Этот канал также используется для перехвата разговор по телефону. В процессе подслушивания вся информация сразу может записываться на специальные устройства и потом передаваться по радиосвязи в центр для ее обработки и анализа.
- Индукционный
Канал для перехвата данных, который не требует прямого подключения к системам связи. Информационные элетросигналы при прохождении по проводам формируют электромагнитное поле, что создает условия для перехвата с помощью индукционных датчиков (используются для съема сигналов с симметричных кабелей высокой частоты).
Сигналы, перехваченные датчиками, усиливают, разделяют частотные каналы и информацию, которая передается по отдельным каналам, и сохраняют на записывающем устройстве или записывают высокочастотный сигнал на специальное оборудование.
Технические каналы утечки информации бывают естественными и искусственно созданными. Первый вид появляется в ходе обработки данных специальными средствами (электромагнитные каналы) в результате формирования побочных излучений.
Кроме того, естественные каналы появляются из-за наводок информационных сигналов в проводах электрического питания устройства обработки данных, соединительных линиях дополнительного оборудования и систем (ВТСС), а также в сторонних проводниках (низковольтные сигналы утечки данных).
Второй вид каналов утечки информации появляется в результате внедрения в системы информационной обработки электронных приспособлений, обеспечивающих перехват данных, или является результатом высокочастотного облучения средств информационной обработки.
5 признаков уязвимости информации в компании
- Не сформирована корпоративная концепция в сфере безопасности
Отсутствие продуманной концепции корпоративной безопасности и мер по реализации режима охраны коммерческой тайны несет потенциальную угрозу утечки информации. Разработка политики компании в этой сфере дает понимание каждому сотруднику, как работает система и что он должен делать для контроля передачи данных.
- Высокий уровень текучести кадров или сокращение
В перечне следствий кризисных явлений, которые мы наблюдаем в последнее время, особое место занимают высокий уровень ротации специалистов и массовые сокращения работников на предприятиях. Такая ситуация создает угрозу утечки информации. В состоянии недовольства своим увольнением сотрудники могут способствовать неконтролируемому вытеканию конфиденциальных данных.
Высокий уровень кадровой текучести негативно влияет на мотивацию специалистов. Компании предпринимают разные шаги для решения таких проблем. Прежде всего, они пытаются усилить контроль увольняющихся работников и сотрудников, понижаемых в должности или заработной плате. Для этого используется специальное программное обеспечение (к примеру, SecureTower).
Кроме того, проводятся работы разъяснительного характера в трудовых коллективах. Суть таких мероприятий состоит в напоминании об ответственности в случае разглашения коммерческой тайны, которая, как правило, предусмотрена трудовыми договорами. Понимание работником последствий таких действий часто помогает избежать утечки информации.
- Соцсети, мессенджеры, email
Развитие интернет-технологий оказывает непосредственное влияние на поведение сотрудников компаний на рабочем месте. Сегодня большинство коммуникаций совершаются с использованием различных чатов и социальных сетей. Работники, которые не имеют отношения к интернет-среде, встречаются все реже. Всего лишь десятилетие назад работа онлайн была уделом квалифицированных кадров, поэтому и угроз утечки информации было значительно меньше.
Теперь же сотрудники стали более подготовленными, а риски для информационной безопасности значительно возросли. Социальные сети, электронная почта и мессенджеры сегодня становятся основными каналами утечки информации. Ситуацию, когда они не контролируются на предприятии, можно сравнить с автомобилем, который стоит на улице с включенным зажиганием без присмотра.
- Деловые поездки и командировки
На предприятиях есть работники, которые много времени проводят в командировках, часто организуют встречи с партнерами, поставщиками и клиентами. Это еще одна угроза утечки информации. На деловые встречи и в командировки сотрудники могут брать с собой корпоративные планшеты или ноутбуки для организации презентаций и решения других задач. Все это может привести к утечке конфиденциальной информации с серьезными последствиями для бизнеса.
После возвращения такого сотрудника специалист службы безопасности может проверить, имела ли место утечка информации, составляющей коммерческую тайну, или были нарушены требования корпоративной безопасности. К примеру, работник в ходе деловой поездки совершил запрещенную внутренними инструкциями отправку документов на USB-накопитель.
- Неконтролируемый оборот документов на предприятии
Необходимо принять меры по ограничению доступа к важной информации тех сотрудников компании, должностные обязанности которых не предполагают работу с такими данными. На предприятии должен внедряться контроль документации, позволяющий предотвратить ее попадание к посторонним. Собственники бизнеса и руководители фирм не всегда имеют представление о том, какие последствия их ожидают в том случае, если документация их предприятия окажется в руках определенных лиц.
Здесь перечислен далеко не полный список признаков наличия угроз утечки информации, требующих внимательного отношения со стороны руководителей компаний. Если, изучая его, вы вспомнили о фактах из жизни своей фирмы, возможно, ваше предприятия уже находится в зоне риска. Значит, нужно срочно предпринять меры по укреплению информационной безопасности.
Первые действия при обнаружении утечки информации
При выявлении подтвержденного случая утечки информации можно говорить о необходимости реформы внутренней системы информационной безопасности. Нужно проанализировать некоторые характеристики инцидента. Это поможет устранить последствия утечки информации и предотвратить такие факты в будущем. Следует выяснить:
- Какие данные и в каком объеме потеряли конфиденциальность.
- Когда произошла утечка и сколько времени прошло до ее выявления. Если о таком факте вы получаете сведения от сторонних лиц, можно говорить о наличии существенных «пробоин» в системе безопасности информации.
- Кто допустил утечку данных или являлся ее организатором, какие преследовал цели.
- Кто и каким образом воспользовался конфиденциальными данными.
Читайте также!
После установления всех обстоятельств инцидента следует быстро исправлять ситуацию. Важно не просто устранить последствия утечки информации, а сделать все необходимое, чтобы такая ситуация не повторилась.
Определение размеров утечки
О факте хищения данных можно узнать от работника компании, который его заметил, или с помощью сигналов специального программного обеспечения. В первом случае для устранения последствий инцидента нужно найти виновника и рассказать ему, какие меры наказания могут быть приняты за создание угрозы информационной безопасности. После этого необходимо предпринять меры для дополнительной защиты канала утечки данных.
Теперь рассмотрим ситуацию, когда факт хищения информации был установлен системой DLP, осуществляющей контроль информационных каналов. Аналитический функционал системы обеспечивает фиксацию всех перемещений данных. При этом возможности обойти такой контроль нет. Система DLP способна выявить нарушения, даже если работник будет отправлять данные скриншотами в личной переписке со своего смартфона. Злоумышленник будет выявлен и понесет соответствующее наказание.
Напоминаем, что хищение информации является правонарушением, за которое виновник может быть приговорен к лишению свободы. Примеры таких ситуаций, которые происходят с предприимчивыми людьми, не знающими норм закона, встречаются в разных странах мира.
Поиск виновных
Утечка данных может быть преднамеренной или непреднамеренной. Рассмотрим потенциальные варианты случайной утери конфиденциальной информации:
- Работник, не подумав, открыл е-мейл со спамом, перешел по вредоносной ссылке, что позволило вирусной программе загрузиться на рабочем ПК. В результате произошла утечка части базы данных.
- Из-за редкой смены паролей или использования одного пароля для нескольких сервисов мошенники получили доступ к конфиденциальным данным.
- Работник отправил важную информацию, используя незащищенную вай-фай сеть в кафе, в результате чего она попала в открытый доступ.
Преднамеренная утечка информации отличается продуманным характером. При этом, такие случаи можно отслеживать и пресекать. Рассмотрим некоторые варианты таких утечек:
- Работник записал важную информацию на флэшку или дисковый накопитель, а затем вынес ее за пределы организации.
- Сотрудник осуществлял передачу секретных данных через личный мобильный телефон или планшет посторонним лицам, объясняя это тем, что на его персональные устройства не распространяются требования информационной безопасности.
В каждом из описанных выше примеров выявление виновных может обеспечить правильно настроенная система безопасности информации.
Устранение последствий утечки данных
После установления факта утечки информации следует предпринять ряд первоочередных мер:
- точно установить каналы, где произошла потеря данных, что обезопасить их в будущем;
- выявить виновных и применить к ним соответствующее наказание;
- провести стабилизационные мероприятия в соответствии с последствиями утечки информации: сообщить об инциденте партнерам, клиентам, а в особых случаях прокомментировать ситуацию в СМИ.
5 принципов информационной безопасности компании
- «Принцип системного подхода»
К вопросу защищенности информации от утечки следует подходить комплексно, начиная с отбора сотрудников, их обучения и заканчивая внедрением правил работы (сейчас речь не о технических нормативах, а больше о бытовых, к примеру, «важную документацию на рабочем столе нельзя складывать лицевой стороной вверх»).
На предприятии необходимо внедрить нормативы общения по телефонам, порядок идентификации посетителей и тех, кто звонит сотрудникам компании. Уже после этого можно переходить к разработке системы информационной безопасности, включающей сеть, компьютерное оборудование и технологии.
- «Принцип информационного шума»
Не следует быть полностью уверенным в собственной защищенности. Не стоит доверять важные и конфиденциальные данные различным носителям, облачным сервисам, шифрам и т.д. Важно понимать, что корпоративная информация может попасть посторонним лицам, поэтому она должна представляться в такой форме, чтобы несведущему человеку было сложно в ней разобраться.
- «Принцип разделения информации»
В организации только руководитель должен знать всю информацию о защите информации от утечки. В этом случае злоумышленнику придется собирать обрывки данных из большого числа источников.
- «Принцип раскладывания по разным корзинам»
Пробуйте хранить и пересылать данные, используя несколько каналов. К примеру, никому не отправляйте одновременно логин и пароль. Пароль можно отправить по внутренней защищенной почте, а логин сообщить лично по телефону.
- «Принцип здоровой паранойи»
Адекватная паранойя может свести утечку данных на нет. Нужно подозревать всех, не стоит думать, что современные технологии могут все. Помните, что любая информация может попасть посторонним. Попробуйте подстроить «учебную» утечку информации, а потом проследить за действиями персонала и определить виновника.
Профилактика утечки информации
Существует много способов, которые фирма может использовать для минимизации риска утечки данных. Приведем ряд действий, которые позволят повысить уровень информационной безопасности:
- Внедрение концепции безопасности
Чтобы снизить риск утечки информации, важно разработать и внедрить политику в сфере безопасности. Кроме защиты конфиденциальных данных, она должна обеспечивать защищенность учетных записей, имеющих доступ к ним. Это связано с тем, что и аккаунты, и информация – это два фактора, которые всегда присутствуют в любом примере утечки информации.
- Принцип минимизации привилегий
Это один из наиболее важных моментов в вопросах предотвращения утечки информации. Принцип минимизации привилегий предполагает, что все работники (аккаунты), включая и привилегированных, имеют уровень доступа исключительно в соответствии с должностными функциями.
Другими словами, особенно это касается аккаунтов с привилегированным доступом, необходимо исключить возможность доступа к данным при отсутствии в этом служебной необходимости. Если каждый сотрудник получает доступ только к необходимым ему ресурсам, существенно снижаются риски компрометации аккаунтов.
- Корпоративная политика паролей
Если вы внедрите корпоративный режим контроля паролей, то ваша компания получит надежную защиту от атак на всех уровнях авторизации. Необходимо внедрить систематический мониторинг и отключение скомпрометированных или слишком простых паролей. Это минимизирует возможности для взлома или подбора паролей с использованием программных или ручных способов.
Если же вам не нравятся требования по частой смене паролей, рекомендуем применить двухфакторную аутентификацию и использование в паролях минимум 14 знаков. При этом нужно предварительно проверить базу утечек. Если здесь обнаружен установленный пароль, его нужно изменить, в противном случае он может использоваться постоянно.
- Повышение квалификации сотрудников
Этот шаг можно считать самым важным. Компания обязана направлять свои ресурсы на обучение персонала. К примеру, организуйте проведение курсов «Как быстро понять, что вас атакуют мошенники». Такие мероприятия должны быть обязательными для работников. Если вы решите потратить немного средств на курсы повышения квалификации, то они гарантированно окупятся с торицей. Если обучение поможет избежать хотя бы одной утечки информации, ваши инвестиции уже будут оправданными.
Программные средства защиты от утечки информации
Комплексные программные средства защиты от утечки информации предназначены для обеспечения безопасности всего информационного периметра. С их помощью можно обеспечивать сохранность данных в большинстве случаев, включая кибератаки и деятельность инсайдеров. В сфере информационной безопасности применяются следующие виды программных средств:
- программы анализа контента;
- криптографической защиты;
- DLS-системы.
Отдельно следует рассмотреть программы для анализа и контроля контента. Такие средства обеспечивают фильтрацию трафика, который передается на сторонние серверы. Их размещают между внутренними сетками компаний и выходами в глобальную сеть. Средства контентного анализа осуществляют обработку данных, разбивая их на служебные области, внутри которых информацию разделяют по критериям, заданным отделом безопасности.
Наиболее простой метод предполагает определение пометок «конфиденциально» или «для служебного пользования». При этом отправляемое сообщение должно шифроваться либо преобразовываться в графические или аудио файлы методами стеганографии.
Криптографическое ПО обеспечивает шифрование информации на жестких и переносных накопителях, в пакетах данных, отправляемых по каналам связи. Ключи от шифра находятся на отдельных носителях, которые надежно защищены. В этом случае после хищения диска злоумышленники не смогут расшифровать защищенную информацию. К описанному способу Microsoft предлагает дополнительный вариант защиты, когда дешифрацию данных можно осуществить только при наличии соответствующих пользовательских прав.
Такие мероприятия проводятся с использованием специального оборудования. Система защиты от утечки информации предполагает организацию пропускного режима на подконтрольном объекте, наличие срытых устройств, выявляющих электромагнитные излучения от различных посетителей, включая клиентов и представителей ремонтных компаний. Важно предотвратить угрозу внедрения в охраняемой зоне закладного оборудования, перехватывающего аудио информацию.
Обеспечить максимальный уровень защиты от утечки информации может лишь комплексный подход с применением новейших технических средств и организационных мер.
3 примера громких утечек информации
«Яндекс.Еда»
Какая информация была раскрыта: имя, фамилия, контактный телефон, адрес поставки, комментарии и дата формирования заказа.
Актуальность информации: июнь 2021 — февраль 2022 года.
Количество: около 50 млн. заказов, 6,9 млн. контактов заказчиков.
Когда появились данные об утечке: 27.02.2022.
Как отреагировала компания: по факту утечки данных «Яндекс.Еда» сделала сообщение 01.03.2022, в котором указано, что ситуация произошла из-за недобросовестных действий работника компании.
Уже 22.03 в свободном доступе в сети интернет появилась интерактивная карта с данными пользователей этого сервиса. В конце весны к этой информации подтянули сведения из реестров ГИБДД, СДЭК, Wildberries, «Билайна», ВТБ, «ВК» и ряда других фирм. Но в данном случае появление данных уже не было связано с утечкой информации. Правонарушители просто подтянули данные из различных источников.
Читайте также!
Клиенты сервиса «Яндекс.Еда» направили 2 коллективных иска. В них было выдвинуто требование по моральной компенсации в размере 100 000 руб. каждому пользователю. В соответствии с судебным решением, которое было принято в апреле, сервис по факту утечки данных был оштрафован на 60 тыс. руб. В середине лета еще один админпротокол был составлен Роскомнадзором.
Здесь предусматриваются штрафные санкции в размере от 60 до 100 тыс. руб. для компании «Яндекс.Еда». В августе по факту утечки данных и последующего разглашения персональной информации было возбуждено уголовное дело Следственным комитетом РФ.
Delivery Club
Какая информация была раскрыта: имя, контактный телефон, адреса доставки, е-мейл, данные заказа, цена, дата и время его оформления, IP-адрес.
Количество: 2,2 млн. заказов.
Актуальность информации: октябрь 2019 — июль 2021 года.
Когда появились данные об утечке: 20.05 и 10.06.2022.
Как отреагировала компания: Телеграм-канал «Утечка информации» сообщил, что конфиденциальные данные клиентов компании Delivery Club в два этапа появились в открытом доступе. Первые данные объемом 1 млн. строк с были опубликованы в конце весны, а затем примерно такое же количество информации появилось через месяц. Компания подтвердила утечку информации и сообщила о проведении собственного расследования.
СДЭК
Какая информация была раскрыта: ID клиента, контактный телефон, имя, фамилия, е-мейл, почтовый адрес.
Количество: десятки млн. клиентов.
Актуальность данных: нет информации.
Когда появились данные об утечке: 26.02.2022 года и 13.06.2022.
Как отреагировала компания: сервис СДЭК сообщил о двух случаях утечки информации с данными клиентов. Первый связан с хакерской атакой в конце зимы 2022 года. Были раскрыты сведения в размере 466 млн. строк (ID пользователей и контактные номера) и 822 млн. строк (фамилия, имя, е-мейл). По мнению специалистов из Infosecurity в результате утечки информации были раскрыты конфиденциальные данные примерно 19 млн клиентов сервиса.
В конце весны похищенные сведения появились в открытом доступе параллельно с данными «Яндекс.Еды», ГИБДД, ВТБ, а в начале лета клиенты СДЭК оформили коллективный иск.
Вторая порция данных пользователей СДЭК была раскрыта уже в середине лета. В этом файле было около 25 млн. контактных данных клиентов. Сервис сообщил о проведении внутреннего расследования, но не предоставил информации о причинах утечки информации.
на курсы от GeekBrains до 01 декабря
Рекомендуем провести мероприятия по предотвращению утечек информации в будущем. Чтобы предупредить недобросовестные действия, нужно «под подпись» уведомить работников компании об ответственности за передачу конфиденциальных данных. Следует организовать обучение трудового коллектива нормам информационной безопасности. Это необходимая мера для защиты от фишинга и непреднамеренной передачи информации через спам и аналогичные каналы.
Интересный материал, спасибо.