Цифровизация бизнес-процессов, развитие электронных торговых площадок и социальных медиа, рост роли больших данных бросает компаниям новые вызовы.
Бизнес в цифровой среде требует все более серьезной защиты от внешних и внутренних угроз. Зачастую главный источник потенциального риска утечек данных находится внутри компании. По данным опроса компании Ernst & Young (EY), 77% респондентов в России (и столько же во всем мире) считают наиболее вероятным источником киберугроз неосмотрительных сотрудников.
Как отмечают эксперты PricewaterhouseCoopers во «Всемирном обзоре экономических преступлений», например, в секторе финансовых услуг на киберпреступления приходится 38% от всех экономических преступлений.
Внутренний источник риска
В последнем исследовании аналитического центра InfoWatch отмечается, что 60,5% утечек критически важных данных в компаниях происходит по вине их работников. За первое полугодие 2018 года бизнес потерял в три раза больше данных от действий инсайдеров, чем от хакерских атак. В мировой практике ущерб компаний в результате утечек составляет в среднем от $1,2–$1,77 млн (Бразилия и Индия соответственно) до $4,67–7,91 млн (Германия и США соответственно), отмечается в совместном исследовании американской IBM Security и Ponemon Institute.
Согласно отчету Solar JSOC, за первое полугодие 2018 года доля инцидентов нарушения информационной безопасности, произошедших по вине собственных сотрудников, составила 42,1%. Исследователи из компании «Ростелеком-Solar» отмечают, что этот показатель в последние два года практически не меняется — в пределах от 43,4% в первом полугодии 2017 года до 48,2% во второй половине 2017 года.
В InfoWatch за этот же период зафиксировали 1039 случаев утечки конфиденциальной информации — на 12% больше, чем годом ранее. Для сравнения — число инцидентов, связанных с внешним воздействием, сократилось почти на 7%. В результате утечек пострадали более 1,5 млрд записей данных, включая персональные и платежные. Именно эти типы информации составляют и наибольшую долю (90%) от всего объема внутренних угроз. «Утечки, произошедшие в результате деструктивных действий или бездействия персонала, по своей природе несут гораздо более высокие риски, чем утечки из-за внешних атак», — говорит аналитик InfoWatch Андрей Арсентьев. К тому же и объем данных, скомпрометированных в результате внешнего воздействия за тот же период, втрое меньше (0,56 млрд записей).
Данные утекают из организаций по самым разным каналам, однако преобладает сетевой — 70% всех инцидентов за первое полугодие 2018 года. Для сравнения, на офлайновый формат (бумажные носители) приходится лишь около 10% умышленных утечек. Наиболее заметное количество утечек зафиксировано в высокотехнологичных компаниях (21,3%), медучреждениях (19,5%) и госструктурах (13%).
Рядовой виновник
По данным InfoWatch, в 50,3% случаев утечек виновники — это действующие сотрудники, в 2,4% — бывшие сотрудники, 2,2% — руководители. Это может быть как целенаправленная кража или уничтожение данных на рабочем оборудовании, так и случайное повреждение носителя информации или его потеря.
По мере развития информатизации и формирования корпоративных баз данных с разнородной и хорошо структурированной информацией не только привилегированные пользователи (топ-менеджеры, системные администраторы), но и рядовые сотрудники имеют доступ к все более значительному массиву данных, отмечают в InfoWatch. «Растут риски компрометации конфиденциальной информации как вследствие умышленных действий сотрудников, так и в результате случайных инцидентов», — комментирует Андрей Арсентьев.
Рядовые сотрудники компании — самая обширная зона риска в плане утечек конфиденциальной информации, уверена руководитель отдела развития продуктов Solar Dozor компании «Ростелеком-Solar» Галина Рябова. По оценкам компании, за первое полугодие 2018 года инициаторами внутренних инцидентов лишь в 11,9% случаев явились аутсорсеры, контрагенты и подрядчики.
Меры противодействия
До недавнего времени компании предотвращению внутренних нарушений уделяли меньше внимания, чем защите от внешних хакерских угроз. Сегодня, с одной стороны, нормативное регулирование обязывает компании защищать чувствительную информацию, например персональные данные, поясняет Галина Рябова. Опираясь на государственное регулирование и внутренние потребности бизнеса, компании формируют свой комплекс организационных мер и технических средств защиты информации. В зрелых компаниях, по ее словам, развивается и собственная внутренняя этика использования информации, собственные положения о конфиденциальной информации и соответствующие регламенты по ее защите.
Растет рынок DLP-систем (Data Loss Prevention). Однако помимо технических решений важно внедрять системы поведенческой аналитики (UEBA), позволяющие выявить аномалии в поведении сотрудников при использовании различных ресурсов и с высокой долей точности определять лиц, которые планируют кражу информационных активов предприятия. Пока у сотрудников организаций часто не сформировано уважительное и бережное отношение к конфиденциальной информации как к ключевому артефакту цифровой эпохи, комментирует Андрей Арсентьев.
Однако и сами технологии, в частности DLP-система, позволяют привить сотрудникам культуру безопасного обращения с конфиденциальной информацией, считает Галина Рябова. Основой эффективной защиты информации предприятия, по ее словам, является прежде всего повышение осведомленности сотрудников в вопросах информационной безопасности.
По мнению исследователей InfoWatch, большая доля случайных утечек может быть связана с относительно невысоким уровнем цифровой грамотности и кибергигиены персонала. В то же время в 54% случаев нарушения сопряжены с передачей информации третьим лицам, в том числе конкурентам, а также с распространением украденных у работодателя конфиденциальных данных среди других лиц. Почти половина сотрудников совершают деструктивные действия в отношении информационных активов работодателя на коротком временном отрезке — приняв решение уволиться или непосредственно перед уходом из компании, отмечается в отчете InfoWatch. Почти в 81% рассматриваемых инцидентов виновниками становились рядовые сотрудники.
В такой ситуации бизнес все больше тяготеет к модели «нулевого доверия» (Zero Trust, предложена аналитиками Forrester), когда доступ для всех корпоративных пользователей к тем или иным системам и данным строго регламентируется. Устанавливаются уровни идентификации, в соответствии с которыми настраивается доступ к информационным ресурсам или же автоматическое его ограничение для тех или иных сотрудников. Как правило, ограничивается использование личных устройств, например флешек или в ряде крупных компаний ТЭК — личных мобильных телефонов. Применение модели нулевого доверия подразумевает верификацию всех устройств, которые претендуют на получение доступа к корпоративным информационным системам, а затем фиксацию всех действий допущенного к сети устройства, чтобы оперативно выявлять нарушения.
Предотвращение внутренних утечек — серьезная организационная работа, вовлекающая не только профильную службу ИБ, но и в том числе HR. Необходимо определить должности в группе риска (т.е. подразумевающие работу с конфидециальными данными), разработать нормативные документы для введения правил работы с информацией, а также проводить постоянную разъяснительную работу с сотрудниками.
