У вас слив! Как обнаружить утечку данных

У вас слив! Как обнаружить утечку данных

При утечке информации у компании есть время принять меры. В лучшем случае можно предотвратить слив данных, если не удалось этого сделать — оперативно сообщить в Роскомнадзор, провести расследование и уменьшить негативные последствия. Но зачастую организация узнает об утечке постфактум. Рассказываем, как обнаружить утечку вовремя.

Как выявить утечку в режиме реального времени

Согласно исследованию InfoWatch, более половины случаев утечки секретных данных в российских компаниях происходит при участии сотрудников, в 15% из них замешаны бывшие специалисты. Инсайдером может оказаться любой работник — от рядового специалиста до топ-менеджера, бухгалтера или офицера службы безопасности.

Это грустно, но есть нюанс: если сотрудник копирует данные, сидя на рабочем месте, его можно вовремя «перехватить». Вот несколько признаков, на которые нужно обращать внимание. Они могут говорить о том, что кто-то в компании готовится украсть данные:

  1. Резкое увеличение объема исходящего трафика, запросы на скачивание больших объемов информации, необычные IP-адреса. Все это может указывать, что информация передается сторонним лицам.
  2. Вход в корпоративную систему с посторонних устройств или в нерабочее время может свидетельствовать о компрометации учетных данных.
  3. Неожиданное повышение интереса сотрудников к конфиденциальным документам или работа до поздней ночи без видимых на то рабочих причин. Уповаем на то, что работник вдруг воспылал страстью к труду, но проверяем его в обязательном порядке.
  4. Внезапные изменения настроек, создание или удаление учетных записей без вашего ведома говорят о несанкционированном доступе к системе.

Хороший вариант — если у вас установлено специальное ПО. Например, агент Staffcop в режиме реального времени мониторит действия сотрудников: их переписку, содержимое локальных папок, сообщения в мессенджерах, всё, что уходит на печать и загружается на ПК. Как только обнаружена угроза утечки, программа мгновенно отправляет уведомление офицеру безопасности. Тот должен принять меры, чтобы злоумышленник не смог покинуть помещение, и сообщить руководству об инциденте.

Идеальный вариант, если Staffcop интегрирован с DLP-системой. Программа не просто уведомит о подозрительных действиях, но и заблокирует отправку или копирование конфиденциальных данных. В этом случае слить информацию не смогут ни удаленные сотрудники, ни киберпреступники.

А вот без специального оборудования распознать утечку в режиме реального времени практически нереально. Единственный способ — видеонаблюдение или информация от сотрудников. Проще говоря, если кому-то в офисе повезет заметить, что некий сотрудник фотографирует монитор или распечатывает базы данных — его смогут, что называется, взять с поличным.

Как узнать об утечке данных постфактум

Разумеется, рано или поздно вы узнаете о сливе информации: например, из гневных сообщений клиентов. Мы сейчас имеем в виду ситуацию, когда утечка произошла, а негативные последствия еще не наступили.

Если у вас нет системы мониторинга — самое время ее установить и проверить данные компании. Нередкий случай в практике Staffcop: приходит новый заказчик, и мы уже на стадии тестирования системы выявляем инциденты.

Бывает, что об утечке компания узнает, когда офицер безопасности проводит аудит и анализ данных. Это может случиться из-за неправильных настроек распознавания информации. Проводить аудит ИБ рекомендуется минимум раз в год.

Распознать конфиденциальные данные можно по трем факторам: ключевым словам; параметрам файлов — размеру, типу, формату, месту хранения; фрагментам текста.

Что делать, если обнаружили утечку данных

Большинство компаний следуют инстинкту: затаиться и сохранить инцидент в тайне. Однако сокрытие факта утечки не решит проблему — информация о ней все равно станет известна, а организация будет иметь дело с Роскомнадзором и с наибольшей вероятностью заплатит штраф. А если клиенты подадут в суд — еще и за ущерб. Многие ошибки, допущенные во время или после утечки, происходят из-за незнания, как реагировать на такие ситуации.

Первое, что мы рекомендуем сделать — по возможности обесценить потерянную информацию. Например, при утечке паролей быстро их сменить. Устаревшие пароли будут бесполезны для мошенников, и организация фактически выйдет сухой из воды.

Второе. Не забываем о требованиях закона. В первые сутки после обнаружения факта утечки персональных данных компания должна сообщить об инциденте в Роскомнадзор, это предусмотрено ФЗ №152 «О персональных данных».

Третье. Создаем комиссию и расследуем инцидент. Подробно, с разъяснением юридических тонкостей, мы расскажем об этом в отдельной статье. Здесь кратко перечислим, какие действия предпринять.

Определяем, какой была утечка: случайной или намеренной. Для этого просматриваем журналы событий, опрашиваем сотрудников, проверяем записи видеонаблюдения. Если произошла намеренная кража данных, нужно:

  • выявить группу сотрудников, имеющих доступ к украденным данным;
  • опросить каждого;
  • сопоставить показания и выявить главных подозреваемых;

  • проверить их действия за последний период, включая время прихода и ухода с работы, а также информацию, с которой они работали;

  • привлечь виновных к ответственности — материальной (штраф, лишение премии), административной или уголовной, в зависимости от масштабов ущерба.

Если проступок подпадает под административную или уголовную ответственность, к расследованию подключаются правоохранительные органы.

В случае неумышленной передачи данных, постараться пресечь нарушение. Например, сотрудник выложил селфи у монитора, с которого можно считать персональные данные, — срочно удаляйте фото из соцсетей. Уведомить Роскомнадзор все равно нужно.

Как предотвратить утечку данных

Профилактика — лучшая защита. Нужно предпринять технические и административные меры, причем оргмоменты не менее важны, чем оборудование.

Внедрить регламенты и политику информационной безопасности. Без четко прописанных правил невозможно обеспечить защиту данных. Сотрудники должны знать, за что они отвечают, что можно и нельзя делать при работе с конфиденциальной информацией, какие санкции предусмотрены за нарушение ИБ. Регламенты должны быть ясными и обязательными для всех работников.

Регулярно проводить инструктаж, чтобы предупредить распространенные ошибок ИБ. Подарок для киберпреступников — сотрудники, которые:

  • используют ненадежные пароли;
  • теряют носители данных с важной информацией;
  • оставляют рабочий ноутбук без надзора с открытыми конфиденциальными данными;
  • ошибаются с электронным адресом и отправляют письма не в те руки.

Использовать ПО для предотвращения потери данных. Такие системы, как Staffcop, работают на компьютерах персонала и позволяют быстро выявлять и расследовать инцидент. Для этого агент Staffcop собирает все события о движении информации и поведении сотрудников внутри периметра. Полученную информацию отправляет на сервер для обработки и хранения. Если интегрировать сервер с инструментами, которые контролируют сетевой трафик на шлюзе, ИБ перестанет быть головной болью.

Обозначить свои конфиденциальные данные. Для защиты от утечки нужно знать, какую информацию защищать, где она используется и хранится. Мы советуем сначала классифицировать все типы данных, которые собирает и обрабатывает компания, и потом переходить к настройке ПО для предотвращения утечек данных.

Применять шифрование данных. Инструменты преобразуют данные в зашифрованный текст — случайную последовательность символов, сгенерированную с помощью математических вычислений. Даже если злоумышленник получит доступ к информации, без ключа расшифровки он не сможет ее прочитать.

Придерживаться принципа наименьших привилегий. Каждому сотруднику предоставляйте минимальный уровень доступа к информации, необходимый только для выполнения их задач.

Проводить регулярные проверки информационной безопасности. Аудит помогает выявить слабые места в системе защиты данных. Нужно проводить анализ не только работы программ, сервисов, оборудования и событий, но и деятельности персонала.

Сама по себе утечка данных может занять считанные минуты. Но и этого достаточно, чтобы предотвратить преступление, — если вы сумели выстроить надежную систему безопасности и пользуетесь проверенным ПО. Мы постоянно работаем над совершенствованием Staffcop, чтобы вы могли сохранить ваши ценные корпоративные данные.

С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней – оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.

33
4 комментария

сплошные утечки данных в последнее время, сколько же контор погорели

уже всё и все про нас знают)

хорошо, что есть хоть какие-то продвижения в информационной безопасности)

Пиарят определенную систему