Как сформировать культуру инфобезопасности в компании

По данным отчета InfoWatch за 2020 год, более 79% утечек информации в российских компаниях происходит по вине именно сотрудников, а не из-за внешних злоумышленников. Кроме того, согласно аналитическим данным компании КРОК, из них 61% происходит по недосмотру, то есть когда сотрудники отнеслись безответственно к защите и сохранению конфиденциальных данных, и они оказались в публичном доступе. О том, как минимизировать риски и построить корпоративную культуру работы с чувствительной информацией, читайте в нашем материале.

По данным опроса Egress, почти треть сотрудников убеждена, что именно они владеют данными, с которыми работают. К примеру, многие из них считают, что корпоративную информацию можно отправлять на личную почту или забирать домой. Порой это приводит к громким утечкам, от которых не застрахованы даже крупные компании. Достаточно вспомнить случай, когда ноутбук работника крупной многоотраслевой корпорации был украден из номера отеля, а конфиденциальные данные о 50 000 сотрудников известной корпорации были слиты в сеть.

И это лишь один из многих примеров того, как неосмотрительные действия сотрудников ведут к серьезным последствиям. Работники могут не осознавать реальной ценности информации (а значит — не понимать сопутствующих угроз), переходить на фишинговые сайты, пользоваться незащищенными облачными хранилищами или устанавливать слишком легкие пароли.

Кроме того, корпоративную информацию можно использовать в личных целях: продавать или просто мстить работодателю, который, по мнению сотрудника, несправедливо с ним обошелся. Сознательные инсайдеры, как правило, четко понимают, какие данные представляют реальную ценность, как похищать их и оставаться незамеченными. Вот почему финансовые и репутационные риски в случае с ними куда выше, чем с нерадивыми сотрудниками.

Как же компания может защититься от случайного слива информации? В первую очередь, персонал необходимо приучать к критичному подходу в восприятии всех поступающих сообщений: не паниковать, систематически проверять адрес почты и данные отправителя и ни в коем случае не переходить по подозрительным ссылкам.

К примеру, сотрудники одной компании провалили корпоративный тест на фишинг: почти 500 работников отреагировали на фишинговое письмо, обещавшее годовой бонус от компании в 650$ для тех, кто заполнит форму с личными данными на подставном сайте.

Помимо информирования сотрудников, важно закреплять знания о киберугрозах — для этого нужны периодические тестирования на знание правил безопасности. А чтобы процесс не казался персоналу утомительным и скучным, можно построить обучение в формате игры, применив так называемую геймификацию. К примеру, так поступила Саманта Дэвисон, менеджер по безопасности Uber, – компания обучает сотрудников с помощью ролевых игр и видеотренингов.

Кроме того, сотрудники должны понимать, что на них лежит ответственность (в том числе и юридическая) за разглашение ценной информации. Разработка прозрачного и понятного NDA — важная работа для HR и юридического отдела.

Вышеперечисленные меры могут помочь с минимизацией случайных утечек. Но что делать, если в компании есть сознательные инсайдеры? Такие злоумышленники, как правило, весьма умны, и вычислить их непросто. Часть задач по их нейтрализации в большинстве компаний решают DLP (Data Loss Prevention) и VDR-системы (Virtual Data Room).

Однако они бессильны перед угрозой сливов информации с помощью скриншотов или фотографирования экрана и распечатанных документов. При этом инсайдерам не нужно обладать какими-то экстраординарными навыками: сегодня им достаточно использовать возможности обычных смартфонов. Вот почему популярность этого метода растет: по разным данным, за последние три года количество таких случаев увеличилось с 2-3% до 10% от общего числа утечек.

Угрозы подобного уровня успешно нейтрализует, например, невидимая маркировка. Это технология, обеспечивающая гарантированную идентификацию инсайдеров, использующих скриншоты и фотографирующих экран и распечатанные документы на смартфон.

Важно отметить, что такая система также обладает мощным превентивным эффектом, воздействуя на мышление персонала: если в организации внедрена технология, обеспечивающая гарантированную идентификацию инсайдера, сотрудники реже решаются на запрещенные действия.

В 2020 году мы (компания EveryTag) провели собственное исследование, чтобы определить, как и почему сотрудники банковской и телеком-сферы раскрывают конфиденциальные данные компаний. В ходе исследования был определен общий уровень информированности респондентов о категориях чувствительной информации (ЧИ) и правилах работы с ней, а также определены категории сотрудников, находящихся в зоне риска при работе с чувствительными данными.

По итогам мы выяснили, например, что несмотря на высокую оценку собственной осведомленности о правилах работы с ЧИ, 39% сотрудников банковской сферы не относят юридические документы (договоры и контракты) к чувствительной информацией.

Кроме того, 10% респондентов из банковской отрасли считают, что чувствительную информацию можно распечатывать на бумажном носителе и брать ее с собой домой, еще 9% — что ее можно переслать себе на электронную почту, что в реальности может привести как к случайной, так и намеренной утечке информации. Если говорить только о намеренном «сливе», то стоит обратить внимание на то, что 6% опрошенных из банковской отрасли считают, что ЧИ можно забрать с собой в случае увольнения.

В рамках нашего исследования дополнительно выяснилось, что в банковской отрасли 9% респондентов готовы сфотографировать конфиденциальные данные компании и передать их за вознаграждение третьим лицам, если они окажутся в непростой жизненной ситуации.

Мы также выяснили, что для компаний существует риск утечки внутренних приказов или распоряжений, которые могут негативно отразиться на репутации. 12% респондентов банковской отрасли готовы выложить в сеть возмущающий их приказ или указ: 4% сделают это открыто, 8% — если будут уверены, что их невозможно отследить. В телеком-компаниях этот показатель еще больше — 13% сотрудников готовы опубликовать фото возмущающего их приказа в социальных сетях, однако только 3% готовы сделать это открыто, 10% — сделают это, если буду знать, что их никак не возможно отследить.

В целом полученные в ходе исследования данные свидетельствуют о том, что в компаниях существует большое количество инсайдерских угроз при работе с чувствительной информацией. Несмотря на то, что работодатели стараются доводить до сведения сотрудников правила работы с корпоративными данными, зачастую они пропускают важное – информирование о том, какая именно информация относится не просто к конфиденциальной, но и к чувствительной.

Безусловно, ни одна технология не является панацеей от всех бед: для эффективного противодействия инсайдерам необходимы не только превентивные, но и классические системы защиты. В сочетании с обучением сотрудников основам инфобезопасности и регулярными тренингами персонала это позволит сформировать культуру работы с чувствительными данными. А это, в свою очередь, снизит вероятность утечек до минимума.