Кейс: как контролировать доступы всех сотрудников — особенно тех, кто уволился
Рассказываем, как не допустить утечки данных компании, и подкрепляем текст реальными случаями, статистикой и исследованиями
Утечки корпоративных данных по вине сотрудников — неприятный кейс, который переживают и крупные корпорации, и малый бизнес особенно. По данным InfoWatch, 78% сливов происходит из-за сотрудников: из-за неумения работать с конфиденциальными данными и игнорирования базовых правил. Это 12% от всех корпоративных утечек — во всём мире и по любым причинам.
А исследование «Ростелеком-Солар» говорит о цифре 60% — столько компаний в России винят в утечках ушедших сотрудников. В этом шортриде рассказываем реальные ситуации, произошедшие в компаниях. И советуем, как при минимальных усилиях управлять доступами всех людей и любыми файлами в компании. Даже теми, о которых вы забыли.
Проблема 1: невнимательность к доступам
Многие компании и фрилансеры — особенно те, кто работает удалённо — пользуются гугл-сервисами: Документами, Таблицами, Диском. И точно не все из них знают, что ссылки на документы индексируются.
Допустим, сотрудник создал документ с базой данных клиентов: именами, платёжными реквизитами. Или руководитель отдела написал корпоративную методичку, которая попадает под действие NDA. Они открыли доступ к документу для тех, у кого есть ссылка. Это значит, что в поиске можно найти эти документы, и любой человек, которому попадётся ссылка, сможет посмотреть его и скопировать.
В прошлом году появилась новость: база клиентов Альфа-Кредита, которые подавали заявки на займ, была 4 дня в общем доступе. Там оказались 44 000 записей о клиентах: их инициалы, сумма и вид кредита, номер телефона, адрес. Базу проиндексировали поисковые системы.
А в ноябре сообщили об утечке в РЖД. Была информация, что данные 1,36 млн участников программы лояльности РЖД-Бонус появились в общем доступе.
До этого случая один из пользователей Хабра писал, что получил доступ к изображениям с камер наружного наблюдения и внутренним сервисам компании.
В случае Альфа-Кредита была информация, что в сливе виновата невнимательность сисадминов и сотрудников, которые настраивают доступы. Базу данных РЖД-Бонуса сотрудники компании оставили открытой прямо в корневом каталоге.
1,36 млн перс.данных
могли появиться в общем доступе из-за халатности сотрудников
О базовых правилах работы с данными должны быть написаны специальные гайды и методички. Что делать с тем, что они есть не везде, и не все сотрудники действительно их читают?
Проблема 2: намеренный слив данных
Infowatch пишут, как пандемия повлияла на утечки корп.данных: почти 10 млрд персональной и платёжной информации скомпрометировано за первую половину года. Причина — перевод на удалёнку: из-за перестройки рабочих процессов контроль за безопасностью информации ослабился. Это спровоцировало инциденты.
В феврале Яндекс сообщил об утечке доступов к емейлам почти 5 000 пользователей.
Их сливал системный администратор с повышенными правами доступа. Это значит, что доступ к конфиденциальным данным пользователей был частью его обычной работы и не был чем-то странным. В итоге такой техподдержки сотрудник слил доступы к 4887 адресам.
В итоге Яндекс принёс извинения, заблокировал неавторизованный доступ к емейлам, уволил сотрудника и пообещал пересмотреть рабочие процессы.
4887 персональных доступов
утекло по вине сотрудника
Но данные уже утекли, об этом написали СМИ — что делать, чтобы не решать такой инцидент, а предупреждать?
Проблема 3: руки службы безопасности дотягиваются не до всех
У небольших компаний и стартапов часто нет собственного отдела безопасности, который управляет доступами и следит, чтобы с конфиденциальными данными обращались правильно. Иногда есть менеджер, который кроме своей работы занимается ещё и этим. Фрилансеры и самозанятые следят за безопасностью данных сами: открывают доступы заказчикам, расшаривают права на редактирование и просмотр.
Очевидно, при таких вводных внимания на отслеживание вручную не хватает. Но такое бывает даже у корпораций: случаются утечки из-за нехватки ресурсов.
Блумберг опубликовали историю украинца, который переехал в штаты и устроился тестировщиком в Майкрософт ИксБокс. Его работой было проверять, как работает выдача подарочных купонов пользователям. Один купон стоил от $10 до $100 и содержал код, который покупатели должны активировать в своём аккаунте и потратить в магазине Майкрософт.
В итоге он обнаружил, что система может генерировать сколько угодно купонов, которые реально работают, и построил мошенническую схему по продаже этих кодов. Чтобы его не вычислили, он использовал пароли коллег.
Ущерб, который тестировщик нанёс компании, прежде чем служба безопасности это обнаружила — минимум $10 млн.
Работники заблокировали аккаунты тестировщиков, но не смогли установить, кто именно пользовался системой.
Позже сотрудника всё-таки заподозрили, но доказательств не нашли. До того, как его уволили и всё раскрылось, прошло четыре недели — всё это время тестировщик продолжал работать как обычно.
В кейсе про тестировщика была служба безопасности: они видели, что что-то происходит, и делали свою работу. В результате часть купонов отозвали и внесли в чёрный список, но вернуть деньги, которые сотрудник заработал на схеме, так и не получилось.
Больше $10 млн
ущерб от утечки данных по вине сотрудника
Но что делать небольшим компаниям, которые пока не могут себе позволить специальный отдел, как в Майкрософт?
Решение: Protect My Files — интерфейс для управления всем и всеми
Protect My Files — это сервис, который помогает работать со всеми документами и сотрудниками в одном месте. С помощью этого агрегатора можно управлять облачными данными в аккаунтах Гугла и Майкрософта: Гугл Диск, Ван Драйв. Это не аналог Гугла: Protect My Files — единый интерфейс для управления доступами ко всем данным в аккаунтах.
Сервис поддерживает мультиаккаунтность: даже если рабочих аккаунтов несколько, с ними можно работать внутри одного окна. Ещё из этого интерфейса можно открывать и редактировать файлы, управлять пользователями, добавлять и удалять доступы к файлам: по одному или сразу все.
В реальных историях утечек данных есть две основных проблемы, которые решает Protect My Files:
- Безопасность.Часто, когда из компании уходит сотрудник, его доступы к документам мало кого заботят. Через полгода про него могут забыть, а во внутреннем гуглдоке появится очередная «неопознанная сова», которая нашла старую ссылку на редполитику и решила её скопировать.Ещё в таких документах и таблицах могут быть данные клиентов.Если документов много, цель руководителя — быстро понять, к каким есть доступ у конкретного сотрудника. И быстро убрать доступ из всех документов, даже если их сто. Например, консалтинговое агентство собирает базу клиентов в гуглдоке: личные данные и операционные. Руководитель отвечает за безопасность этих данных по договору, а вот сотрудник отвечает не всегда.
- Порядок. Даже у небольшого стартапа накапливается большой пул данных: что-то расшаривается, сотрудников много, иногда доступы даю внештатным сотрудникам. Категорий документов много: рабочие методички, документы на оплату, доступы к рабочим программам.Разбираться в этом вручную тяжело и долго: нужно зайти на каждый из сервисов и вручную копаться в файлах. Становится ещё сложнее, если аккаунтов несколько: например, личный рабочий и аккаунт техподдержки. Боль руководителя — упорядочить рабочие файлы и быстро и без проблем ими управлять.
Protect My Files поможет найти свои общедоступные фаилы раньше, чем они появятся в интернете. Сервис за пару минут сформирует отчет о публичных ссылках и за 2 клика решит проблему. В отчёте о безопасности — сколько приватных файлов и сколько открытых, то есть незащищенных, сколько публично расшаренных, а сколько файлов смотрят с доступом по ссылке.
Чтобы за текучкой кадров не утекали и корп.данные, в сервисе есть списки по сотрудникам и по документам. Например, можно найти устав компании — сразу напротив названия документа будет цифра с сотрудниками, у которых есть доступ. И информация с типом доступа к этому файлу: к примеру, публичный или расшаренный. В списке сотрудников отображаются все пользователи: можно удалить из перечня уволенного сотрудника, и сразу все его доступы обнулятся.
Всё, что нужно для начала работы — залогинится в Protect My Files и предоставить доступ к файлам в облачном хранилище. Сервис не собирает персональную информацию и не хранит данные на серверах. Это просто агрегатор, который работает с данными, но не сохраняет их.