Alex Alisov

Кейс: как контролировать доступы всех сотрудников — особенно тех, кто уволился

Рассказываем, как не допустить утечки данных компании, и подкрепляем текст реальными случаями, статистикой и исследованиями

Утечки корпоративных данных по вине сотрудников — неприятный кейс, который переживают и крупные корпорации, и малый бизнес особенно. По данным InfoWatch, 78% сливов происходит из-за сотрудников: из-за неумения работать с конфиденциальными данными и игнорирования базовых правил. Это 12% от всех корпоративных утечек — во всём мире и по любым причинам.

А исследование «Ростелеком-Солар» говорит о цифре 60% — столько компаний в России винят в утечках ушедших сотрудников. В этом шортриде рассказываем реальные ситуации, произошедшие в компаниях. И советуем, как при минимальных усилиях управлять доступами всех людей и любыми файлами в компании. Даже теми, о которых вы забыли.

Проблема 1: невнимательность к доступам

Многие компании и фрилансеры — особенно те, кто работает удалённо — пользуются гугл-сервисами: Документами, Таблицами, Диском. И точно не все из них знают, что ссылки на документы индексируются.

Допустим, сотрудник создал документ с базой данных клиентов: именами, платёжными реквизитами. Или руководитель отдела написал корпоративную методичку, которая попадает под действие NDA. Они открыли доступ к документу для тех, у кого есть ссылка. Это значит, что в поиске можно найти эти документы, и любой человек, которому попадётся ссылка, сможет посмотреть его и скопировать.

В прошлом году появилась новость: база клиентов Альфа-Кредита, которые подавали заявки на займ, была 4 дня в общем доступе. Там оказались 44 000 записей о клиентах: их инициалы, сумма и вид кредита, номер телефона, адрес. Базу проиндексировали поисковые системы.

А в ноябре сообщили об утечке в РЖД. Была информация, что данные 1,36 млн участников программы лояльности РЖД-Бонус появились в общем доступе.

До этого случая один из пользователей Хабра писал, что получил доступ к изображениям с камер наружного наблюдения и внутренним сервисам компании.

В случае Альфа-Кредита была информация, что в сливе виновата невнимательность сисадминов и сотрудников, которые настраивают доступы. Базу данных РЖД-Бонуса сотрудники компании оставили открытой прямо в корневом каталоге.

1,36 млн перс.данных

могли появиться в общем доступе из-за халатности сотрудников

О базовых правилах работы с данными должны быть написаны специальные гайды и методички. Что делать с тем, что они есть не везде, и не все сотрудники действительно их читают?

Проблема 2: намеренный слив данных

Infowatch пишут, как пандемия повлияла на утечки корп.данных: почти 10 млрд персональной и платёжной информации скомпрометировано за первую половину года. Причина — перевод на удалёнку: из-за перестройки рабочих процессов контроль за безопасностью информации ослабился. Это спровоцировало инциденты.

В феврале Яндекс сообщил об утечке доступов к емейлам почти 5 000 пользователей.

Их сливал системный администратор с повышенными правами доступа. Это значит, что доступ к конфиденциальным данным пользователей был частью его обычной работы и не был чем-то странным. В итоге такой техподдержки сотрудник слил доступы к 4887 адресам.

В итоге Яндекс принёс извинения, заблокировал неавторизованный доступ к емейлам, уволил сотрудника и пообещал пересмотреть рабочие процессы.

4887 персональных доступов

утекло по вине сотрудника

Но данные уже утекли, об этом написали СМИ — что делать, чтобы не решать такой инцидент, а предупреждать?

Проблема 3: руки службы безопасности дотягиваются не до всех

У небольших компаний и стартапов часто нет собственного отдела безопасности, который управляет доступами и следит, чтобы с конфиденциальными данными обращались правильно. Иногда есть менеджер, который кроме своей работы занимается ещё и этим. Фрилансеры и самозанятые следят за безопасностью данных сами: открывают доступы заказчикам, расшаривают права на редактирование и просмотр.

Очевидно, при таких вводных внимания на отслеживание вручную не хватает. Но такое бывает даже у корпораций: случаются утечки из-за нехватки ресурсов.

Блумберг опубликовали историю украинца, который переехал в штаты и устроился тестировщиком в Майкрософт ИксБокс. Его работой было проверять, как работает выдача подарочных купонов пользователям. Один купон стоил от $10 до $100 и содержал код, который покупатели должны активировать в своём аккаунте и потратить в магазине Майкрософт.

В итоге он обнаружил, что система может генерировать сколько угодно купонов, которые реально работают, и построил мошенническую схему по продаже этих кодов. Чтобы его не вычислили, он использовал пароли коллег.

Ущерб, который тестировщик нанёс компании, прежде чем служба безопасности это обнаружила — минимум $10 млн.

Работники заблокировали аккаунты тестировщиков, но не смогли установить, кто именно пользовался системой.

Позже сотрудника всё-таки заподозрили, но доказательств не нашли. До того, как его уволили и всё раскрылось, прошло четыре недели — всё это время тестировщик продолжал работать как обычно.

В кейсе про тестировщика была служба безопасности: они видели, что что-то происходит, и делали свою работу. В результате часть купонов отозвали и внесли в чёрный список, но вернуть деньги, которые сотрудник заработал на схеме, так и не получилось.

Больше $10 млн

ущерб от утечки данных по вине сотрудника

Но что делать небольшим компаниям, которые пока не могут себе позволить специальный отдел, как в Майкрософт?

Решение: Protect My Files — интерфейс для управления всем и всеми

Protect My Files — это сервис, который помогает работать со всеми документами и сотрудниками в одном месте. С помощью этого агрегатора можно управлять облачными данными в аккаунтах Гугла и Майкрософта: Гугл Диск, Ван Драйв. Это не аналог Гугла: Protect My Files — единый интерфейс для управления доступами ко всем данным в аккаунтах.

Сервис поддерживает мультиаккаунтность: даже если рабочих аккаунтов несколько, с ними можно работать внутри одного окна. Ещё из этого интерфейса можно открывать и редактировать файлы, управлять пользователями, добавлять и удалять доступы к файлам: по одному или сразу все.

В реальных историях утечек данных есть две основных проблемы, которые решает Protect My Files:

  • Безопасность.Часто, когда из компании уходит сотрудник, его доступы к документам мало кого заботят. Через полгода про него могут забыть, а во внутреннем гуглдоке появится очередная «неопознанная сова», которая нашла старую ссылку на редполитику и решила её скопировать.Ещё в таких документах и таблицах могут быть данные клиентов.Если документов много, цель руководителя — быстро понять, к каким есть доступ у конкретного сотрудника. И быстро убрать доступ из всех документов, даже если их сто. Например, консалтинговое агентство собирает базу клиентов в гуглдоке: личные данные и операционные. Руководитель отвечает за безопасность этих данных по договору, а вот сотрудник отвечает не всегда.
  • Порядок. Даже у небольшого стартапа накапливается большой пул данных: что-то расшаривается, сотрудников много, иногда доступы даю внештатным сотрудникам. Категорий документов много: рабочие методички, документы на оплату, доступы к рабочим программам.Разбираться в этом вручную тяжело и долго: нужно зайти на каждый из сервисов и вручную копаться в файлах. Становится ещё сложнее, если аккаунтов несколько: например, личный рабочий и аккаунт техподдержки. Боль руководителя — упорядочить рабочие файлы и быстро и без проблем ими управлять.

Protect My Files поможет найти свои общедоступные фаилы раньше, чем они появятся в интернете. Сервис за пару минут сформирует отчет о публичных ссылках и за 2 клика решит проблему. В отчёте о безопасности — сколько приватных файлов и сколько открытых, то есть незащищенных, сколько публично расшаренных, а сколько файлов смотрят с доступом по ссылке.

Чтобы за текучкой кадров не утекали и корп.данные, в сервисе есть списки по сотрудникам и по документам. Например, можно найти устав компании — сразу напротив названия документа будет цифра с сотрудниками, у которых есть доступ. И информация с типом доступа к этому файлу: к примеру, публичный или расшаренный. В списке сотрудников отображаются все пользователи: можно удалить из перечня уволенного сотрудника, и сразу все его доступы обнулятся.

Всё, что нужно для начала работы — залогинится в Protect My Files и предоставить доступ к файлам в облачном хранилище. Сервис не собирает персональную информацию и не хранит данные на серверах. Это просто агрегатор, который работает с данными, но не сохраняет их.

0
Комментарии
Читать все 0 комментариев
null