`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Возможность слежки vs. слежка

Несмотря на повсеместную истерию по поводу слежки в интернете (спасибо мистеру Сноудену), для большей части людей сегодня никакой опасности слежки нет. Да-да, в эпоху развитого PRISM'а это все действительно так. Несмотря на то, что выглядит это утверждение на первый взгляд как полный абсурд.

Прежде всего, необходимо знать о различиях между такими понятиями, как «возможность слежки» и собственно «слежка». При наличии желания правительство и спецслужбы смогут о вас узнать абсолютно все. Однако сегодня следить сразу абсолютно за всеми просто невозможно. Недавно АНБ, на фоне случившихся больших скандалов, обнародовало следующие цифры: в настоящее время удается перехватить только 1,6% из 1826 петабайт информации, которые ежедневно передаются по сети. И только лишь 0,025% от этой информации в итоге отбираются для анализа. Эти 1,6% равняются 29 ПБ. Как видим, это далеко не абсолютная слежка.

Кроме того, пользователи знают, каким образом можно помешать прослушке – при помощи шифрования. Общеизвестно, что оно может создать проблемы для прослушки, это доказывают и «злоключения» компании BlackBerry.

В 2009 г. выяснилось, что компания Etisalat в ОАЭ распространяла ПО для перехвата контента, передаваемого пользователями. Специальный софт передавал этот контент на центральный сервер, причем делалось это под видом обновления, необходимого для доработки уровня качества связи по 3G.

На российский рынок компании BlackBerry не позволялось выходить до 2008 г. Все из-за несогласия RIM сократить ключ шифрования и применения оборудования СОРМ при организации предоставления услуг BlackBerry. Та же ситуация сложилась у BlackBerry в Индии.

Также отметим, что после череды скандалов с PRISM в сети интернет был отмечен рост интереса к свободно распространяемым технологиям шифрования пересылаемых и хранящихся данных – к примеру, Tor, PGP и Bitmessage, а также другим подобным. По словам экспертов, шифрование со стороны клиента может и на самом деле быть хорошей контрмерой, противостоящей глобальной слежке. Проблема тут в том, что если шифрование использует сравнительно небольшой процент людей, то они наоборот будут привлекать большее внимание к себе за счет аномального трафика. А вот если шифрованием будут пользоваться многие люди, то спецслужбам придется потратить немало времени на решение данной проблемы.

Возможность слежки vs. слежка. Чувствуете разницу?..

А вы скрываете утечки информации?

Сегодня в глазах общества утечка информации является чем-то однозначно негативным. Если таковая все-таки происходит, очень многие компании предпочитают скрывать факт утечки, причем максимально долго, до тех пор, пока есть такая возможность. Это совершенно неправильная тактика. И сейчас мы с вами в этом убедимся.

Сначала стоит попробовать разобраться, по какой причине компании, которые допускают утечку, стремятся  скрыть информацию о ней. Как удалось установить благодаря исследованию компании SearchInform, о случившихся утечках обычно стараются никому не сообщать примерно 93% от общего количества российских компаний и госорганизаций. И практически половина от этого количества стремится сделать так, чтобы об утечке информации ничего не знали и собственные сотрудники.

Как полагают компании-респонденты, информация об утечке должна скрываться по следующим причинам:

  • Утечка данных в итоге может привести к уходу клиентов (47% опрошенных компаний);
  • Утечка информации также может плохо повлиять на имидж компании (44%);
  • Утечка может принести вред отношениям с бизнес-партнерами предприятия (32%);
  • Утечка может вызвать излишне пристальное внимание контролирующих органов (18%).

Из полученных данных можно понять, что все опрошенные компании, в конечном счете, боятся того, что утечка информации в итоге приведет к экономическому ущербу для работы организации.

В целом, это мнение достаточно обоснованное. Однако стоит отметить и то, что настоящей причиной экономического ущерба для организации является именно сама утечка данных, а никак не распространение сведений об этой утечке. Тем более что распространение таких сведений всегда является только вопросом времени – ведь если утечка уже случилась, компания все равно не может контролировать дальнейшее распространение похищенной информации. И все-таки, компания может  уменьшить негативные последствия утечки данных, как для тех, кто может от неё пострадать, так и для самой организации.

Если утечка информации уже произошла – тогда как раз заботу о клиентах, пострадавших благодаря такой утечке, компании нужно поставить во главу угла. Скорее всего, компания не сможет сохранить все 100% из них, однако есть шансы серьезно повысить оставшихся – ведь организация не на словах, а на деле демонстрирует заботу об интересах клиентов.

А вы скрываете утечки информации?

Открытые данные в разрезе персональной информационной безопасности

Сегодня много говорят об открытых данных применительно к государственным учреждениям. Существуют целые проекты, анализирующие их в разных странах. Но я хочу поговорить о тех данных, которые публикуются в Сети индивидуальными пользователями. Прежде всего, конечно, это социальные сети – колоссальные агрегаторы персональных данных на планете.

Открытые источники данных стали настоящим информационным «островом сокровищ» для злоумышленников всех мастей. Как гласит широко известная «теория шести рукопожатий», любые два человека на нашей планете, в среднем, разделяются лишь небольшой цепочкой из пяти общих знакомых – именно на этом строятся сегодня не только бизнес-контакты, но и приемы социальной инженерии. Кстати, что интересно, на самом деле, цепочки еще короче: в 2012 г. Facebook совместно с учёными из Миланского университета было проведено исследование, результат которого показал, что в действительности среднее число так называемых «рукопожатий», которые разделяют двух любых человек на Земле – 4.74. А если выборка ограничивается одной страной, то подавляющее большинство граждан разделяется только четырьмя «рукопожатиями».

Неоднократно доказано, что если жертва видит общих друзей с человеком, подавшим ему заявку на дружбу, подозрения к нему могут быть существенно уменьшены. Поэтому открытая информация о «друзьях» в социальных сетях – это едва ли не самое большое зло, которое сегодня эти самые социальные сети сегодня в себе несут.

Но опасности не дремлют, ведь создатели социальных сервисов придумывают всё новые «фичи», заманивающие в ловушки доверчивых пользователей. Одна из таких – это интеграция друг с другом различных сервисов. К примеру, Foursquare и Twitter. Подобный союз может оказаться весьма интересным для грабителей. К примеру, если «жертва» проживает одна, то благодаря этим сервисам можно отслеживать в какое время и в каких местах она бывает. И соответственно, в квартире в это время никого нет.

Сделать с тем, что пользователи сегодня оставляют данные в Сети, ничего нельзя. Призывать их думать каждый раз, когда они это делают, тоже, по всей видимости, бесполезно. Остается только расхлебывать последствия…

Открытые данные в разрезе персональной информационной безопасности

Внутреннее расследование. Доступ к данным. Доказательства

Сами по себе должностные инструкции – не все, что должно обеспечивать защиту вашей коммерческой тайны. Согласно пп. 3, п. 1, ст. 10 Федерального закона «О коммерческой тайне», обладатель информации должен проводить «учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана». То есть, если ваш сотрудник или кто-либо ещё получил доступ к конфиденциальной информации, это должно быть где-то каким-то образом зафиксировано, в противном случае будет считаться, что вы не обеспечили должный уровень защиты информации,  и результаты служебного расследования будут поставлены компетентными органами под сомнение.

Закон «О коммерческой тайне» содержит в себе еще некоторые положения, которые прямым образом влияют на проведение служебных расследований в организациях. Согласно п.2. ст. 14, работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством. То есть, даже если утечка информации имела место, вовсе не факт, что компетентные органы найдут состав преступления в действиях вашего сотрудника, и вы сможете добиться его уголовного преследования.

Необходимо помнить, что если вы планируете предоставлять в качестве доказательства в суде скриншоты, свидетельствующие о действиях работника, нанесших ущерб компании-работодателю, к ним предъявляются определенные требования. Для подтверждения актуальности данных, представленных на скриншоте, на нем должны быть представлены фактическая дата и время снимка. Кроме того, чтобы снизить вероятность того, что суд откажется принимать скриншоты в качестве доказательства, рекомендуется заверять их у нотариуса. Если скриншот относится к сайту, то должен быть виден адрес этого сайта. Если на скриншоте есть надписи по-английски, то их необходимо будет перевести на русский язык.

Необходимо отметить, что российское законодательство разрешает работодателю применять для охраны своей коммерческой тайны технические средства, и разумно будет этим правом воспользоваться.

Наиболее удобным классом решений для этого сегодня являются DLP-системы – программные продукты, предназначенные для контроля информационных потоков в корпоративных средах, предотвращения утечек информации и расследования инцидентов в компаниях. Согласно данным компании SearchInform, после внедрения DLP-системы количество инцидентов в сфере информационной безопасности снижается в среднем в 2,5 раза, а скорость их расследования увеличивается в 4,6 раза.

Внутреннее расследование. Доступ к данным. Доказательства

Внутренние расследования

Несмотря на то, что у каждой компании периодически возникает потребность в проведении внутренних расследований, далеко не у всех получается провести их успешно. И даже успехом иногда бывает трудно воспользоваться из-за нарушений во время проведения расследования. Как же проводить расследования таким образом, чтобы потом не сожалеть об этом? Попробуем найти ответ на этот вопрос в серии постов, которую начнет этот пост.

Нужно сразу оговориться, что российское законодательство исходит из того, что проведение расследований – дело компетентных органов, а не самих компаний, которые пострадали от действия собственных сотрудников, и в связи с этим возможности компаний по сравнению с официальными следователями довольно-таки ограничены. В принципе, в этом нет ничего странного, поскольку российское трудовое право охраняет, в первую очередь, работника от работодателя, а не наоборот.

В связи с этим большинство работодателей предпочитает не связываться со всеми сложностями внутренних расследований, а просто предлагают подозреваемому в нарушения сотруднику написать «заявление по собственному», чтобы поскорее найти ему более подходящую замену. К сожалению, в ряде ситуаций такое поведение просто неприемлемо, поскольку нанесенный сотрудником компании ущерб слишком велик, и его необходимо возместить. Чаще всего именно это становится толчком к проведению внутреннего расследования.

Первое, о чем следует помнить – это о том, что по конституции Российской Федерации, которая дает каждому право на тайну частной переписки. Из этого неизбежно следует, что вовремя служебного расследования трогать личную переписку нельзя, только рабочую – иначе работник, в отношении которого данное расследование проводится, обвинит вас в нарушении своих конституционных прав, и сделает это вовсе не безосновательно.

Соответственно, если ваши сотрудники при приеме на работу подписывали соглашение о том, что вся переписка в рабочее время считается служебной, ваша задача серьезно упрощается.

Следующее, чем следует руководствоваться при проведении служебного расследования – Федеральный закон «О коммерческой тайне». Он регулирует права компаний по защите своей информации, представляющей коммерческую ценность. А ведь именно передача конфиденциальной информации компании на сторону становится, по данным SearchInform, в более чем 60% случаев поводом для инициирования внутреннего расследования. Поэтому закон «О коммерческой тайне» мы рассмотрим более подробно.

Согласно пп. 2, п. 1, ст. 10, доступ к информации, составляющей коммерческую тайну, должен быть ограничен «путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка». То есть, для того, чтобы компания могла эффективно воспользоваться результатами своего расследования, в ней должны действовать Политика информационной безопасности и Положение о коммерческой тайне. На их основе должны составлять должностные инструкции, за ознакомление с которыми сотрудники должны расписываться. Без этого достаточно сложно будет доказать, что сотрудник вообще был в курсе того, какая информация не должна передаваться третьим лицам.

Внутренние расследования: Введение, Положение о коммерческой тайне

Смарт-часы и безопасность

Коль скоро Apple уже практически официально признала, что скоро наступит эпоха смарт-часов (хотя, на мой взгляд, это было вполне ясно и до этого), давайте подумаем, как эти замечательные устройства смогут повлиять на consumer security и можно ли как-то к этому подготовиться.

На мой взгляд, с приходом массовых смарт-часов на рынок персональных девайсов, ситуация с пользовательской ИБ должна даже несколько улучшиться, потому что часы - это всё-таки очень личная вещь даже по сравнению со смартфоном и не говоря уже о планшете, и поэтому рисков кражи и потери будет намного меньше. Опять же, за счет наличия всяческих популярных сегодня фитнес-датчиков, количество возможностей для реализации дешевой и быстрой биометрической аутентификации возрастает в несколько раз.

Вместе с тем, часы - это всё же скорее дополнение к смартфону, чем самостоятельное устройство, и именно из этого и нужно исходить, говоря о безопасности применительно к смарт-часам. То есть, на часах будут те же самые платформы, что и на смартфонах, со всеми вытекающими минусами "Андроида" и плюсами iOS, и данных на часах фактически не будет - правда, их теперь не так уж много и на смартфонах, они перетекают в "облака", но это уже совсем другая история.

Так вот, говорить о том, что что-то в ИБ личных смарт-устройств с распространением смарт-часов всерьез изменится, не приходится, к сожалению или счастью. С одной стороны, это хорошо, потому что количество рисков не увеличится, с другой - могло бы оно хоть когда-нибудь и уменьшиться просто так, ведь правда же?

Лично я пока не решил, как относиться к смарт-часам - подожду какое-то время, когда их станет больше, и тогда проанализирую, так сказать, по результатам эксперимента.

А вы что по этому поводу думаете?

Смарт-часы и безопасность

Контроль электронной почты в компании

Исследования компании SearchInform наглядным образом демонстрируют, что чаще всего утечки закрытых корпоративных данных случаются именно посредством электронной почты – с этим каналом связано более 45% всех такого рода инцидентов. Жаль, но в отличие, к примеру, от IM-решений или социальных сетей, которые запрещены в соответствии с политикой информационной безопасности в различных организациях, отказаться от электронной почтовой корреспонденции вряд ли получится. По всей видимости, необходимо придумать что-то другое.

И это решение является, в общем-то, достаточно очевидным: вместо запрета использования чего-либо нужно просто взять процесс этого использования под жесткий контроль. В случае с электронной почтой другой альтернативы просто нет, но такой подход очень результативен и с другими каналами электронной коммуникации, поскольку в таком случае вы не пребываете в блаженном неведении относительно планов и действий потенциальных и реальных злоумышленников, разрушающих изнутри вашу компанию.

Начинать контроль электронной почты имеет смысл с написания политики безопасности организации в отношении данного канала передачи данных. Хорошо, если в компании уже имеется комплексная Политика информационной безопасности, и в ней достаточно лишь проработать подробнее один этот раздел. В том случае, если Политики пока нет, то необходимо заняться её составлением, включая пункты, соответствующие контролю электронных почтовых отправлений.

Помимо этого, необходимо на основе данной политики составить для сотрудников должностные инструкции и подписать соглашение о том, что рабочая почта может контролироваться, а вести личную переписку со своего рабочего места строжайше запрещено. Если в компании нет собственного опытного юриста для составления таких документов, имеет смысл привлечь специалиста высокого класса со стороны.

Вполне понятно, что сами по себе политики безопасности – вещь полезная, но нуждающаяся в грамотной реализации. Которая невозможна без использования передовых современных средств контроля e-mail в организации. Качественное средство контроля должно удовлетворять все требованиям из представленного ниже списка:

  • Поддержка всех актуальных на сегодняшний день почтовых протоколов (POP3, SMTP, IMAP…);
  • Поддержка контроля Web-почты;
  • Возможность работы с «большими данными», что, как показывает практика компании SearchInform, актуально в наши дни уже и для сравнительно небольших компаний;
  • Возможность сохранения перехваченных почтовых сообщений в архив и последующий анализ всего архива или его отдельных частей;
  • Максимально гибкий и настраиваемый анализатор почтовых сообщений с отлично реализованной поддержкой русского языка;
  • Поддержка выявления вложений к письмам, которые защищены паролем.

Каждая компания может добавить собственные пункты в этот и без того достаточно длинный список, но и без того, как показывает анализ рынка, подавляющее большинство средств контроля электронной почты не соответствует этим требованиям. Единственным исключением можно назвать DLP-системы – комплексные программные решения, предназначение которых состоит в предотвращении утечек конфиденциальной информации.

Внимание организациям сегодня стоит уделять не широко рекламируемым производителями функциям вроде «цифровых отпечатков», а реально необходимым параметрам работы, например, корректной работе с кириллицей. Кроме этого, всё больше организаций при выборе DLP обращают внимание на удобство работы, требования к архитектуре сети и стоимость владения, не забывая тестировать работоспособность заявленных функций. Как отмечают специалисты по безопасности финансовых организаций, с этим у некоторых DLP-продуктов, особенно у тех, которые появились на рынке совсем недавно, были и остаются серьезные проблемы.

Поскольку DLP-системы сегодня являются многофункциональными продуктами, позволяющими не только предотваращать утечку конфиденциальной информации, но и решать множество других задач, то нет ничего удивительного в том, что организации как в России, так и в соседних странах всё более активно рассматривают их не только в их «родном» применении. Хотя по-прежнему в большинстве организаций они используются именно в целях обеспечения информационной безопасности.

Стоит также сказать, что большинство DLP-систем позволяют эффективно контролировать не только e-mail, но и различные другие каналы передачи данных, по которым может произойти утечка информации: социальные сети, «Скайп», ICQ и прочие мессенджеры, и т.д. Специалисты рекомендуют контролировать эти каналы, отказавшись от их запрета, поскольку в противном случае организация может не иметь представления о действиях сотрудников, полагая, что ситуация в свете запрета каналов находится под полным её контролем.

Как показывает практика, применение DLP-системы для контроля электронной почты позволяет полностью «закрыть» данный вопрос в организации, а её применение для других каналов передачи данных позволяет снизить число инцидентов в сфере ИБ в среднем в 4,5 раза.

Контроль электронной почты в компании: 1, 2, 3

Немного о безопасности для интернет-магазинов

В чем же заключаются основные проблемы, связанные с безопасностью использования всех этих решений? По большому счету, их можно разделить на две группы: использование непроверенных решений и недостаточно надежное хранение информации о платежных реквизитах покупателя.

Поговорим сначала о первой группе проблем. Некоторая, небольшая их часть заключается в использовании сомнительных платежных шлюзов, предлагающих мизерную комиссию за прием платежей от конечного покупателя. Разница с раскрученными и известными шлюзами может оказаться потрясающей: вместо 6-7% предлагают брать 0,5‑1%. Продавец, рассчитывающий на большие обороты, понимает, что это может помочь ему сэкономить десятки тысяч рублей, и соглашается.

К сожалению, очень редко такие сервисы могут предоставить надлежащее качество обслуживания и обеспечить требуемый уровень безопасности клиентских транзакций, в результате чего страдает клиент, а магазин приобретает плохую репутацию. Большинство таких платежных шлюзов, пытающихся выиграть за счет демпинговых цен, живут на рынке не более полугода. Соответственно, если интернет-магазин планирует просуществовать несколько дольше и вырасти до сколь-нибудь заметного размера, ему стоит присмотреться к уже хорошо зарекомендовавшим себя у других продавцов шлюзам.

Но гораздо больше проблем вызывает использование неизвестно кем и когда написанных модулей для популярных «движков» интернет-магазинов, позволяющих подключить различные платежные системы и шлюзы. Зачастую владельцы интернет-магазинов, будучи сами не слишком хорошо знакомыми с программированием, предпочитают просто скачать и установить расширения для популярных CMS, которые позволят принимать оплату через популярные же платежные системы.

В общем-то, это вполне нормальный подход, если отнестись к выбору расширений достаточно ответственно. Увы, так делают далеко не все. Поэтому на многих сайтах, торгующих товарами через Всемирную сеть, модули оплаты работают из рук вон плохо, не говоря уже о том, что не обеспечиваются элементарные требования безопасности: платежные данные сохраняются в Cookies браузера и на самом сайте без какого-либо шифрования, данные передаются по простому HTTP-протоколу (если позволяет сама платежная система) и т.д. Всё это приводит к утечками информации о платежных данных пользователя и к последующей краже денег с его счетов.

Каким может быть выход из этой ситуации? Очевидно, что платежный модуль – не то, на чем стоит экономить. Любой работающий более-менее стабильно интернет-магазин может себе позволить заплатить несколько тысяч рублей за модуль, созданный не безымянным студентом, а нормальной Web-студией, которая, ко всему  прочему, может помочь и с его установкой в CMS магазина. Это исключит или, во всяком случае, минимизирует риск утечки клиентских данных и, в конечном итоге, положительно скажется на продажах.

Вторая группа проблем, связанных с хранением клиентских данных, в чем-то является продолжением первой группы, поскольку связана не столько с действиями самих владельцев торговых сайтов, сколько с тем, как ведут себя их «движки» в тот момент, когда покупатель вводит свои данные для оплаты товара. Речь идет о тех из них, которые уже имеют встроенный функционал по взаимодействию с платежными системами и платежными шлюзами.

Очень часто сайты запоминают вводимые пользователем данные для того, чтобы во время следующей покупки ему не нужно было вводить их заново. Идея, в общем-то, здравая и хорошая, потому что современная индустрия интернет-платежей часто требует введения большого числа данных на стороне клиента (хотя, конечно, и не всегда). Каждый раз вводить все данные заново действительно может быть неудобно, но для того, чтобы их хранить, недостаточно просто записать их в базу данных. В таком случае, если сайт взломают, утекут не просто логины и пароли клиентов – утекут их платежные реквизиты, что даст возможность взломщикам легко и быстро обогатиться за счет покупателей.

Решения может быть два: либо вовсе не хранить данные у себя, подобрав такой платежные шлюз, который сам обрабатывает все данные, вводимые пользователем, или хранить их как положено – то есть, в зашифрованном виде. Для этого надо, опять-таки, использовать нормальные решения, которые хорошо зарекомендовали себя на рынке, а не заказывать написание интернет-магазина знакомому студенту, который не может предложить ничего, кроме демпинговой цены. К счастью, сегодня уже немало бесплатных «движков» для интернет-магазинов, которые предлагают хороший функционал «из коробки». Всё, что нужно для их использования – это немного знать английский язык. Выбор такого «движка» ‑ это, конечно, тема, выходящая за рамки данной статьи, но можно порекомендовать ознакомиться с неплохим обзором бесплатных CMS для интернет-магазинов здесь.

В целом же, как можно понять из всего изложенного выше, основная причина проблем интернет-магазинов с платежными системами и платежными шлюзами – это невнимательность их владельцев к техническим вопросам функционирования их сайта, и, в частности, к вопросам обеспечения безопасности. Вполне понятно, что вопросы продвижения, маркетинга и прочие чисто «торговые» моменты могут казаться владельцу интернет-магазина более важными, однако не стоит забывать, что если ваш автомобиль неисправен, то разрабатывать маршрут путешествия на нем бесполезно. Тут та же ситуация: неисправный магазин  может «сломаться» в самую неподходящую минуту, принеся своему владельцу вместо прибыли значительный ущерб.

Поэтому не стоит экономить на наиболее важных компонентах сайта – ведь, без сомнения, модуль оплаты покупок является одним из них. Помните, что любой инцидент с утечкой платежных реквизитов может поставить крест на дальнейшем развитии даже достаточно крупного и известного интернет-магазина, поэтому максимально внимательно отнеситесь к обеспечению качественной работы вашего магазина с платежными системами и к выбору партнеров в данном вопросе.

Немного о безопасности для интернет-магазинов: 1, 2.

Почему опасна текучка кадров с точки зрения ИБ?

В любой компании имеет место текучка кадров. Это совершенно нормальное явление: в среднем за год, в зависимости от индустрии и размеров компании, могут смениться от 5 до 20 процентов персонала. Но при этом возникает проблема утечек информации: многие из уволившихся или уволенных стремятся прихватить с собой закрытые корпоративные данные. Как можно бороться с этим явлением?

Явление, о котором идет речь, к великому сожалению, достаточно массовое: по исследованиям специализирующейся на защите от утечек информации компании SearchInform, в 2012 году на постсоветском пространстве, включая и Россию, с попытками вынести информацию за пределы компании при увольнении столкнулись почти 43% компаний. Эта цифра действительно впечатляет: ведь, фактически, половина компаний теряет свою конфиденциальную информацию вместе с увольняющимися сотрудниками, что, мягко говоря, не способствует процветанию этих компаний.

Не менее интересны и результаты опроса сотрудников компаний и государственных организаций, которые также проливают некоторый свет на всю глубину проблемы:

  • Вопрос: «Готовы ли вы перейти на работу с большей зарплатой к конкурентам, при условии передачи им конфиденциальных данных?». Ответы: «Да, но я ничего не знаю» ‑ 10.1%; «Жаль только не предлагают» ‑ 20.2%; «Я уже так делал» ‑ 5.3%; «Нет. Боюсь, меня оттуда быстро уволят» ‑ 11.5%; «Нет, это аморально» ‑ 52.8%.

  • Вопрос: «Использовали ли вы в личных целях служебную информацию?». Ответы: «Нет» ‑ 50.8%; «Не было возможности, но хотелось» ‑ 8.9%; «Никогда не обладал такой информацией» ‑ 13.4%; «Использовал» ‑ 26.8%.

Как показывают исследования SearchInform, одной из наиболее серьёзных угроз информационной безопасности организации являются именно уволенные работники. Более трети уволенных сотрудников выражают готовность к продаже корпоративных данных по инициативе покупателя, а ещё 15.7% и сами готовы предложить их конкурентам последнего работодателя.

Для контроля увольняемых/увольняющихся сотрудников DLP-система должна поддерживать установку специальных агентов на рабочие станции пользователя – именно эти агенты в дальнейшем позволят обнаружить появление на рабочих станциях сотрудников информации, которой там никак не должно быть.

Как показывает опыт, конкурентов интересует весьма и весьма широкий спектр закрытой корпоративной информации, начиная со списков текущих клиентов, заканчивая технологическими разработками, бизнес-планами, а зачастую еще и паролями от корпоративных сетевых ресурсов – с их помощью можно получить доступ ко всему перечисленному выше. Поэтому отслеживание переписки с конкурентами должно стать одной из приоритетных задач корпоративного отдела информационной безопасности. А для того чтобы отслеживать переписку сотрудников с конкурентами, нужно их знать: достаточно знать названия и домены корпоративных сайтов. Именно по этим данным и нужно искать переписку с конкурентами при помощи DLP-системы.

Что ж, допустим, вы смогли обнаружить, что ваш сотрудник переписывается с конкурентами, которые предлагают ему перейти на работу к ним, «захватив» с собой кое-что из конфиденциальных документов текущего работодателя. Как же быть в такой ситуации?

Независимо от того, ответил сотрудник согласием или отказом, необходимо поставить его на строжайший контроль: даже отказавшийся поначалу от щедрых посулов работник может в конце концов передумать. Кроме того, конкуренты наверняка не без причины обратились со своим предложением именно к нему.

Если же имел место сговор с целью хищения конфиденциальной информации, то можно поступить различными способами. Самый простой – это «раскрыть карты», уволив пойманного с поличным работника. В случае если при внедрении DLP-системы соблюдены все необходимые юридические формальности, возможно также преследование сотрудника и конкурирующей компании в судебном порядке.

Более интересной и стратегически выигрышной является тактика предоставления конкуренту вместе с уволенным сотрудником ложных данных. Конечно, она требует кропотливой и тщательной работы как отдела информационной безопасности, так и других служб компании, зато позволяет взять инициативу в свои руки и получить зачастую весьма и весьма значительное преимущество перед дезинформированными конкурентами.

Впрочем, в тех случаях, когда увольняющийся сотрудник хочет украсть данные не для кого-то, а просто «на всякий случай», подобные хитрости избыточны.

Почему опасна текучка кадров с точки зрения ИБ: 1, 2.

Пятничный пост

Сегодня у нас не будет длинных рассуждений о вечном или о насущном. Будет короткий пост-напоминалка о том, что нужно всегда помнить о том, какое колоссальное количество данных отсылают современные смартфоны компании-производителю.

Профессор Флоридского университета Оуэн Манди создал сайт "I Know Where Your Cat Lives", необычным способом напоминающий пользователям о том, как беспечно они открывают данные о себе, зачастую даже не задумываясь над этим.

Подключаясь к популярным фотохостингам вроде Instagram и Flickr, сервис запрашивает у них изображения с хэштегом #cat, у которых указано место съемки (как правило, смартфоны автоматически вставляют данные о месте в файл с фотографией). Затем "I Know Where Your Cat Lives" выводит полученные фотографии котов на карте мира, позволяя посмотреть место съемки каждого.

Поскольку в большинстве случаев фотографии котов сделаны дома их хозяевами, публичное размещение таких фотографий способно раскрыть, в каком доме живет определенный человек. При этом сам пользователь, размещающий фотографии на популярном сервисе в публичном доступе, может не осознавать, что данные о его месте жительства теоретически доступны любому другому человеку.

По словам Манди, сайт является "экспериментом с данными" и призван исследовать два явления: проблему использования личных данных онлайн-компаниями и распространенное среди интернет-пользователей восхищение котами.

Поскольку сайт не монетизируется, при этом требуя средств на хостинг, Манди создал в его поддержку кампанию на Kickstarter.

Всем хороших выходных!

Пятничный пост

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT