Защита информации от утечек или снова о коммерческой тайне и бизнесе
Сотрудникам практически любой современной коммерческой организации в силу исполнения ими служебных обязанностей часто требуется работать с коммерческой тайной или – говоря проще – информацией ограниченного доступа. К такой информации часто относят know-how, бизнес-процессы компании, технологические схемы, персональные данные сотрудников (включая данные о зарплатах), клиентские базы, патенты и многое-многое другое. При этом у сотрудников обычно есть доступ в Интернет по основным протоколам прикладного уровня. Соответственно, они могут с лёгкостью превратиться в инсайдера и толкнуть любой секрет компании « налево» и никакие традиционные СЗИ тут не помогут, а ценность информации - значит, и число инсайдеров - в современном мире с каждым годом всё растёт и растёт. Коммерческая тайна сегодня - неотъемлемый элемент информационной безопасности предприятия.
Как же в таких условиях защищать коммерческую тайну, как предприятию обезопасить свой бизнес от утечек с учётом рентабельности принимаемых мер, от чего вообще стоит защищаться и что считать КТ? Рассмотрим все эти вопросы подробнее.
Организационная безопасность и психология защиты коммерческой тайны
Как известно, ключевым звеном в утечке любой тайны – коммерческой, служебной, государственной – является человек и обычно этот человек имеет вполне законный доступ к ценной информации, т.е. инсайдер.
Основные проблемы охраны КТ можно разделить на 4 части: размытие понятия периметра информационной безопасности; неэффективность традиционных мер сетевого контроля; неучёт психологии поведения сотрудников и инсайдеров; отсутствие элементарной грамотности в сфере ИБ. Все эти части нуждаются в глубоком анализе и проработке вариантов решения. Итак, перейдём к описанию проблем...
1. Часто человек просто не знает о том, что он работает с коммерческой тайной!
Иными словами – проблема осведомлённости. Проблема эта, надо сказать, довольно распространённая: где написано, что относится к КТ, а что нет? Предупреждают, к примеру, в отделе ИБ компании о том, что вот в таких-то случаях он работает с КТ? На моей практике случай редкий и относится преимущественно к гос. структурам и гос. тайне, а также особых случаях работы с информацией типа банковской тайны, где вред распространения велик, серьёзен и очевиден. Отсюда уже возникает угроза просто случайного распространения конфиденциальной информации: кому-то хочется поделиться своими наработками или просто чем-то интересным с коллегами / друзьями / знакомыми – вот они и делятся.
Это настоящая проблема, о которой говорят и на Западе, и только начинают в России. О том, что люди часто просто не знают, с какой информацией они работают, - это полбеды, о которой уже сказано выше. Беда ещё в том, что эти юзеры просто не соблюдают элементарных правил безопасности. Простой пример: какая-нибудь VIP-персона ЦФТ с корпоративным ноутбуком и большими правами (в т.ч. правами подписи платёжных документов) сидит в Москве или, скажем, на Каймановых островах; вдруг во время работы ему приходит сообщение в соц. Сети от дочки (домашний компьютер не входит в зону защищённого периметра компании и хакнуть его проще простого): « папа, я тут нашла такой интересный сайт/игру: <ссылка>. Зайди - посмотри». Играть неинтересно, а вот чем там дочка занята – более, чем. Заходит, а там backdoor или ещё что поинтереснее. Это гиперболизированный пример, но суть он показывает хорошо. Беда безграмотности простых сотрудников (не безопасников!) в вопросах ИБ приводит не только к жертвам социальной инженерии, а к повышению рисков практически всех видов угроз. Уже названные выше директора ИБ-контор сходятся во мнении: повышение осведомлённости сотрудников, в вопросах ИБ, проведение регулярных тренингов и проверок знаний, очень существенно уменьшает число инцидентов и сильно снижает риски.
2. Отсутствие юридической значимости и защищённости коммерческой тайны.
Категория информации « конфиденциально» и коммерческая тайна, с точки зрения законодательства, вещи разные. И в случае, если фактическая КТ есть, но юридически грамотно она не оформлена, никакой помощи от государства в поиске и наказании виновного в её разглашении ждать не стоит. Тогда как помощь эта может быть очень даже неплохой и пренебрегать этой мерой не стоит.
О том, как ею не пренебречь и обеспечить юридическую защиту ценной информации от разглашения, написано в предыдущей статье о коммерческой тайне: Защита коммерческой тайны: нормативно-правовые аспекты.
Отметим пару выдержек оттуда. Стоит помнить, что должен быть чётко закреплённый перечень информации, составляющей КТ, список допущенных к ней лиц, причины доступа и их права. Понятие « конфиденциальная информация» к коммерческой тайне с позиции 98-ФЗ никакого отношения не имеет. Терминология здесь очень важна. Также, в п.1 98-ФЗ прямо сказано: на всех документах, составляющих КТ, должен быть нанесён гриф « Коммерческая тайна» с указанием владельца информации.
И прецеденты тому бывают. Приведу хороший пример: в одной коммерческой конторе происходил выбор исполнителей контрактов по целевым программам по конкурсу (обычная трендовая система), компании делали предложения, потом они проходили конкурсный отбор, принимался один вариант и вся информация касательно предложений, цен, алгоритмов работ составляла и у тех, и у других КТ. Так вот, перед отбором предложения проходили через безопасника, который наладил всю систему ИБ в этой конторе: тот должен был посмотреть фирму, изучить её и сказать, что те не мошенники, после чего уже информация шла на конкурс. В итоге, этот безопасник за деньги сливал всем конторам с предложениями то, что предлагают конкуренты по соседству. Его поймали с поличным, железные доказательства, но осуждён он не был: гриф КТ он ставил ПОСЛЕ принятия решения о выборе исполнителя, а не до (а соглашение по КТ с фирмами-партнёрами он не подписывал в принципе). В итоге, он формально сливал не КТ, а открытые сведения (да, через неделю они, возможно, становились КТ, но это через неделю).
Суд в России, как показывает реальная практика, достаточно равнодушен к структурам, из которых пришло дело: ФСБ, МВД, прокуратура, заявление коммерса – без чёткой доказательной базы делу крышка. Времена советского КГБ закончились – сейчас всё делается по-другому... Описанную ситуацию хорошо подтверждает занимательная статистика: из всех открытых (!) дел по утечкам (инсайдингу) доказывается и реально осуждается только лишь 7%. С учётом такой статистики и пункта а. ситуация более, чем непростая. И одними лишь юридическими мерами здесь ограничиться не получится.
3. Проблема незаконного выноса информации – проблема выявления самих фактов утечек!
Как реально показывает статистика (по словам представителя ГК Информзащита (Код безопасности / Softline)) 20% сотрудников коммерческих структур готовы свободно торговать КТ компаний, в которых они работают. Проводился широкий опрос и 20% реальных сотрудников коммерческих структур этого совершенно не скрывали (всем ясно, что 20% - это оценка снизу, реально при хорошем предложении цифра вырастет). С учётом того, что из выявленных (а тут ещё попробуй выяви) и схваченных за руку инсайдеров 93% уходят с радостью на лице и деньгами в кармане (как было сказано, 93% дел разваливается) и ущерб по издержкам ложится на компанию в довесок к ущербу по утечкам, ситуация более, чем неприятная. Часто компании, глядя на всю эту прискорбную картину, просто не хотят связываться с судами, ибо это может им дороже выйти. А часто просто не знают о фактах утечек: выявить их не так-то просто, тут нужны особые технические меры, о которых поговорим далее.
А теперь ответим на вопрос, как же бороться с фактами утечек? Бороться можно традиционно техническими мерами, а можно - и лучше - в добавок к ним посмотреть на ситуацию со стратегической позиции: почему люди торгуют информацией? Хотят денег. Как сделать так, чтобы им это было невыгодно? Научиться выявлять факты и наказывать, либо... Предоставить сотруднику личный интерес: если половину его оклада и все премии сделать зависимыми от прибыли всей компании и его непосредственного труда с нелинейным ростом в случае успеха (прибыль компании / результаты выше заданной планки - премия резко возрастает), тогда сотруднику будет по крайней мере далеко не так выгодно торговать секретами. Тем самым он будет лишать себя зарплаты и премий.
Возможен также вариант отсылки копии всех писем сотруднику отдела ИБ (т.е. надо добровольно ставить его в копию, иначе - запрет на отправку письма). Вариант неплох, но исключает личную переписку, что в общем-то может быть как плюсом (сотрудник не отвлекается от работы), так и минусом (повышается психологическая напряжённость). Есть и некоторые другие интересные методы стратегической защиты информации от утечек
Итоги
Таким образом, очертим конечный список необходимых для рассмотрения организационных мер:
- Проведение регулярных тренингов и обучение сотрудников грамматике ИБ.
- Чёткое и поставленное на поток информирование всех сотрудников с фактом конфиденциальности той или иной информации и мерах ответственности за разглашение, включая юридические последствия.
- Работа в строгом соответствии с ФЗ-98 "О коммерческой тайне".
- Применение методов включения интересов бизнеса в личный финансовый интерес сотрудников, работающих с КТ, с гибкой нелинейной системой поощрений.
Технические аспекты и меры защиты коммерческой тайны содержатся в следующей статье: .
A.S.
