Предотвращение утечки данных скорее организационная, чем техническая проблема.
Если обращение сотрудников с клиентскими данными на предприятии никак не регулируется, то с высокой степенью вероятности когда-нибудь случится кража данных с ПК или какого-либо носителя информации, и эта оплошность станет достоянием общественности. Союзы потребителей забьют тревогу, а средства массовой информации заклеймят предприятие, поставив его в один ряд с другими телекоммуникационными компаниями и финансовыми организациями, которые уже были названы «информационными неряхами», и оно лишится доверия своих клиентов.
Когда же на предприятии осуществляется слишком жесткий контроль в отношении клиентских данных или секретов фирмы, то этот факт может получить огласку как чрезмерная бдительность «большого брата», журналисты поставят его в один ряд с другими розничными торговыми сетями, прославившимися вторжением в личную жизнь своих сотрудников, а союзы потребителей усомнятся в том, что с клиентскими данными предприятие обращается уважительнее, чем со сведениями о собственных сотрудниках. И что произойдет? Правильно, предприятие лишится доверия своих клиентов.
РАЗВИТИЕ ДВУХ НАПРАВЛЕНИЙ ЗАЩИТЫ ДАННЫХ
Сегодня с уверенностью можно прогнозировать, что в ближайшие два года сфера информационной безопасности будет активно развиваться, причем это касается как защиты клиентских данных, так и сведений о сотрудниках. Уже давно назревающее противоречие между двумя направлениями защиты вновь обострится: бороться придется не только с «негодяями и растяпами», как удачно было сформулировано в декабрьском пресс-релизе компании Clearswift, но и с подозрениями относительно того, что само предприятие принадлежит хотя бы к одной из двух перечисленных категорий. Даже если СМИ когда-нибудь перестанут уделять пристальное внимание случаям слежки за сотрудниками, с одной стороны, и утечке данных, с другой, в законотворческом процессе решающее значение будет по-прежнему придаваться предотвращению инцидентов, подобных тем, где оказались замешаны компаний Lidl и Deutsche Bahn или Telekom и Berliner Bank, которые в 2008/2009 гг. реализовывали либо недостаточные, либо избыточные меры безопасности, а порой просто прикрывались необходимостью обеспечения безопасности для достижения других целей.
На первый взгляд, все это затрудняет реализацию мер по предотвращению попадания корпоративной информации в руки злоумышленников и конкурентов или ее нежелательной огласки. Кроме того, нерешенными остаются уже известные проблемы: все больше конфиденциальных данных хранится на огромном количестве самых разнообразных мобильных устройств, в то время как работа с ними все чаще переводится из среды с четкими сетевыми границами в общее информационное пространство с доступностью «везде» и «всегда», так что даже централизованные ресурсы теперь должны быть открыты для удаленного использования. В довершение всего нынешний экономический кризис усиливает напряженность между руководством предприятий и рабочими коллективами.
Это может стать причиной снижения лояльности к не выполняющим свои обязательства работодателям, а в отдельных случаях страх перед увольнением способен побудить сотрудника незаконно воспользоваться информацией, которая может оказаться полезной при вынужденном поиске другой работы. Реагируя на такое поведение усилением недоверия, работодатель только усугубит ситуацию.
ДЕЛАТЬ ТО, ЧТО ТРЕБУЕТСЯ
Парадоксально, но организационной проблеме противостоит технический арсенал, способный предотвратить любой вид утечки данных, если бы не приходилось долго и трудно заниматься согласованием с бизнес-процессами и преследовать взаимоисключающие цели защиты данных. Шифрование носителей, мобильных устройств и коммуникационных каналов применяется уже давно, использование интерфейсов поддается контролю, аутентификация реализуется с любой степенью надежности, администрирование пользователей обеспечивает быстрое предоставление и изъятие ресурсов, а инструменты для мониторинга позволяют осуществлять наблюдение за доступом к конфиденциальной информации и контроль по «принципу четырех глаз» в соответствии с требованиями защиты данных.
Но если все эти технологии действительно способны эффективно противостоять утечке данных, то почему так часто речь заходит о новых проблемах? Информационную аварию легко спровоцировать даже без участия недовольных сотрудников. Ведь шифрование только сейчас начинает активно внедряться на предприятиях, аутентификация, выходящая за пределы устаревшей технологии с использованием паролей, до сих пор трудна для пользователей, а истории об увольнении сотрудника и изъятии у него прав доступа к источникам информации лишь спустя несколько месяцев после этого любой практикующий специалист знает не понаслышке. К примеру, один из моих коллег через четыре года странствований по разным книжным и программным издательствам Мюнхена снова вернулся к своему первому работодателю и сразу же авторизовался в системе — его учетная запись так и не была удалена.
На этом фоне меры по предотвращению утечки данных представляются не столь ужасными, особенно если абстрагироваться от паникерских настроений в связи с кризисом и вороватых сотрудников. Ряд исследований, проведенных в последние месяцы, свидетельствует об одном: наибольшая угроза для корпоративных данных таится вовсе не в злонамеренном, а случайном нарушении информационной безопасности. Забытые ноутбуки, оставленные без присмотра носители данных, незащищенные домашние рабочие места и каналы доступа — почти всегда проколы случаются тогда, когда сотрудники стремятся очень усердно выполнить свою работу или даже поработать сверх нормы, находясь в дороге или дома. Таким образом, эта сфера нуждается в первоочередных мерах, хотя бы потому, что злоумышленников из числа сотрудников техническими средствами, да еще совместимыми с эффективными рабочими процессами, не остановить. В конце концов, если кто-то действительно захочет украсть секретную информацию, то, в самом крайнем случае, он может ее запомнить или сфотографировать.
КАТАЛОГ МЕР
Реальная концепция по предотвращению утечки данных может состоять из следующих компонентов:
-
применение шифрования для мобильных носителей данных и устройств. Столь же важно и принудительное шифрование конфиденциальной информации, однако для этого требуется ее предварительная классификация. Целесообразно также применение технологии для дистанционного удаления данных с утерянных устройств;
-
профессиональная защита удаленного доступа;
-
введение системы администрирования пользователей, позволяющей быстро присваивать и аннулировать права. Оба пункта важны, поскольку сотрудник, нуждающийся в доступе к информации и не получающий его из-за технических неудобств, будет искать обходные пути;
-
ограничение доступа к информации только теми разделами, которые действительно требуются конкретному сотруднику;
-
в сложных случаях следует вводить ограничения, не запрещающие доступ к данным, но разумно его регулирующие. Так, получение информации из конфиденциальной базы данных можно затруднить, ограничив ежедневное количество запросов без предварительной заявки. Именно по этой причине сокровища в замках раньше хранились в глубоких подвалах с крутыми ступенями;
-
введение корпоративной этики и «безопасного поведения» в качестве фактора, способствующего карьерному росту.
Технические меры, помещенные в этот список, далеко не новость. Так, Symantec недавно призвала уделять больше внимания предоставлению и изъятию ресурсов, а в Великобритании Марк Фуллброк из компании Cyber-Ark Software опубликовал предложения по введению регулярного контроля и обеспечению целостности процессов.
Что касается этических вопросов, то в этом плане могут потребоваться дополнительные разъяснения. Согласно исследованию, проведенному Pricewaterhouse Coopers, само существование перечня корпоративных этических принципов снижает случаи проявления экономичес-ких преступлений. Психологов это не удивляет, ведь люди руководствуются поведением окружающих, а если в сообществе вводятся правила поведения, то сразу же повышается порог сдерживания противоправных действий.
Другая мера — обучение обеспечению безопасности. Сотрудники, которые опасаются за свою должность, но способны подтвердить собственную компетентность в вопросах безопасности, оказываются в выигрыше при последующем трудоустройстве, ведь они будут заведомо способствовать снижению общекорпоративных рисков. Кроме того, предприятие, которое даже в трудные времена предоставляет сотрудникам специальное обучение и проводит внутрикорпоративную сертификацию, демонстрирует серьезное отношение и доверие к персоналу, кроме того, оно превращает безопасное поведение в качество, с которым впоследствии неохотно расстаются. Таким образом, даже «мягкие» меры позволяют предотвратить утечку данных.
Йоханнес Вилле — редактор LANline. Он является председателем рабочей группы «Осведомленность в области информационной безопасности» Европейского института противодействия компьютерным вирусам (European Institute for Computer Antivirus Research, EICAR).
© AWi Verlag