Як відомо, витоку інформації несуть в собі безліч негативних наслідків для допустили їх компаній - це і серйозних фінансових збитків, і удар по репутації. На жаль, уберегтися від витоку даних вдається далеко не завжди. Що робити, якщо вона вже відбулася?
Механізми шкоди від витоків даних
Для того щоб максимально точно відповісти на це питання, для початку спробуємо розібратися, чим саме розкрадання інформації може зашкодити організації, яка її допустила. По суті справи, всі заходи, пов'язані з усуненням наслідків витоку, так чи інакше, зводяться до мінімізації збитку по кожному з розглянутих нижче пунктів.
Найпростіший і очевидний збиток від витоку - це прямі збитки фірми, пов'язані з вартістю даних. потрапили в руки конкурентів або стали загальнодоступними. Для належного розуміння розглянемо конкретний приклад. Припустимо, деяка виробнича компанія вирішила випустити на ринок нову модель граблів, для чого замовила своїм підрядникам виконання робіт, пов'язаних з їх випуском: дизайн-студії - розробку дизайну вироби, НДІ граблестроенія - підбір матеріалів, найближчого колгоспу - тестування новинки в польових умовах. За кожне з цих напрямків роботи підприємство виплатило підрядникам чималі суми. У зв'язку з цим, коли конкуренти викрали креслення граблів, результати підбору матеріалів і протоколи польових випробувань, вони заощадили гроші, а компанія-замовник зазнала збитків.
Слід зазначити, що свою ціну має будь-яка інформація (навіть якщо вона, на перший погляд, нічого не коштувала фірмі), оскільки виконувалася її працівниками. Адже їм теж платять зарплату - відповідно, час, витрачений ними на отримання інформації, складає її базову вартість.
Однак прямі збитки - далеко не єдиний пункт у списку джерел збитків від витоку даних. Наступна на черзі - недоотриманий прибуток. Компанія, що вкрала документацію на граблі і перша випустила їх на ринок, отримає можливість зняти всі вершки «своїм» новим продуктом, тоді як реальний розробник виявиться в положенні наздоганяючого або, того гірше, споживачі звинуватять його в плагіаті. Відповідно, продажу цього підприємства будуть значно менше очікуваних.
Ще одна неприємність, з якою може зіткнутися компанія, яка допустила витік, - це судові позови потерпілих в результаті інциденту. В даному випадку мова йде про витік персональних даних. Як показує практика, саме судові позови від фізичних осіб стають найбільш частою причиною збитків компанії. Крім того, це може спричинити за собою штраф від регулюючих органів, що займаються захистом персональних даних на державному рівні.
До речі, на пострадянському просторі проблема штрафів поки не так актуальна, як у західних країнах, де навіть найбільші організації стають героями новин про витік і наступних санкції, але поступово ми наближаємося до західної моделі відповідальності за інформаційні втрати.
Нарешті, найважливіший вид збитків, який найскладніше оцінити і нейтралізувати, - репутаційний. Будь-яка організація, яка допустила розкрадання відомостей, тим самим погіршує свій імідж в очах потенційних клієнтів, партнерів і власних співробітників. Все це, в свою чергу, веде до недоотриманого прибутку і часто - до відтоку кваліфікованих кадрів, що в стратегічній перспективі може виявитися навіть гірше незароблених грошей.
Це особливо актуально в тих випадках, коли компанія працює на західних ринках або в сфері, так чи інакше пов'язаної з захистом даних. Що може підірвати імідж більше, ніж ситуація «швець без чобіт»? Часто саме репутаційні втрати виявляються найболючішими і довгостроковими. До того ж, якщо витік стався в переломний для організації період, такий інцидент може стати причиною її банкрутства.
Алгоритм дій при витоках інформації
Отже, що ж робити, якщо у вашій компанії виявлено витік інформації? За порадою аналітика компанії SearchInform, що працює в сфері захисту даних від витоків, Романа идов. в переважній більшості випадків потрібно дотримуватися досить простого алгоритму, що дозволяє мінімізувати наслідки:
• встановити джерело витоку, щоб уникнути її повторення;
• з'ясувати, кому стала доступна викрадена інформація;
• встановити, які ще дані могли бути скомпрометовані в результаті цього витоку;
• повідомити про витік всім особам, які можуть постраждати в її результаті;
• якщо є необхідність, звернутися в правоохоронні органи;
• працювати над мінімізацією шкоди по кожному з можливих напрямків.
Детальніше розглянемо кожен з перерахованих вище пунктів.
Знайти джерело витоку потрібно до початку інших дій саме з метою запобігти розкраданню інший закритої інформації, а також покарати винних для того, щоб іншим, як то кажуть, не кортіло. Найкращим способом пошуку може стати аналіз мережевої активності користувачів корпоративної комп'ютерної мережі з допомогою системи моніторингу інформаційних потоків підприємства або DLP-системи (від англ. Data Leak Prevention - захист від витоків даних).
Далі слід з'ясувати, хто отримав конфіденційну інформацію. щоб зрозуміти, кому і чим це загрожує. Тут важко давати будь-які поради, оскільки все залежить і від самої інформації, і від її одержувача. Але цілком зрозуміло, що одна справа, коли витікають, наприклад, дані про дослідження ринку, які стають надбанням преси, і зовсім інша - коли список найбільших клієнтів потрапляє в руки найближчого конкурента.
Після цього варто оцінити, які ще дані могли передати за межі компанії ті, хто винен в першій витоку. Це, знову-таки, потрібно для того, щоб більш повно оцінити наслідки останньої для самої фірми та інших, пов'язаних з нею організацій і приватних осіб.
Звертатися в правоохоронні органи має сенс з приводу не кожній витоку, однак це буває необхідно, щоб покарати винних. На жаль, поки що практика судового переслідування винних у розголошенні комерційної таємниці не дуже поширена, і компанії вважають за краще самостійно вирішувати стосуються цього питання, в зв'язку з чим відсутні показові судові процеси, здатні змусити задуматися співробітників, що продають «на сторону» закриту корпоративну інформацію.
мінімізація збитків
Про мінімізацію збитку по кожному з можливих його джерел варто поговорити окремо і досить докладно, оскільки саме вона становить левову частку роботи по усуненню негативних наслідків витоку конфіденційної інформації.
Ще один дуже ефективний спосіб зменшити шкоду від витоку - повідомити про неї максимально голосно, причому назвавши не тільки винуватців, а й замовників. Робити це необхідно лише в тому випадку, якщо існують незаперечні докази причетності конкуруючих організацій до витоку, інакше можна бути звинуваченим в наклепі і навіть заплатити солідну компенсацію за пов'язаному з цим звинуваченням позовом. Проте, якщо докази існують, то компанія, яка допустила витік, буде виглядати в більш виграшному світлі, ніж та, яка стала викрадачем даних.
Захиститися від судових позовів допоможе також своєчасне повідомлення про витік. Для цього зовсім не обов'язково випускати прес-реліз, досить попередити клієнтів, партнерів, співробітників, які постраждали в результаті неї. Непогано «працює» і пропозицію грошової компенсації (подібного роду витрати будуть значно менше суми можливих позовів).
А для того, щоб бажаючих отримати компенсацію було не надто багато, можна організувати її видачу тільки за паспортом: як відомо, люди не дуже люблять зв'язуватися з «халявою», якщо для її отримання потрібно надавати документ.
Виправити зіпсовану репутацію практично нереально, але можна, по-перше, надати публіці покараного винуватця; по-друге, розповісти про те, що компанія робить для запобігання подібного інциденту в майбутньому; по-третє, постаратися відвернути від негативної події позитивним: наприклад, провести акцію зі збору пожертвувань для дитячого будинку.
Якщо розкрадання інформації все ж сталося, головне - засвоїти урок і не допускати подібних інцидентів в майбутньому. Для цього необхідно серйозно зайнятися забезпеченням інформаційної безпеки в організації, оскільки будь-який витік відомостей - це недоробка відразу в багатьох областях, починаючи з кадрової політики і закінчуючи безпосередньо контролем роботи співробітників на їх робочих місцях.
В цілому, витік даних - не привід для відчаю. Якщо підійти до вирішення проблеми спокійно і виважено, то можна мінімізувати наслідки навіть дуже масштабною і болючою для підприємства втрати, а якщо пощастить - поліпшити своє становище і «потопити» конкурента. Одним словом, як і завжди в бізнесі, важливо не опускати руки і мислити творчо - решта додасться.