Не секрет, що сьогодні інформація відіграє набагато більшу роль в житті будь-якої компанії або державної організації, ніж пару десятків років назад. Хто володіє інформацією, той володіє світом, а хто володіє чужою інформацією, той набагато краще підготовлений до конкурентної боротьби, ніж його суперники. Чим загрожують сьогодні витоку конфіденційної інформації для тих, хто їх допускає?
Впровадження нових інформаційних технологій ставить сучасні компанії в залежність від інформаційної системи, а перехід на електронні носії інформації призводить до необхідності приділяти пильну увагу питанню інформаційної безпеки. Будь-яке втручання в роботу інформаційної системи: крадіжка, знищення або несанкціонований доступ до даних може привести до значних збитків компанії, а іноді і до її повної ліквідації, особливо якщо ці дані стосуються її комерційних таємниць або ноу-хау.
Стурбованість внутрішніми загрозами інформаційній безпеці обгрунтована. Держструктури і представники бізнес-сектору ставлять на перше місце витік інформації далеко не випадково, так як негативні наслідки цього інциденту очевидні: прямі фінансові збитки, удар по репутації, втрата клієнтів. Порівняння індексів стурбованості внутрішніми і зовнішніми загрозами ІБ показує, що саме інсайдерські ризики превалюють в списку найбільш небезпечних загроз. Більш того, найбільший рейтинг небезпеки припадає на витік конфіденційної інформації.
Згідно з даними порталу інформаційної безпеки Content Security ступінь небезпеки внутрішніх і зовнішніх загроз така:- розголошення (зайва балакучість співробітників) - 32%;
- несанкціонований доступ шляхом підкупу і схиляння до співпраці з боку конкурентів і злочинних угруповань - 24%;
- відсутність в фірмі належного контролю і жорстких умов забезпечення інформаційної безпеки - 14%;
- традиційний обмін виробничим досвідом - 12%;
- безконтрольне використання інформаційних систем - 10%;
- наявність передумов виникнення серед співробітників конфліктних ситуацій, пов'язаних з відсутністю високої трудової дисципліни, психологічною несумісністю, випадковим підбором кадрів, слабкою роботою кадрів по згуртуванню колективу - 8%.
Найбільш актуальними і значущими, як це не сумно, виявляються загрози, джерелом яких виступають користувачі системи і її обслуговуючий персонал, тобто співробітники компаній. Така тенденція підтверджується не тільки різними дослідженнями найбільших аудиторських компаній, а й відзначається в щорічних доповідях МВС Росії, присвячених правопорушенням у сфері інформаційної безпеки.
Не можна сказати, що проблема витоків інформації з'явилася зовсім недавно - такі речі, як промислове шпигунство, переманювання цінних фахівців разом з їх напрацюваннями та знаннями та інші подібні дії відомі вже досить давно. В інформаційну епоху зросла їх актуальність і значимість, оскільки сьогоднішні прийоми обробки і зберігання інформації відкривають воістину безмежні можливості для того, хто хоче цю інформацію незаконно отримати. Адже якщо раніше потрібно було виносити в буквальному сенсі цілі шафи паперових документів, то сьогодні все це можна передати по електронній пошті або записати на що міститься в кишеню невелику флешку. І обсяги інформації, яку сьогодні можна запросто «злити», тільки збільшують значимість загрози витоків конфіденційних даних.
Для того щоб говорити предметно про можливі наслідки витоків інформації, потрібно, в першу чергу, подивитися на те, яка інформація може взагалі «витікати» з компанії. Сьогодні, як показує практика, співробітники як випадково, так і цілеспрямовано передають за межі рідної організації найчастіше такі відомості:- Документи, що характеризують фінансовий стан і плани організації (фінансові звіти, різна бухгалтерська документація, бізнес-плани, договори і т.д.);
- Персональні дані клієнтів і співробітників організації;
- Технологічні і конструкторські розробки, ноу-хау компанії і т.п .;
- Внутрішні документи (службові записки, аудіозаписи нарад, презентації «тільки для співробітників» і т.д.);
- Технічні відомості, необхідні для несанкціонованого доступу в мережу організації третіх осіб (логіни та паролі, відомості про використовувані засоби захисту і т.п.);
Яким саме чином страждає компанія від витоків інформації в фінансовому аспекті, і будь-яка витік несе за собою фінансові наслідки? Само собою, витоку інформації, в результаті яких, наприклад, конкуренти отримують доступ до новітніх розробок компанії, несуть дуже важкі наслідки для неї, оскільки в результаті таких витоків всі засоби, витрачені на RD (Research Development), виявляються фактично подарованими конкурентам. Витоку фінансової документації, особливо в ті моменти, коли компанія перебуває, скажімо так, не в кращій формі, також цілком передбачувано можуть нести за собою дуже важкі наслідки, аж до банкрутства.
На перший погляд може здатися, що деякі витоку цілком нешкідливі, наприклад, ті ж витоку персональних даних. Але, як показує практика, саме вони стають найбільш частою причиною збитків компаній через витоки інформації. Збитки компанія отримує внаслідок судових позовів, висунутих потерпілими через витоки фізичними особами, чиї персональні дані піддалися компрометації, а також від штрафів регулюючих органів, що займаються захистом персональних даних на державному рівні. У Росії поки що проблема штрафів не так актуальна, як у західних країнах, де навіть найбільші компанії стають героями новин про штрафи за витік персональних даних клієнтів або співробітників. Але вже все через півроку ситуація в Росії повинна радикально змінитися у зв'язку зі вступом в повну силу закону «Про персональні дані».
Аналогічним чином призводять до збитків і витоку внутрішніх даних, наприклад, тих же службових записок і презентацій. До прямих збитків у вигляді штрафів або компенсацій вони, звичайно, не ведуть, але можуть серйозно нашкодити репутації компанії, яка допустила подібні витоки. А зіпсована репутація автоматично означає упущену вигоду, оскільки ряд потенційних клієнтів або партнерів можуть змінити свої переваги у виборі між кількома конкуруючими компаніями, і причиною подібних змін може служити як інформація, що стала публічною в результаті витоку, так і сам факт подібної витоку конфіденційних даних.
Таким чином, можна говорити про те, що будь-який витік інформації несе в собі ті чи інші негативні економічні наслідки для компанії. З цією думкою згодні і представники індустрії інформаційної безпеки, які говорять про те, що нешкідливих витоків даних не буває - будь-яка з них несе в собі шкоду для бізнесу, якщо не зараз, то в майбутньому. «Іноді досить важко передбачити, де і коли« вистрілять »ті документи, які інсайдери винесли з вашого офісу сьогодні, вважає Лев Матвєєв, генеральний директор компанії SearchInform - Буває, що проходить кілька місяців, або навіть кілька років, перш ніж інформація зробить свою чорну справа, потрапивши, наприклад, на очі журналістам або конкурентам. Саме тому дуже важливо захищати дані комплексно, а не ділити їх на більш важливі і менш важливі. Інформація, яка не призначена для публіки, повинна залишатися закритою. А значить її слід захистити від можливих витоків ».
Яким чином можна оцінити можливі збитки від витоку конфіденційних даних? Для початку необхідно звіритися зі списком можливих джерел шкоди:- Упущена вигода в результаті зіпсованого іміджу;
- Штрафи з боку регуляторів;
- Компенсації за судовими позовами;
- Зниження котирувань акцій (для акціонерних компаній) в результаті попадання на ринок інсайдерської інформації;
- Прямі збитки: вартість розробки технологічних рішень, вартість програних в результаті витоків даних тендерів і т.д.
Кожна витік інформації «ставить галочку» навпроти як мінімум одного з перерахованих вище пунктів, найбільш серйозні ж витоку здатні «піднести» компанії весь цей список. Відповідно, загальна сума збитку від кожної конкретної витоку інформації складається з «ціни» кожного джерела шкоди.
Звичайно, не для всіх перерахованих пунктів підрахувати можливу вартість збитку досить просто. Якщо, наприклад, штрафи з боку регуляторів або вартість технологічних розробок підрахувати не так вже й складно, то передбачити, як поведе себе ринок цінних паперів у відповідь на оприлюднені інсайдерами документи, або скільки клієнтів відвернуться від компанії в результаті погіршилася репутації, практично неможливо. Тому в своїх оцінках краще не дотримуватися оптимістичній позиції «все обійдеться», а закладати в «бюджет» витоку максимально можливу суму збитку. На жаль, достовірних досліджень, які показували б середню вартість витоку інформації в Росії, поки немає, проте можна орієнтуватися на дані для інших країн, які навряд чи будуть суттєво відрізнятися від даних для Росії.
Експерти також підрахували, що чим швидше компанія реагує на втрату комп'ютера, тим менші втрати вона несе. Якщо втрату ноутбука вдалося виявити в той же день, то витрати можуть скласти в середньому лише 8 950 доларів. Через тиждень вони можуть досягти вже 115 849 доларів.
Шифрування даних призводить до істотного зниження фінансових втрат при втраті комп'ютера. Так, якщо інформація на жорсткому диску ноутбука була зашифрована, втрата обходиться в 37 443 доларів, якщо немає, - то в 56 165 доларів.
Нарешті, фінансові втрати безпосередньо залежать від того, яку посаду в компанії займає людина, яка втратила комп'ютер або втратив його в результаті крадіжки. Найбільшою цінністю володіє ноутбук не вищої посадової особи компанії, а директора або менеджера. Втрата ноутбука топ-менеджером обходиться в середньому в 28 449 доларів, але якщо його загубили директор або менеджер, сума зростає до 60 781 доларів і 61 040 доларів відповідно.
Це свідчить про високий рівень ризику для корпоративних мереж, тому що доступ до сайтів для дорослих, пошук роботи на підозрілих ресурсах та інші види нецільового використання робочих ноутбуків можуть привести до серйозних витокам інформації, а іноді і до проникнення шкідливого ПЗ в мережу організації.
Для чого оцінювати можливий збиток від витоків інформації? Перш за все, для того, щоб зрозуміти, яку ціну насправді має конфіденційна інформація, якою володіє організація, а також оцінити вигоду від впровадження засобів захисту від витоків інформації (наприклад, DLP-систем - від англійського Data Leak Prevention, запобігання витокам даних). Вигода, звичайно ж, є, коли вартість можливих витоків хоча б в 2 рази перевищує вартість впровадження подібної системи. Як показує практика, для переважної більшості компаній впровадження DLP-системи дійсно доцільно.
Версія для друку