Утечка данных для компании — всегда неприятно. Это грозит потерей доверия, испорченной репутацией, а в худшем случае — уголовной ответственностью.
Утечка случается не только из-за мошенников: иногда и сами сотрудники доверчиво отправляют важные документы на неправильную почту или случайно выкладывают годовой отчет в соцсетях. В статье расскажем, как предотвратить ошибки, которые ведут к утечке данных, и что делать, если утечка всё же произошла.
Что такое утечка данных
Утечка данных — намеренное или случайное раскрытие конфиденциальных данных, их попадание в третьи руки. Например, если злоумышленник проник в базу данных службы доставки и слил в сеть имена и адреса клиентов. Или менеджер подслушал разговор руководителя с партнером о стратегических планах и продал конкуренту информацию. Или обиженная жена, найдя компромат на мужа, опубликовала это в соцсетях.
Пока информация не перешла в сеть или к другим лицам, это не считается утечкой. Например, если сотрудник подслушал вас, но решил оставить эти данные при себе, это не утечка. Другой вопрос, будет ли он всегда молчать.
Причины утечки информации
Утечка информации не всегда происходит по злому умыслу. Иногда сотрудники сами «сливают» данные, потому что не знают о правилах информационной безопасности. Расскажем, через какие каналы сами сотрудники могут способствовать утечке и какие способы кражи данных используют мошенники.
Основные каналы утечки
Разберемся с тем, через какие каналы ваши конфиденциальные данные могут попасть к злоумышленникам:
- Электронная почта. Сотрудник может отправить данные на личную почту, а оттуда их украдут мошенники, взломав ящик.
- Социальные сети. Например, сотрудник публикует фото с рабочего места, а на заднем плане — таблица с финансовыми данными компании за месяц.
- Внешние носители. Например, сотрудник копирует информацию на флешку, чтобы поработать дома, а флешку забывает на столе. Другой сотрудник может украсть ее и передать данные конкуренту.
- Облачные сервисы. Работник может выбрать незащищенное облако, чтобы хранить там важную информацию, — и она станет мишенью злоумышленников.
- Персональные устройства. Например, сотрудник использует личный смартфон для работы, а он может быть заражен вирусом, который крадет информацию.
Какие методы используют злоумышленники
Мошенники используют различные способы, чтобы украсть информацию из хранилища или из почтовых ящиков сотрудников:
- Фишинг. Злоумышленники создают фейковые ресурсы или адреса электронной почты, похожие на настоящие. Сотрудник думает, что ему пишет представитель партнера, а на самом деле это мошенник с похожим почтовым адресом. Ничего не подозревающий работник отправляет «партнеру» финансовую информацию, и она утекает в лапы мошенников.
- Брутфорс-атака. Это подбор паролей или ключей шифрования — чаще всего с помощью специальной программы. Так мошенники взламывают хранилища, почты, учетные записи, сайты.
- Программы-шпионы. В любой операционной системе есть уязвимости — этим и пользуются злоумышленники. Они внедряют в устройство программу-шпион, которая отправляет мошенникам конфиденциальные данные. Владельцы устройств часто даже не подозревают об этом.
Какие данные могут атаковать
Наиболее распространенные типы данных, которые привлекают злоумышленников:
- Персональные данные клиентов и партнеров компании — Ф. И. О., адреса, телефоны, аккаунты в мессенджерах и соцсетях.
- Медицинская информация — диагнозы, анализы, протоколы лечения, выписанные лекарства.
- Финансы — номера банковских карт, сведения о доходах, счета, налоговые декларации.
- Бизнес-информация — договоры, внутренняя переписка, стратегические планы, протоколы совещаний, прогнозы и статистика компании.
- Предметы интеллектуальной собственности — разработки, патенты и чертежи.
Чем опасна утечка данных
Вот несколько неприятных последствий, к которым ведет утечка информации:
- Низкая лояльность клиентов. Никто не хочет, чтобы злоумышленники узнали его адрес, номер паспорта или список товаров, заказанных на маркетплейсе. Поэтому, если клиенты узнают об утечке данных в вашей компании, они могут перейти к более надежному конкуренту.
- Испорченная репутация. Если ваши финансовые данные и бизнес-информация окажутся в открытом доступе, доверие партнеров и инвесторов пошатнется, а новых будет сложно найти.
- Уголовная ответственность. Разглашение коммерческой тайны — это уголовная ответственность: например, за разглашение персональных данных можно получить штраф до 5 млн рублей.
- Остановка бизнес-процессов. Чтобы не допустить дальнейших утечек, нужно будет найти причину, устранить ее, провести обучение среди сотрудников. Это требует времени — придется приостанавливать некоторые бизнес-процессы.
- Потеря конкурентного преимущества. Если конкуренты увидят ваши инновационные разработки или план развития, они смогут использовать это в собственных целях.
5 признаков уязвимости информации в компании
Некоторые компании больше подвержены риску утечки информации. Если в вашей организации есть эти процессы, уделите особое внимание защите данных:
- Высокая текучка. Уволившиеся сотрудники могут прихватить с собой и базу данных или важные документы, особенно если вы расстались в плохих отношениях.
- Частые командировки сотрудников. В поездки работники обычно берут ноутбук или планшет, а его так легко потерять или подхватить вирус, подключившись к неизвестной сети.
- Обмен информацией с многочисленными контрагентами или филиалами. Информация предоставляется через почту или внешние носители, а это одни из самых уязвимых каналов.
- Сложная IT-инфраструктура. Допустим, у вас есть главный сисадмин. Но для обслуживания CRM нужен второй администратор, для управления HCM — третий. Все системы связаны, поэтому каждому специалисту нужно дать максимальный доступ. А чем больше сотрудников имеют доступ, тем сложнее контролировать возможные утечки и выявлять виновников.
- Ремонт техники в стороннем сервисном центре. Сотрудники сервиса смогут легко просмотреть информацию на рабочем компьютере и украсть доступы.
Что делать при утечке информации
Итак, вы обнаружили, что конфиденциальные данные украдены. Сохраняйте спокойствие и действуйте по плану.
Шаг 1. Проанализируйте ситуацию
Выясните, какие именно данные были украдены и по каким каналам. Оцените ущерб: если к мошенникам попали ваши расходы на канцелярию — то это одно, а если конфиденциальные соглашения с партнером — то дело уже пахнет жареным. Подумайте, как вы можете сгладить ситуацию: например, если в сеть попала база данных клиентов, то вы можете назначить им бонусы за доставленные неудобства.
Шаг 2. Найдите причину
Проведите расследование — почему ситуация произошла: были ли виноваты сотрудники или произошла атака злоумышленников, а может, информацию слил недовольный бывший работник.
Определите, кому была доступна информация и кто контактировал с ней в последний раз. Изучите последние письма сотрудников и документы на их рабочих компьютерах, проверьте компьютеры на вирусы, а серверы — на наличие атак.
Шаг 3. Сообщите об утечке сотрудникам, клиентам и партнерам
Если утечка коснулась ваших клиентов или партнеров, не замалчивайте проблему, потому что об этом рано или поздно будет известно. И если вы будете молчать, то это еще сильнее снизит доверие к вам. Можно сделать массовую рассылку, где рассказать о причинах утечки и начислить бонусы за неудобства.
Проведите собрание среди сотрудников и объявите им о ситуации. Если среди украденной информации были персональные данные, нужно сообщить об этом в Роскомнадзор.