29 мая 11.00
Вебинар "Безопасное хранение цифрового контента с помощью отечественной DAM-платформы"
 

Сокращаем риск утечки данных

Сокращаем риск утечки данных
Время на прочтение: 4 минуты

С ростом компании растет и объем чувствительных данных: конфиденциальные документы, финансовая информация, персональные данные сотрудников, клиентские базы, доступы к корпоративным почтовым сервисам и пр. Утечка любого из них наносит ущерб как минимум организации. Или хуже того — ее клиентам и партнерам. В этом материале мы разберемся с причинами утечек, их последствиями для бизнеса и превентивными мерами для повышения уровня информационной безопасности.

Причины утечки данных

Виновником внешних утечек становятся киберпреступники. Они пользуются уязвимостями в программном обеспечении или информационных системах компании, атакуют или заражают систему через вложения в электронные письма, вредоносные ссылки.

Внутренними причинами утечек информации становятся исключительно внутрикорпоративные моменты:

  • человеческий фактор (несоблюдение требований ИБ, недостаточный уровень компетенции сотрудников, несвоевременное реагирование на угрозы);
  • злонамеренная кража данных;
  • ошибки проектирования и настройки IT-инфраструктуры и СЗИ;
  • использование нелицензионного ПО;
  • отсутствие средств защиты информации.

На самом деле случаи утечки данных по одной только внешней или внутренней причине случаются редко. Гораздо чаще внешнее вмешательство становится успешным именно из-за совокупности внутренних факторов: сотрудники игнорируют требования отдела ИБ, администратор не закрыл от индексации служебные разделы сайта, сотрудник, пользуясь избыточными правами доступа, забирает с собой клиентскую базу.  

Не суть важно, преднамеренной или непреднамеренной является утечка. Важнее, что критичные, конфиденциальные данные попадают в третьи руки.

Репутационные и финансовые риски утечки данных

Когда конфиденциальная информация попадает к конкурентам, компания несет финансовые издержки. Если данные утекают в сеть или к шантажистам, финансовый ущерб сопровождается репутационным и, в свою очередь, влияет на доходность — потери клиентской лояльности автоматически влекут упущенную выгоду.

В 2019 году у агентства Retrieval-Masters Creditors Bureau Inc произошла утечка конфиденциальных данных почти 12 млн клиентов. Сразу после утечки лаборатории Quest Diagnostics и LabCorp отказались от сотрудничества, вслед за ними ушли и другие клиенты. В связи с инцидентом компании пришлось выплатить 4 млн долларов компенсаций и штрафов, что вынудило ее признать себя банкротом.

Сервис защиты периметра сети NGFW
Две недели бесплатного тест-драйва

Превентивные меры безопасности

Чтобы снизить риск утечки данных, компания должна разобраться с внутренними и внешними причинами. Это комплексная работа, она идет одновременно в двух направлениях:

1. Организационные меры для повышения уровня ИБ внутри компании.

2. Внедрение специализированных IT-инструментов защиты.

К организационным мерам относится обучение сотрудников цифровой гигиене, внедрение и контроль исполнения политики безопасности, предоставление доступа к данным по принципу наименьших привилегий, регулярный анализ защищенности систем и поощрение культуры Bug Bounty.

К специализированным инструментам защиты данных относят программно-аппаратные и виртуальные СЗИ. В Nubes мы предлагаем:

  • Межсетевой экран для комплексной защиты веб-приложений от сетевых атак.
  • Фаервол нового поколения (NGFW) для системной защиты инфраструктуры от внутренних и внешних угроз.
  • Система защиты корпоративного класса от DDoS-атак уровня L7.
  • Средства защиты от DDoS-атак уровня L3/L4 (сетевой и транспортный уровень).
  • Двухфакторная аутентификация при управлении сервисами клиентов.

Дополнительно в набор инструментов безопасности включаем продукты «Лаборатории Касперского», Qrator, UserGate, параллельно тестируем решения китайских вендоров. 

Зачем столько? В отрасли информационной безопасности нет «серебряной пули», не существует универсальных решений. Нельзя сформировать одинаковый набор сервисов для ритейла, банка, ВУЗа и получить систему с одинаково надежной защитой. Чтобы по-максимуму закрыть риски утечки персональных или финансовых данных для каждой конкретной компании, изучаются бизнес-процессы, определяются требования к их непрерывности, устанавливается степень зависимости процесса от ИТ, анализируются взаимосвязи, уязвимости и потенциальный ущерб. И только после комплексного анализа бизнесу предлагаются конкретные технические решения и организационные меры для сокращения риска утечки данных.

Такой подход позволяет добиться не формальной, а результативной безопасности, а значит снизить финансовые и репутационные риски бизнеса, сократить затраты на несогласованные процесс поддержания ИБ и обеспечивать эффективность системы защиты на всех этапах жизненного цикла данных.

Для решения конкретных бизнес-задач по сокращению рисков, мы подбираем индивидуальный набор решений. Оставьте заявку — предложим конкретные сервисы под ваши возможности и цели.

Новые статьи и анонсы вебинаров в нашем Телеграм-канале