- безопасность
С ростом компании растет и объем чувствительных данных: конфиденциальные документы, финансовая информация, персональные данные сотрудников, клиентские базы, доступы к корпоративным почтовым сервисам и пр. Утечка любого из них наносит ущерб как минимум организации. Или хуже того — ее клиентам и партнерам. В этом материале мы разберемся с причинами утечек, их последствиями для бизнеса и превентивными мерами для повышения уровня информационной безопасности.
Причины утечки данных
Виновником внешних утечек становятся киберпреступники. Они пользуются уязвимостями в программном обеспечении или информационных системах компании, атакуют или заражают систему через вложения в электронные письма, вредоносные ссылки.
Внутренними причинами утечек информации становятся исключительно внутрикорпоративные моменты:
- человеческий фактор (несоблюдение требований ИБ, недостаточный уровень компетенции сотрудников, несвоевременное реагирование на угрозы);
- злонамеренная кража данных;
- ошибки проектирования и настройки IT-инфраструктуры и СЗИ;
- использование нелицензионного ПО;
- отсутствие средств защиты информации.
На самом деле случаи утечки данных по одной только внешней или внутренней причине случаются редко. Гораздо чаще внешнее вмешательство становится успешным именно из-за совокупности внутренних факторов: сотрудники игнорируют требования отдела ИБ, администратор не закрыл от индексации служебные разделы сайта, сотрудник, пользуясь избыточными правами доступа, забирает с собой клиентскую базу.
Не суть важно, преднамеренной или непреднамеренной является утечка. Важнее, что критичные, конфиденциальные данные попадают в третьи руки.
Репутационные и финансовые риски утечки данных
Когда конфиденциальная информация попадает к конкурентам, компания несет финансовые издержки. Если данные утекают в сеть или к шантажистам, финансовый ущерб сопровождается репутационным и, в свою очередь, влияет на доходность — потери клиентской лояльности автоматически влекут упущенную выгоду.
В 2019 году у агентства Retrieval-Masters Creditors Bureau Inc произошла утечка конфиденциальных данных почти 12 млн клиентов. Сразу после утечки лаборатории Quest Diagnostics и LabCorp отказались от сотрудничества, вслед за ними ушли и другие клиенты. В связи с инцидентом компании пришлось выплатить 4 млн долларов компенсаций и штрафов, что вынудило ее признать себя банкротом.
Превентивные меры безопасности
Чтобы снизить риск утечки данных, компания должна разобраться с внутренними и внешними причинами. Это комплексная работа, она идет одновременно в двух направлениях:
1. Организационные меры для повышения уровня ИБ внутри компании.
2. Внедрение специализированных IT-инструментов защиты.
К организационным мерам относится обучение сотрудников цифровой гигиене, внедрение и контроль исполнения политики безопасности, предоставление доступа к данным по принципу наименьших привилегий, регулярный анализ защищенности систем и поощрение культуры Bug Bounty.
К специализированным инструментам защиты данных относят программно-аппаратные и виртуальные СЗИ. В Nubes мы предлагаем:
- Межсетевой экран для комплексной защиты веб-приложений от сетевых атак.
- Фаервол нового поколения (NGFW) для системной защиты инфраструктуры от внутренних и внешних угроз.
- Система защиты корпоративного класса от DDoS-атак уровня L7.
- Средства защиты от DDoS-атак уровня L3/L4 (сетевой и транспортный уровень).
- Двухфакторная аутентификация при управлении сервисами клиентов.
Дополнительно в набор инструментов безопасности включаем продукты «Лаборатории Касперского», Qrator, UserGate, параллельно тестируем решения китайских вендоров.
Зачем столько? В отрасли информационной безопасности нет «серебряной пули», не существует универсальных решений. Нельзя сформировать одинаковый набор сервисов для ритейла, банка, ВУЗа и получить систему с одинаково надежной защитой. Чтобы по-максимуму закрыть риски утечки персональных или финансовых данных для каждой конкретной компании, изучаются бизнес-процессы, определяются требования к их непрерывности, устанавливается степень зависимости процесса от ИТ, анализируются взаимосвязи, уязвимости и потенциальный ущерб. И только после комплексного анализа бизнесу предлагаются конкретные технические решения и организационные меры для сокращения риска утечки данных.
Такой подход позволяет добиться не формальной, а результативной безопасности, а значит снизить финансовые и репутационные риски бизнеса, сократить затраты на несогласованные процесс поддержания ИБ и обеспечивать эффективность системы защиты на всех этапах жизненного цикла данных.
Для решения конкретных бизнес-задач по сокращению рисков, мы подбираем индивидуальный набор решений. Оставьте заявку — предложим конкретные сервисы под ваши возможности и цели.