5 досадных уязвимостей в системе корпоративной защиты данных

Сисадмины вам расскажут: не знаешь пароль — попробуй пару admin/123456. Не прошло? Проверь qwerty. Есть еще десяток классических сочетаний, но 123456 и password, кажется, занимают топ уже не первый десяток лет.

b_582489b6c4b9a.jpg

Казалось бы, скандалы со сливом данных, взломами баз и прочими кибер-преступлениями должны научить нас относиться к информации серьезно. Но все это происходит где-то там — где Камбербэтч/Ассанж ведет борьбу с корпоративными и федеральными монстрами. А небольшие компании — кому они нужны?

Как бы не так.

По данным аналитического центра InfoWatch, только за I полугодие 2016 года было зафиксировано не менее 840 случаев утечки конфиденциальной информации — на 16% больше, чем в прошлом году. В 67% случаев данные «утекали» из-за внутренних нарушений. И лишь в 33 процентах случаев причины были внешние. Ситуация одинакова для всех областей деятельности. И каждый раз, когда вы поступаете по принципу «ничего страшного, все так делают» — ваш бизнес становится чуть более уязвимым.

Мы расскажем о том, какие уязвимости чаще всего встречаются в корпоративной защите данных и как закрыть эти слабые места.

Уязвимость 1. Отсутствие или минимальное разделение прав доступа

Такое получается, когда компания растет — и не следит за тем, чтобы система безопасности росла следом за ней. Привычно хранить все документы в общей папке, вести отчетность в общем экселе, а табличку контактов клиентов выложить на сервер — всем же нужно быстро смотреть.

Если в компании практикуется такой подход к информации, то при «переезде» на более продвинутую систему управления обычно не заморачиваются доступами и настройками.

Отдел маркетинга, бухгалтерия, юристы, аккаунт-менеджеры и остальные — все работают в общем информационном пространстве, где каждому сотруднику доступна база данных компании, личные данные коллег, реквизиты контрагентов и многое другое. Достаточно сделать пару кликов, чтобы узнать о текущих сделках и финансовых договоренностях. Такая система похожа на дом без стен, где любой может зайти в соседнее помещение и взять приглянувшуюся вещь, а отследить ее дальнейший путь будет нереально.

Решение. Используйте принцип многоуровневой защиты

Уже при создании такой системы каждый отдельный кластер информации рассматривается разработчиком как самостоятельный объект доступа. Администратор может устанавливать различную видимость по каждому объекту для разных пользователей. Таким образом, один сотрудник будет получать полный доступ к данным, другой — ограниченный, а третьему и вовсе не будет предоставлено прав на просмотр информации в блоке с высокой секретностью.

Нужно всячески охранять и защищать ценную информацию. Каждый отдел должен работать в своем «уютном домике», за пределы которого данные выносить нельзя и заглянуть туда тоже невозможно — даже коллегам из другого департамента.

Задайте эти правила сразу, пропишите в регламентах, какие доступы давать новым сотрудникам, как отключать из системы уходящих — и поддерживайте безопасность на разумном уровне.

Уязвимость 2. Неконтролируемое копирование файлов

В компании разрешают сохранять любые файлы на любые носители и не видит ничего страшного в том, чтобы подчиненные делились друг с другом рабочими файлами в личных мессенджерах, соцсетях и по скайпу.

Это же часть процесса — возразят многие. Возможно, но каков при этом риск утечки?

Личные коммуникации отследить довольно трудно. Особенно если переписка велась не с корпоративного компьютера, а с личного смартфона вашего работника. В результате нечистоплотный сотрудник, готовясь к увольнению, может планомерно скопировать рабочие файлы по самым интересным проектам. Или просто дублировать на личную почту деловую переписку, собирая таким образом самые горячие контакты. Никого не удивит «багаж» такого сотрудника, который на новом месте зарабатывает репутацию, принося с собой подробные регламенты или базы знаний, тщательно скопированные на прежнем месте работы.

Решение. Внедряйте DLP-системы

Частично эти проблемы решает вовремя ограниченный доступ к системе — сразу после того, как сотрудник подписывает заявление. Но от тихого копирования в процессе работы это не спасет. Поэтому — если у вас действительно есть что защитить — стоит использовать специальные методы защиты.

DLP, или Data Leak Prevention — это специальные системы защиты информации, главная цель которых — отслеживание и блокировка любых попыток недопустимого вывода данных за пределы внутрикорпоративной сети. DLP также полезна при мониторинге действий сотрудников и анализе их коммуникаций. При этом в расчет берутся все существующие каналы — от рабочей почты до мессенджеров и социальных сетей. Попытки работника сохранить файлы на любой съемный носитель также будут учтены системой, а информация об этом отобразится в соответствующем отчете.

Применение DLP позволит защитить от передачи третьим лицам любую информацию, содержащуюся в базе — от платежных реквизитов клиентов до персональных данных сотрудников. Внимание системы привлекут и любые нехарактерные попытки менеджеров отыскать в базе конфиденциальную информацию и документы.

Лайфхак:

Невозможность переслать файл по скайпу или в соцсетях на какое-то время станет проблемой. Но: если так ведутся согласования внутри компании, то это потенциальная проблема безопасности. И однажды файлы будут отправлены не тем людям.

Этого можно избежать, если замкнуть все коммуникации внутри единой системы управления компанией или корпоративного портала. Все внутренние документы должны перемещаться между отделами только там. Это несложно — внутри CRM обычно есть несколько разных каналов (задачи, проекты, чат, диск) и файлы легко направлять нужным людям.

Уязвимость 3. Неконтролируемый доступ к корпоративной базе данных в любое время с любых устройств

Доступ к рабочей информации 24/7 из любой точки мира — бесспорное благо для сотрудников. Если только мы не задумываемся о корпоративной безопасности.

Решение. Подумайте о приобретении надежной IRM

IRM, или Information Rights Management — это системы управления правами доступа к данным. Строго говоря, это политика использования данных, реализованная в виде специального ПО. Настройки IRM-системы позволяют администратору четко прописать критически важные пункты:

  • кто наделен правом доступа к конкретным кластерам информации в базах;
  • какие действие допустимо производить с каждым типом данных (ввод информации, только чтение, копирование и т.п.);
  • в какое время допустимо работать с информацией в базах (к примеру, можно закрыть доступ к данным для сотрудников в нерабочее время);
  • с каких устройств можно осуществлять доступ в корпоративные базы.

Если зашифрованная информация передается от менеджера к клиенту по электронной почте или любым другим цифровым способом, IRM-система автоматически подменяет документ ссылкой. Для большей безопасности доступ к содержимому таких файлов можно ограничивать и временными рамками. В этом случае по истечении установленного срока получателю придется снова ввести пароль, который ему сообщил администратор, когда впервые отправлял документ.

Права доступа и политику конфиденциальности задает администратор, согласно этому ведется и отслеживание данных. Если обнаружено незаконное перемещение информации, в действие вступают экстренные меры вплоть до удаления из системы с сохранением на закрытом резервном сервере. Доступ нарушителя к базе будет мгновенно заблокирован.

Привилегиями удаленного доступа к рабочей информации лучше наделять только ключевых проверенных сотрудников, в отсутствие которых приостанавливаются все дела. Остальных придется приучить регулярно появляться на работе.

Так работают многие крупные корпорации — доступ получают только те, кому он действительно нужен, причем на конкретных устройствах. Для маленькой компании это решение будет неоправданно громоздким и дорогим, так что можно просто серьезно озаботиться настройками доступов к разным блоком данных.

Иногда имеет смысл ограничение доступа к клиентской базе на уровне IP-адреса. Метод подойдет организациям, офисы которых имеют статические внешние IP-адреса. Установка фильтра позволит открыть доступ в базе только для указанного диапазона адресов.

Если персонал часто выходит в сеть с мобильных, лучше перестраховаться и перенаправить весь этот трафик через серверы компании. Это даст возможность отслеживать все рабочие взаимодействия, даже если информация передавалась не со стационарных офисных ПК. Современные системы управления мобильными устройствами позволяют создавать замкнутую среду для работы со всеми внутренними ресурсами организации. Часто такое взаимодействие происходит в пределах единого корпоративного приложения.

Уязвимость 4. Некорректное удаление из базы уволенных сотрудников

Сотрудника уволили, а его учетная запись все еще «висит» в системе без ограничения прав доступа — это «мина», которая однажды может взорваться очень громко.

Решение. Внимательно следите за тем, что происходит в вашей CRM

Создайте и следите за исполнением регламента увольнения. Традиция заполнения обходного листа, которую не любит никто, на самом деле — отличная защитная мера для компании, где уровень текучки достаточно высок. И один из пунктов обходного листа должен быть предназначен для сисадмина.

В идеале учетные записи работника, покинувшего организацию, должны блокироваться в течение суток. Всю важную для бизнеса информацию можно «выкачать» из профиля и сохранить в архиве. Если же заблокировать аккаунт невозможно, примите все меры для того, чтобы в него нельзя было войти под прежними паролями.

Дальновидные руководители предпочитают периодически проверять удаленные записи в базах данных. Этот нехитрый «шпионский прием» позволит исключить риск хищения, случайного или намеренного удаления критически важной для бизнеса информации.

Уязвимость 5. Нестабильность самой системы

Из-за нестабильности работы системы или ошибочных действий администратора часть файлов периодически теряется. Казалось бы, это абсурдная ситуация, увидеть которую можно только в кино. Вовсе нет. В компаниях, которые экономят на охране собственной безопасности, принимают на работу неквалифицированных сотрудников, игнорируют базовые правила «информационной гигиены», риск возникновения такой проблемы приближается к 100%.

Решение: Не забывайте о превентивных мерах безопасности

В первую очередь, это регулярное резервное копирование данных. Создание бэкапа позволит быстро восстановить все файлы в случае их утраты или повреждения, вызванного глобальной ошибкой.

Полезно сохранять и лог-файлы. Это поможет отследить активность каждого пользователя в системе. Логи подскажут, когда выполнялся вход в базу и выход из нее; с какой информацией работал сотрудник; покажут всю историю изменения данных. Наконец, с их помощью всегда можно восстановить изначальные значения.

Когда сисадмин приходит к вам с запросом на новые ИБП (источники бесперебойного питания) или жалуется, что RAID-массивы устарели и пора менять диски — не отправляйте его в конец очереди. Иногда просто хорошо работающий кондиционер в серверной в жаркое лето может спасти вас от потери критически важной информации.

Заключение

Из мелких и средних организаций важные сведения «утекают» гораздо чаще, чем пределы крупных корпораций. «В ряде случаев совокупный объем скомпрометированных записей в средних компаниях равен совокупному объему скомпрометированных записей в крупных компаниях в пределах одной отрасли», — комментируют в InfoWatch. С чем это связано? Крупные игроки относятся к безопасности данных с особым трепетом и вкладывают в технологии защиты миллионы долларов. В мелких же и средних компаниях системный подход к информационной безопасности нередко сводится к блокировке соцсетей и устным запретам на копирование. Не все готовы признать, что решения для защиты данных — вещь такая же необходимая, как корпоративный сейф. Если у вас не будет ни того, ни другого, то рано или поздно из офиса вынесут все, что не прикручено к полу.

Как оценить, верен ли ваш подход? Попробуйте мысленно подсчитать, сколько стоит ваша корпоративная информация и какой материальный ущерб нанесет вам ее утечка. А теперь сравните эти цифры со своими годовыми затратами на информационную безопасность. Включите сюда надежную систему управления, IRM и DLP-решения среднего уровня. И подсчитайте, стоит ли экономить на собственных рисках.

©  vc.ru