На сегодняшний день основным средством обмена документами в компаниях становится электронный документооборот. Данный факт невозможно отрицать. Но вместе с тем возникает и необходимость в правильной организации этой документации в соответствии со степенью её важности, а также в обеспечении безопасности классифицированной документации. Проблема классификации документов важна не меньше, чем их безопасность. Неправильная систематизация данных может привести к различным дополнительным затратам вашей компании. Это связано не только с дополнительным временем, которое понадобится на классификацию документации в будущем, но и с дополнительными ресурсами оборудования. Систематизированные данные гораздо проще обеспечить нобходимым уровнем защиты в зависимости от степени конфиденциальности. Но если бумажные документы можно было запереть в дорогой и безопасный сейф, то как быть с электронными документами?
Одной из основных проблем безопасности важной бизнес-документации в компаниях является её незащищённость за пределами «периметра безопасности». Важные электронные документы, таблицы, презентации, конфиденциальная переписка - внутри «периметра информационной безопасности» компании к этой информации имеет доступ только определённый круг уполномоченных лиц. Когда деловая документация или переписка переходит к третьим лицам, уследить за дальнейшей судьбой этих данных практически невозможно. Оказавшись во внешней среде, эта информация становится доступной для несанкционированного чтения и копирования. Злоумышленники могут легко открывать и читать такие файлы, распространять их, использовать для компрометации вашего бизнеса, проникновения в ИТ-инфраструктуру вашей компании и выведения из строя различных сервисов и других незаконных действий.
Какие же существуют основные пути, по которым критичная для
бизнеса информация может попасть в руки злоумышленников?
Наиболее распространённый путь – потеря корпоративных мобильных устройств или носителей, содержащих важную бизнес-документацию. Этот путь является примером непредумышленной, случайной потери информации. Исследования, проведённые компанией Kensington, подтверждают – каждые 50 секунд в мире теряется один ноутбук (в том числе и корпоративный). Несложно догадаться, что USB-носители с важной корпоративной информацией теряются если не чаще, то примерно с такой же регулярностью. Особенно эти числа начали возрастать с внедрением крупными компаниями политики BYOD (Bring Your Own Device), при которой работникам компаний разрешено использовать свои личные ПК в качестве корпоративных устройств. Компания InfoWatch, занимающаяся защитой информации, в своём аналитическом обзоре утверждает, что тенденция использовать свои собственные мобильные ПК в качестве корпоративных будет лишь укрепляться в мировой практике, а это уже сейчас требует изменения подхода к безопасности корпоративных данных, хранящихся на этих компьютерах. Материальные затраты, связанные с потерями корпоративной информации, только на основе опубликованных в открытых источниках инцидентов, составили за 2012 год $37,8 миллионов. Возможно, это число было бы значительно меньше, если бы информация на утраченных устройствах была защищена при помощи современных алгоритмов и методов шифрования. К непредумышленному пути также можно отнести электронные письма, случайно отправленные постороннему человеку вследствие банальной опечатки в электронном адресе получателя. Однако, если письмо не было должным образом защищено и содержало важные вложения, либо конфиденциальные данные были размещены в самом теле письма, то изменить что-либо будет уже практически невозможно.
Второй путь потери бизнес-информации напрямую связан с человеческим фактором. И на сегодняшний день он имеет тенденцию к постоянному увеличению. Потери информации, сохранённой на корпоративных устройствах и носителях информации, носят, в основном, случайный характер. Однако в последние два года наблюдается рост утраты данных, связанный с умышленными действиями заинтересованных работников. В 2012 году доля умышленной передачи критических бизнес-данных составила 46% случаев против 38%, связанных со случайными потерями информации. Исследования компании CISCO подтверждают, что в крупных компаниях на каждые 100 сотрудников 3-5 человек являются инсайдерами, готовыми передать критичную бизнес-информацию конкурирующим компаниям либо злоумышленникам. Заинтересовать сотрудников компании можно различными способами, но это требует немалых финансовых и других затрат. Их можно избежать, применяя различные способы социальной инженерии. К примеру, злоумышленник может представиться сотруднику аудитором информационной безопасности, системным администратором или другим уполномоченным лицом и попросить передать конфиденциальные данные ему лично. Пути передачи могут быть самыми разными. Лидирующие позиции здесь занимает электронная почта и различные веб-каналы распространения информации. С ростом популярности социальных сетей этот веб-канал стал практически незаменимым для передачи конфиденциальных данных злоумышленникам. Контролировать доступ в соцсети сложнее, чем кажется, поскольку сотрудники могут использовать для этого личные мобильные устройства. Для того чтобы предотвратить этот путь утечки данных, имеет смысл защищать не только носители информации, но и сами документы, чтобы злоумышленники не смогли использовать их даже после получения.
Существует ли возможность защитить критичные бизнес-данные от использования третьими лицами в случае случайной или умышленной утраты?