Чаще всего при разговоре об информационной безопасности обсуждение сводится к определению финансовых рисков. Однако утечка информации грозит не только денежными убытками, но и репутационным ущербом. Такая нематериальная вещь как репутация имеет ключевое значение для всех организаций — лояльность и уважение клиентов с партнерами зарабатывается годами, а пропасть может в один миг. Почему борьба с утечками в этом контексте так важна и каким образом можно их предотвратить разбирается аналитический центр Falcongaze.
Преднамеренные «сливы» информации не такой популярный способ конкурентной борьбы между компаниями, как пару десятков лет назад, однако такая угроза все еще присутствует. Информация, например, о крупных сделках, ставшая достоянием общественности раньше предполагаемого срока, может привести к их срыву. Этим периодически пользуются конкуренты и недоброжелатели — одним из самых резонансных примеров является попадание в публичное поле подробностей о сотрудничестве между компаниями BP и Роснефть, впоследствии приведшее к отмене крупной сделки между этими организациями.
Неприятности для публичного образа компании могут возникнуть и вследствие попадания внутренних документов в СМИ или блоги, так как не все внутрикорпоративные порядки могут понравиться общественности. Не так давно попавшее в сеть письмо Олега Тинькова своим сотрудникам стало причиной небольшого скандала, несмотря на то, что относительно других заявлений одиозного бизнесмена нынешнее было даже относительно дружелюбным.
Если утечки не удалось избежать, то главная задача после самого происшествия ложится в большей степени уже не на плечи сотрудников службы безопасности, а на специалистов по связям с общественностью. Для таких случаев лучше заранее выработать стратегию поведения, которая поможет минимизировать последствия кризисной ситуации. Самая большая ошибка для компании в таких случаях — делать вид, что ничего не произошло. В таком случае можно получить двойную дозу негатива, как от клиентов, так и от общественности. Определяющей задачей в таких случаях для компании становится выяснение причин происшествия и поиск виновного, а также как можно более оперативное уведомление всех пострадавших о происшествии и принятых мерах.
У попыток сохранить репутацию с помощью сокрытия информации об инциденте могут быть весьма болезненные последствия. Так, у компании Yahoo! в 2014 году случилась масштабная утечка данных 500 млн пользователей. При этом рассказала об утечке общественности компания только спустя два года, ничем не объяснив подобную задержку. Против компании начала следствие Комиссия по ценным бумагам и биржам США, утверждая, что Yahoo! могла и должна была предупредить пользователей и инвесторов гораздо раньше.
Главный вопрос, который ставится перед компаниями, — как не допустить утечки данных. Хакерская угроза, как и прочая внешняя активность, безусловно может привести к утечкам, однако наиболее ценную и деликатную информацию чаще всего компрометируют по различным причинам сами сотрудники. Защита от инсайдеров — это важнейший фронт работ службы информационной безопасности. Организация защиты от утечек включает в себя разграничений уровней доступа у сотрудников, составление документов о неразглашении и прочая «бумажная безопасность», внедрение DLP-системы и постоянная обстоятельная работа с сотрудниками.