Попробовать бесплатно
    Защита информации
    26.02.2025

    Защита корпоративных данных

    В этой статье вы узнаете об основных стратегиях и методах защиты корпоративных данных, которые применимы к большинству отраслей промышленности. 

    Помимо прочего, в статье мы рассмотрим:

    1. Какие данные нуждаются в защите?

    2. Зачем нужна защита корпоративных данных?

    3. Угрозы безопасности корпоративным данным

    4. Проблемы при защите корпоративных данных

    5. Меры по защите корпоративных данных

    Сегодня о ситуации с защитой корпоративных данных (далее — КД) в России и мире красноречиво говорят следующие факты.

    • Существенно выросло число инцидентов информационной безопасности в малых организациях — более чем в два раза. Специалисты связывают этот факт с тем, что в большинство маленьких компаний не имеют бюджетов на организацию устойчивых и надежных систем защиты информации.
    • За прошедший год чаще всего похищали данные организаций из сферы торговли и услуг. Более того, магазины, связанные с медицинской сферой, стали лидерами по количеству утечек информации в 2024 году.
    • В «Сбере» подсчитали, что личные сведения 90% совершеннолетних граждан России уже попали в сеть и используются злоумышленниками для мошенничества.
    • Государственная Дума одобрила законопроект об ужесточении ответственности за утечки персональных данных.

     Какие данные нуждаются в защите?

    В контексте обеспечения информационной безопасности важно разделять персональные данные граждан, которые собираются и обрабатываются компанией, и корпоративные данные.

    Корпоративные данные — это информация, которую компания генерирует, обрабатывает и хранит в ходе своей деятельности. КД включают в себя различные типы сведений, такие как записи о движении средств и материальных активов, информацию о клиентах и сотрудниках, цифры продаж, данные маркетинговых исследований и проч.

    Персональные данные (далее — ПД) — это подкатегория конфиденциальных данных. К ПД можно отнести любую информацию, которая может быть использована для идентификации человека как сама по себе, так и в сочетании с другими данными.

    К персональным данным относится не только личная информация, такая как имя, домашний адрес, номер телефона и паспортные данные, но и любые другие данные, которые могут быть использованы для идентификации человека. Например, IP-адрес пользователя, его активность в социальных сетях и данные о геолокации, полученные с помощью мобильного устройства, и проч.

    Помимо серьезных репутационных рисков, за утечку ПД предусмотрены санкции со стороны регуляторов. Также утечка ПД чревата судебными разбирательствами с гражданами, сведения о которых были похищены.

    Чтобы понять, какие данные особенно нуждаются в защите, следует обратиться к статистике. Согласно данным Verizon, в 2023 году чаще всего похищали следующие категории данных: 

    • персональные данные — 55%;
    • логины и пароли — 50%;
    • внутренние данные компаний  — 35%;
    • медицинские данные — 9%;
    • банковские данные — 7%;
    • платежные данные – 5%.

    Статистика по утечке данных

    Так, наибольший интерес злоумышленники проявляли к персональным данным граждан. Данные для авторизации пользователей с небольшим отставанием занимают второе место, и на третьем — корпоративные данные.

     Зачем нужна защита корпоративных данных?

    Сохранение репутации надежного партнера. Для успешного долгосрочного сотрудничества организациям и предприятиям важно убедиться в надежности потенциального партнера, в том числе в том, что любая чувствительная информация не попадет к третьим лицам. Для этого необходимо иметь хорошую репутацию и применять эффективные меры безопасности для защиты данных своих клиентов, подрядчиков и контрагентов.

    Соблюдение требований регуляторов. Предписания в области защиты информации, в том числе персональных данных граждан, постоянно ужесточаются, штрафы за утечки — растут. Внедрение современных подходов к обеспечению безопасности данных — это ключ к соблюдению требований регуляторов.

    Поддержка непрерывности производства, бизнес-процессов. Утечка корпоративных данных может привести к остановке производства,  замедлению операций и бизнес-процессов. Надежные методы защиты информации снижают риски сбоев в работе предприятия и, соответственно, потери дохода.

    Сокращение риска судебных разбирательств. Эффективное предотвращение инцидентов информационной безопасности всегда экономически выгоднее, чем устранение последствий от их реализации.

     Угрозы безопасности корпоративным данным

    В этой статье мы сосредоточимся на внутренних угрозах, связанных с человеческим фактором, поскольку даже внешние кибератаки часто проходят успешно только из-за невнимательности, халатности сотрудников. Так, согласно отчету Verizon о расследованиях утечек данных за 2023 год, 74% всех утечек данных произошли вследствие человеческого фактора.

    Чтобы понять, как происходит компрометация данных, давайте вспомним несколько примеров утечек, к которым привели действия инсайдеров.

    Трое сотрудников районной налоговой инспекции были задержаны за продажу информации о приблизительно 40 тысячах юрлицах и ИП

    Злоумышленники оценили конфиденциальные данные всего лишь в 150 тысяч российских рублей. Нарушение было выявлено в конце января 2025 года.

    По информации ТАСС, в период с 2023 по 2024 год бывший сотрудник налоговой службы получил от двух действующих специалистов ведомства конфиденциальные данные, защищенные налоговой тайной. Среди них были сведения о банковских счетах четырех организаций, а также персональные данные учредителей и директоров компаний.

    Районный суд Лискинского района рассмотрел дело о неоднократном разглашении сведений, составляющих банковскую тайну

    С февраля по июль 2022 года старший специалист отдела досудебного погашения задолженности головного отделения одного из банков — 41-летняя женщина из Лискинского района — передавала заинтересованным лицам конфиденциальную информацию о банковских счетах клиентов. Данные включали состояние счетов и составляли банковскую тайну. Стоимость персональных и банковских данных граждан женщина оценила всего лишь в 50 000 рублей.

    Женщина из Пензенской области нелегально выпускала сим-карты, не заручившись согласием потенциальных абонентов

    В корыстных целях 26-летняя женщина из Пензенской области многократно нарушала должностную инструкцию, оформляя сим-карты без одобрения абонентов и используя их персональные данные, защищенные законодательством.

    Исходя из приведенных примеров, можно сделать вывод, что потенциальные нарушители готовы преступить закон и поставить под угрозу работу организации и даже безопасность граждан за относительно небольшое вознаграждение. При этом штраф, который может получить предприятие в случае выявления факта утечки персональных данных граждан, может составить до 5 000 000 рублей.

    Типы внутренних угроз

    Человеческие ошибки и халатность. Персонал предприятия может совершать ошибки или выполнять свои обязанности халатно вследствие усталости, невнимательности, из-за личных переживаний, стресса, болезней. Как показывает статистика, ошибкам подвержены все сотрудники — вне зависимости от возраста, занимаемой должности, образования и уровня осведомленности в вопросах кибергигиены. Так, при наличии мер по повышению осведомленности персонала в вопросах информационной безопасности до 7% сотрудников откроют зараженное письмо и перейдут по фишинговой ссылке. При отсутствии мер процент переходов превышает 20%.

    Действия инсайдеров, промышленный шпионаж. Сотрудники предприятия могут намеренно уничтожить или изменить конфиденциальные данные, а также передать их конкурентам — для получения материальной выгоды или из злого умысла.

    Превышение должностных полномочий. Пользователи с доступом к коммерчески ценной информации и персональным данным могут намеренно или по ошибке передать их злоумышленникам или совершить иные действия, которые приведут к неправомерному использованию данных или ненадлежащей обработке.

    Действия партнеров и подрядчиков. Угрозы безопасности данных могут исходить от партнеров, поставщиков и субподрядчиков, имеющих доступ к конфиденциальным данным вашей организации. Третьи лица также могут стать посредниками для внешних злоумышленников в атаках на цепочки поставок.

    Все описанные выше угрозы могут привести к утечке конфиденциальных данных предприятия и нарушить его работу.

    Изучите тему подробнее в нашей статье «Угрозы информационной безопасности».

     Какие сложности могут возникнуть при защите корпоративных данных?

    Использование личных устройств. Так называемая концепция BYOD, или «принеси свое устройство», может поставить под угрозу информационную безопасность организации. Использование личных компьютеров, планшетов, смартфонов и USB-накопителей сотрудников позволяет экономить средства работодателя в краткосрочной перспективе и зачастую бывает удобно для самих исполнителей, при этом дает потенциальным нарушителям большую свободу действий при попытках хищения данных. Кроме того, подключенные к корпоративной сети личные устройства могут быть уязвимыми для кибератак и стать точкой входа в корпоративную сеть. 

    Использование личных аккаунтов и учетных записей внутри информационной системы работодателя. Использование личных учетных записей для выполнения рабочих задач существенно затрудняет контроль над движением коммерчески ценной информации. 

    Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

    Данная статья ограничивает работодателя в применении программных и технических средств контроля при условии, если сотрудник использует личную учетную запись.

    Бесконтрольное накопление информации, отсутствие учета данных. Отсутствие практики инвентаризации информационных активов (далее — ИА), а также бесконтрольное накопление и хранение конфиденциальных данных на разных устройствах создает значительные трудности для отслеживания операций, производимых с документами и файлами. 

     Меры по защите корпоративных данных

    Меры по защите корпоративных данных классифицируют следующим образом: организационные и программно-технические.

    Организационные меры

    Организационные меры включают такие действия.

    1. Формирование службы информационной безопасности.
    2. Инвентаризация и классификация ИА по степени чувствительности и критичности в случае хищения. Нанесение грифов конфиденциальности.
    3. Разработка и внедрение политики безопасности организации.
    4. Внедрение системы разграничения доступа.
    5. Учет сотрудников с доступом к КД. Внедрение принципа наименьших привилегий. Назначение ответственных за предоставление и отзыв доступа к ИА. 
    6. Введение режима коммерческой тайны. Важно под подпись ознакомить персонал с Положением о коммерческой тайне и полным перечнем КД, наряду с этим проинформировать всех сотрудников о рисках, связанных с безопасностью данных, — также под подпись.
    7. Разработка плана реагирования на инциденты информационной безопасности.
    8. Разработка плана действий в нештатных ситуациях, например, в случае пожаров, наводнений и иных стихийных бедствий. 
    9. Разработка процедур по увольнению сотрудников с отзывом доступов ко внутренним ресурсам компании.
    10. Секьюритизация, или обучение персонала основам информационный безопасности.

    На заметку! Антон Немкин, член комитета Госдумы РФ по информационной политике, информационным технологиям и связи, советует компаниям усовершенствовать меры корпоративной безопасности, в первую очередь повышая уровень цифровой грамотности сотрудников. По его словам, более половины промышленных компаний в 2024 году столкнулись с утечками информации из-за недостаточной цифровой грамотности работников.

    При этом, согласно прогнозам, в 2025 году давление со стороны киберпреступников на сотрудников компаний — включая использование методов социальной инженерии — значительно возрастет.

    Система обучения персонала основам ИБ, как правило, включает:

    • изготовление наглядных пособий и брошюр; 
    • еженедельные рассылки с описанием актуальных киберугроз;
    • проведение семинаров, вебинаров;
    • так называемые «киберучения», в рамках которых можно оценить устойчивость персонала компании к действиям злоумышленников.

    Как уже говорилось выше, для защиты корпоративных данных целесообразно ввести запрет на авторизацию в личных учетных записях на оборудовании работодателя, а также по возможности отказаться от практики использования устройств, которые принадлежат сотрудникам. 

    Программные и технические меры

    Технические методы защиты информации предполагают использование специализированных программных и аппаратных решений, а также ограничение физического доступа к ИА. Программные и технические меры включают такие действия. 

    Ограничение физического доступа к бумажным и цифровым носителям информации, к рабочим станциям и другому оборудованию, включенному в информационную систему предприятия. Сооружение заборов, использование замков и сейфов. Организация пропускного режима.

    1. Охрана территории организации.
    2. Установка системы видеонаблюдения, противопожарной и охранной систем.
    3. Внедрение средств выявления прослушивающих и передающих устройств.
    4. Внедрение многофакторной аутентификации для внутренних пользователей.
    5. Шифрование данных.
    6. Развертывание SIEM- и DLP-систем для минимизации риска утечки конфиденциальной информации вследствие кибератак или действий внутренних пользователей ИС.
    7. Сохранение резервных копий конфиденциальных данных.
    8. Непрерывное отслеживание активности пользователей внутри информационной системы, в том числе с использованием DLP-систем. Особое внимание следует уделить привилегированным пользователям.

    Более подробно о механизмах обеспечения безопасности информационных систем мы рассказывали в этой статье.

     Защита корпоративных данных с помощью DLP-системы SecureTower

    DLP-система SecureTower помогает обнаруживать, сдерживать и пресекать внутренние угрозы корпоративным и персональным данным, вызванные действиями персонала.

    Кроме того, развертывание DLP SecureTower внутри информационной системы организации позволяет:

    • круглосуточно мониторить общую активность пользователей за рабочими станциями;
    • устанавливать факты нарушения трудового распорядка и неэффективного использования рабочего времени, злоупотребления полномочиями;
    • выявлять нелояльных, деструктивно настроенных сотрудников;
    • отслеживать настроение коллектива, распознавать конфликты и проч.

    Какие информационные каналы контролирует SecureTower?

    SecureTower перехватывает и анализирует данные в следующих каналах:

    • электронная почту и ее веб-версии по всем стандартным протоколам и их зашифрованным аналогам;
    • социальные сети;
    • мессенджеры;
    • локальные сети;
    • сетевые и локальные принтеры;
    • подключаемые устройства с внутренней памятью.

    Также система анализирует данные кейлогера и информацию, скопированную в буфер обмена.

    При необходимости вы можете настроить блокировку движения файлов по указанным каналам.

    falcongazeКлиент нашей компании еще во время бесплатного тестирования системы смог выявить и пресечь попытку хищения корпоративных данных стоимостью более 300 000 долларов США. 

    Убедитесь в надежности своих сотрудников с помощью бесплатной 30-дневной версии DLP-системы Falcongaze SecureTower.

    В заключение

    Ситуация первой половины 2024 года показывает, что риски утечки данных для компаний продолжают расти как по масштабу, так и по сложности.

    В текущем году компаниям, помимо внедрения стандартных мер информационной безопасности, следует сосредоточиться на обучении основам кибербезопасности для сотрудников, повышению осведомленности в области актуальных киберугроз. Это позволит сократить вероятность утечки чувствительной информации — но не исключить ее.

    При этом существенно снизить риски эксфильтрации реально с использованием современного программного обеспечения, в том числе DLP-систем.

    Важные публикации

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации