В этой статье вы узнаете об основных стратегиях и методах защиты корпоративных данных, которые применимы к большинству отраслей промышленности.
Помимо прочего, в статье мы рассмотрим:
1. Какие данные нуждаются в защите?
2. Зачем нужна защита корпоративных данных?
3. Угрозы безопасности корпоративным данным
4. Проблемы при защите корпоративных данных
5. Меры по защите корпоративных данных
Сегодня о ситуации с защитой корпоративных данных (далее — КД) в России и мире красноречиво говорят следующие факты.
В контексте обеспечения информационной безопасности важно разделять персональные данные граждан, которые собираются и обрабатываются компанией, и корпоративные данные.
Корпоративные данные — это информация, которую компания генерирует, обрабатывает и хранит в ходе своей деятельности. КД включают в себя различные типы сведений, такие как записи о движении средств и материальных активов, информацию о клиентах и сотрудниках, цифры продаж, данные маркетинговых исследований и проч.
Персональные данные (далее — ПД) — это подкатегория конфиденциальных данных. К ПД можно отнести любую информацию, которая может быть использована для идентификации человека как сама по себе, так и в сочетании с другими данными.
К персональным данным относится не только личная информация, такая как имя, домашний адрес, номер телефона и паспортные данные, но и любые другие данные, которые могут быть использованы для идентификации человека. Например, IP-адрес пользователя, его активность в социальных сетях и данные о геолокации, полученные с помощью мобильного устройства, и проч.
Помимо серьезных репутационных рисков, за утечку ПД предусмотрены санкции со стороны регуляторов. Также утечка ПД чревата судебными разбирательствами с гражданами, сведения о которых были похищены.
Чтобы понять, какие данные особенно нуждаются в защите, следует обратиться к статистике. Согласно данным Verizon, в 2023 году чаще всего похищали следующие категории данных:
Так, наибольший интерес злоумышленники проявляли к персональным данным граждан. Данные для авторизации пользователей с небольшим отставанием занимают второе место, и на третьем — корпоративные данные.
Сохранение репутации надежного партнера. Для успешного долгосрочного сотрудничества организациям и предприятиям важно убедиться в надежности потенциального партнера, в том числе в том, что любая чувствительная информация не попадет к третьим лицам. Для этого необходимо иметь хорошую репутацию и применять эффективные меры безопасности для защиты данных своих клиентов, подрядчиков и контрагентов.
Соблюдение требований регуляторов. Предписания в области защиты информации, в том числе персональных данных граждан, постоянно ужесточаются, штрафы за утечки — растут. Внедрение современных подходов к обеспечению безопасности данных — это ключ к соблюдению требований регуляторов.
Поддержка непрерывности производства, бизнес-процессов. Утечка корпоративных данных может привести к остановке производства, замедлению операций и бизнес-процессов. Надежные методы защиты информации снижают риски сбоев в работе предприятия и, соответственно, потери дохода.
Сокращение риска судебных разбирательств. Эффективное предотвращение инцидентов информационной безопасности всегда экономически выгоднее, чем устранение последствий от их реализации.
В этой статье мы сосредоточимся на внутренних угрозах, связанных с человеческим фактором, поскольку даже внешние кибератаки часто проходят успешно только из-за невнимательности, халатности сотрудников. Так, согласно отчету Verizon о расследованиях утечек данных за 2023 год, 74% всех утечек данных произошли вследствие человеческого фактора.
Чтобы понять, как происходит компрометация данных, давайте вспомним несколько примеров утечек, к которым привели действия инсайдеров.
Злоумышленники оценили конфиденциальные данные всего лишь в 150 тысяч российских рублей. Нарушение было выявлено в конце января 2025 года.
По информации ТАСС, в период с 2023 по 2024 год бывший сотрудник налоговой службы получил от двух действующих специалистов ведомства конфиденциальные данные, защищенные налоговой тайной. Среди них были сведения о банковских счетах четырех организаций, а также персональные данные учредителей и директоров компаний.
С февраля по июль 2022 года старший специалист отдела досудебного погашения задолженности головного отделения одного из банков — 41-летняя женщина из Лискинского района — передавала заинтересованным лицам конфиденциальную информацию о банковских счетах клиентов. Данные включали состояние счетов и составляли банковскую тайну. Стоимость персональных и банковских данных граждан женщина оценила всего лишь в 50 000 рублей.
В корыстных целях 26-летняя женщина из Пензенской области многократно нарушала должностную инструкцию, оформляя сим-карты без одобрения абонентов и используя их персональные данные, защищенные законодательством.
Исходя из приведенных примеров, можно сделать вывод, что потенциальные нарушители готовы преступить закон и поставить под угрозу работу организации и даже безопасность граждан за относительно небольшое вознаграждение. При этом штраф, который может получить предприятие в случае выявления факта утечки персональных данных граждан, может составить до 5 000 000 рублей.
Человеческие ошибки и халатность. Персонал предприятия может совершать ошибки или выполнять свои обязанности халатно вследствие усталости, невнимательности, из-за личных переживаний, стресса, болезней. Как показывает статистика, ошибкам подвержены все сотрудники — вне зависимости от возраста, занимаемой должности, образования и уровня осведомленности в вопросах кибергигиены. Так, при наличии мер по повышению осведомленности персонала в вопросах информационной безопасности до 7% сотрудников откроют зараженное письмо и перейдут по фишинговой ссылке. При отсутствии мер процент переходов превышает 20%.
Действия инсайдеров, промышленный шпионаж. Сотрудники предприятия могут намеренно уничтожить или изменить конфиденциальные данные, а также передать их конкурентам — для получения материальной выгоды или из злого умысла.
Превышение должностных полномочий. Пользователи с доступом к коммерчески ценной информации и персональным данным могут намеренно или по ошибке передать их злоумышленникам или совершить иные действия, которые приведут к неправомерному использованию данных или ненадлежащей обработке.
Действия партнеров и подрядчиков. Угрозы безопасности данных могут исходить от партнеров, поставщиков и субподрядчиков, имеющих доступ к конфиденциальным данным вашей организации. Третьи лица также могут стать посредниками для внешних злоумышленников в атаках на цепочки поставок.
Все описанные выше угрозы могут привести к утечке конфиденциальных данных предприятия и нарушить его работу.
Изучите тему подробнее в нашей статье «Угрозы информационной безопасности».
Использование личных устройств. Так называемая концепция BYOD, или «принеси свое устройство», может поставить под угрозу информационную безопасность организации. Использование личных компьютеров, планшетов, смартфонов и USB-накопителей сотрудников позволяет экономить средства работодателя в краткосрочной перспективе и зачастую бывает удобно для самих исполнителей, при этом дает потенциальным нарушителям большую свободу действий при попытках хищения данных. Кроме того, подключенные к корпоративной сети личные устройства могут быть уязвимыми для кибератак и стать точкой входа в корпоративную сеть.
Использование личных аккаунтов и учетных записей внутри информационной системы работодателя. Использование личных учетных записей для выполнения рабочих задач существенно затрудняет контроль над движением коммерчески ценной информации.
Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Данная статья ограничивает работодателя в применении программных и технических средств контроля при условии, если сотрудник использует личную учетную запись.
Бесконтрольное накопление информации, отсутствие учета данных. Отсутствие практики инвентаризации информационных активов (далее — ИА), а также бесконтрольное накопление и хранение конфиденциальных данных на разных устройствах создает значительные трудности для отслеживания операций, производимых с документами и файлами.
Меры по защите корпоративных данных классифицируют следующим образом: организационные и программно-технические.
Организационные меры включают такие действия.
На заметку! Антон Немкин, член комитета Госдумы РФ по информационной политике, информационным технологиям и связи, советует компаниям усовершенствовать меры корпоративной безопасности, в первую очередь повышая уровень цифровой грамотности сотрудников. По его словам, более половины промышленных компаний в 2024 году столкнулись с утечками информации из-за недостаточной цифровой грамотности работников.
При этом, согласно прогнозам, в 2025 году давление со стороны киберпреступников на сотрудников компаний — включая использование методов социальной инженерии — значительно возрастет.
Система обучения персонала основам ИБ, как правило, включает:
Как уже говорилось выше, для защиты корпоративных данных целесообразно ввести запрет на авторизацию в личных учетных записях на оборудовании работодателя, а также по возможности отказаться от практики использования устройств, которые принадлежат сотрудникам.
Технические методы защиты информации предполагают использование специализированных программных и аппаратных решений, а также ограничение физического доступа к ИА. Программные и технические меры включают такие действия.
Ограничение физического доступа к бумажным и цифровым носителям информации, к рабочим станциям и другому оборудованию, включенному в информационную систему предприятия. Сооружение заборов, использование замков и сейфов. Организация пропускного режима.
Более подробно о механизмах обеспечения безопасности информационных систем мы рассказывали в этой статье.
DLP-система SecureTower помогает обнаруживать, сдерживать и пресекать внутренние угрозы корпоративным и персональным данным, вызванные действиями персонала.
Кроме того, развертывание DLP SecureTower внутри информационной системы организации позволяет:
SecureTower перехватывает и анализирует данные в следующих каналах:
Также система анализирует данные кейлогера и информацию, скопированную в буфер обмена.
При необходимости вы можете настроить блокировку движения файлов по указанным каналам.
Клиент нашей компании еще во время бесплатного тестирования системы смог выявить и пресечь попытку хищения корпоративных данных стоимостью более 300 000 долларов США.
Убедитесь в надежности своих сотрудников с помощью бесплатной 30-дневной версии DLP-системы Falcongaze SecureTower.
Ситуация первой половины 2024 года показывает, что риски утечки данных для компаний продолжают расти как по масштабу, так и по сложности.
В текущем году компаниям, помимо внедрения стандартных мер информационной безопасности, следует сосредоточиться на обучении основам кибербезопасности для сотрудников, повышению осведомленности в области актуальных киберугроз. Это позволит сократить вероятность утечки чувствительной информации — но не исключить ее.
При этом существенно снизить риски эксфильтрации реально с использованием современного программного обеспечения, в том числе DLP-систем.