Способы нанесения ущерба информации

Утечка информации, или Как организации уберечь себя от мошенничества в сети

Основатель компании Alpha Juris, юрист

специально для ГАРАНТ.РУ

Цифровые технологии с каждым днем все больше проникают во все сферы человеческой деятельности. Поэтому перед многими руководителями достаточно острым стоит вопрос хранения и передачи данных в сети, а также обеспечения безопасности от утечки информации в цифровом поле.

Под утечкой информации подразумевается незаконное получение либо передача защищенных сведений (таких, как персональные данные, коммерческая, государственная тайна и пр.). Утечка информации может быть как умышленной, так и непредумышленной (случайной), что не отменяет вины лица или группы лиц, причастных к этому. Поскольку данное правонарушение является достаточно обобщенным, может касаться наиболее разных видов информации, иметь различные субъективные и объективные стороны, нет точной статьи, регулирующей его.

Но при этом факт утечки является составным элементом иных правонарушений, установленных:

Из СМИ нам не понаслышке известно о разных примерах утечек, например, в 2020 году в сеть, утекли паспортные данные более 1,1 млн россиян, принимавших участие в голосовании по поправкам к Конституции РФ. А годом ранее общественности была представлена информация об утечке данных пользователей портала «Госуслуги».

Однако законодательство на сегодняшний день никак не регулирует способы защиты от утечки информации, поэтому как крупным организациям, так и представителям МСБ следует самостоятельно изучить наиболее возможные способы защиты от данной угрозы.

Работа с сотрудниками как способ защиты от утечки информации

Насколько банально это может показаться, но, согласно статистическим исследованиям «Лаборатории Касперского», более 60% корпоративных данных попадает не в те руки именно из-за действий самих работников компании без преднамеренного вмешательства. Причем зачастую это происходит именно из-за невнимательности либо халатности сотрудников. Так, наиболее примечательными примерами в данном случае могут быть:

• разговоры с коллегами либо третьими лицами, в ходе которых работник может неосознанно выдать конфиденциальную информацию;
• переход с корпоративной почты либо при веб-серфинге по ссылкам, содержащим «фишинговые» либо иные вредоносные программы;
• фотографии, аудио- и видеозаписи со смартфонов сотрудников, которые впоследствии могут быть взломаны либо же данные переданы третьим лицам по неосторожности;
• получение злоумышленниками доступа к конфиденциальной информации из-за слабого пароля почты либо другого корпоративного веб-инструмента работника.

Многие даже крупные компании зачастую пренебрегают обучением IT-культуре собственных работников, ограничиваясь лишь такими формальностями, как заключение соглашения о неразглашении коммерческой тайны и персональных данных. Руководству в первую очередь следует разъяснить персоналу важность кибер-безопасности, провести соответствующий обучающие тренинги самостоятельно либо с привлечением сторонних специалистов.

Например, в ноябре 2020 года произошла утечка данных программы лояльности «РЖД Бонус». Причиной тому стала халатность сотрудника, который оставил информацию в открытом доступе.

Работодателям следует установить дисциплинарную ответственность за утечку информации в ТК РФ. Напомним, ст. 192 Трудового кодекса установлено три вида дисциплинарных взысканий – замечание, увольнение, выговор, а для государственных служащих еще и предупреждение о неполном должностном соответствии (ч. 1 ст. 57 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»). При этом в локальных нормативных актах необходимо не просто указать причину применения наказания «за утечку информации», а максимально детально изъяснить все возможные факторы.

Если говорить о сотрудниках, то также достаточно распространенной причиной утечки данных являются и преднамеренные действия. Чаще всего это происходит из-за отсутствия мотивации у работников, харрасмента со стороны коллег либо руководства, а также неправомерного увольнения. Способы защиты для руководителей в данном случае схожи с описанными выше – поддержание корпоративной культуры, материальная и нематериальная мотивация сотрудников и соблюдение требований трудового законодательства.

Если же правонарушение все-таки было совершено и повлекло негативные последствия, следует обращаться в правоохранительные органы с целью привлечения виновного к административной либо уголовной ответственности.

На сегодняшний день утечка информации участилась из-за введенных в результате пандемии COVID-19 ограничительных мер. Так, многие работодатели, которые перевели сотрудников на дистанционную работу, не обеспечили должным образом сохранность конфиденциальной информации, например, не предоставив им рабочие ПК, а предоставив возможность трудиться на личных.

Как защититься от утечки информации при помощи кибербезопасности

Далеко не всегда утечка данных в организации происходит исключительно из-за действий работников, часто виной этому становится слабая защищенность именно с технической точки зрения. Способов защиты в данном случае множество, следует выделить лишь основные из них:

• использование системы контроля и управления доступом (СКУД). Подразумевается многоуровневая программная и аппаратная система, которая ограничит доступ к конфиденциальной информации третьим лицам;
• ведение корпоративных аккаунтов. Сюда входит и корпоративная почта, и аккаунты для работы в специализированных программах. Крайне важно, чтобы доступ был только у действующих сотрудников, ключи увольняющихся сотрудников необходимо удалять в момент увольнения;
• установка сложных паролей. Наряду с использованием корпоративных аккаунтов необходимо позаботиться об их достаточной защищенности. Наиболее оптимальным вариантом в данном случае является двухфакторная аутентификация (подтверждение входа с помощью СМС, одноразового кода, распознавания лица и т. д.);
• установка антивирусных программ. Современные антивирусы способны бороться с большинством известных способов кражи конфиденциальной информации;
• проведение «стресс-тестов» систем безопасности. Многие крупные компании специально нанимают сотрудников либо проводят конкурсы, в которых предлагают взломать действующую систему безопасности. Делается это для того, чтобы обнаружить возможные причины утечки информации и ликвидировать их;
• обеспечение личного пространства. При выполнении своих обязанностей сотрудники чаще всего контактируют с коллегами, клиентами и другими лицами. Поэтому крайне важно обеспечить безопасность рабочего места. Так, наиболее подвержены риску быть причиной утечки информации сотрудники, работающие в опен-спейсах;
• контроль документации (как электронной, так и бумажной). Сюда входит и работа с действующими документами, то есть использование систем шифрования, защиты от ознакомления третьими лицами, так и с недействительными, то есть использование соответствующих архивов либо удаление ненужных данных.

Вышеописанный перечень является далеко не исчерпывающим, однако при соблюдении этих требований руководителям бизнеса будет значительно проще обезопасить себя от утечки ценной информации.

Источник

Оценка ущерба от нарушения ИБ

Результатом реализации угроз информации может быть ее утрата, утечка, искажение или блокирование.

Ценность объекта ИБ	Семантическая характеристика ценности объекта ИБ
Малоценный	От объекта ИБ не зависят критически важные задачи. При нанесении ущерба объекту ИБ на восстановление не требуются больших затрат времени и средств
Средняя	От объекта ИБ зависит ряд важных задач. При нанесении ущерба объекту ИБ время и стоимость восстановления находятся в допустимых пределах
Ценный	От объекта ИБ зависят критически важные задачи. При нанесении ущерба объекту ИБ время и стоимость восстановления превышают допустимые значения

Подходы к оценке ущерба и их характеристика

Категории ущерба. Выделение «материального», «нематериального» ущерба. (имиджу, репутации).

Степень ущерба	Описание ущерба
Ничтожный	Ущербом (угрозой) можно пренебречь
Незначительный	Ущерб легко устраним, затраты на ликвидацию последствий реализации угрозы невелики. Финансовые операции не ведутся некоторое время. Положение на рынке и количество клиентов меняются незначительно.
Умеренный	Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критически важные задачи. Положение на рынке ухудшается. Потеря части клиентов
Серьезный	Затрудняется выполнение критически важных задач. Утрата на длительный период (например, до года) положения на рынке. Ликвидация последствий со значительными финансовыми инвестициями
Критический	Невозможность решения критически важных задач. Организация прекращает существование

Частоту реализации угрозы за определенный период времени также можно определить семантически .

Частота реализации угрозы	Значение вероятности	Вероятность реализации угрозы
—	Около нуля	Угроза практически никогда не реализуется
1 раз за несколько лет	Очень низкая	Угроза реализуется редко
1 раз за год	Низкая	Скорее всего, угроза не реализуется
1 раз в месяц	Средняя	Скорее всего, угроза реализуется
1 раз в неделю	Выше средней	Угроза почти обязательно реализуется
1 раз за день	Высокая	Шансов на положительный исход нет

Управление рисками включает в себя 2 вида деятельности:

• оценку (измерение) рисков;
• выбор эффективных и экономичных защитных регуляторов.

Процесс управления рисками можно подразделить на следующие этапы:

1. Определение среды, границ и идентификация активов АС, фиксируются:

• границы контролируемой зоны объекта эксплуатации, ИТ;
• меры и средства физической защиты;
• организационные меры обеспечения безопасности;
• пользователи ИТ;
• внешние интерфейсы ИТ, потоки информации;
• внешняя среда ИТ.

В состав активов ИТ включаются:

• аппаратные средства;
• ПО;
• информация;
• средства обеспечения безопасности.

2. Анализ мер и средств обеспечения безопасности и идентификация уязвимостей:

Для определения состава уязвимостей используются следующие источники:

• результаты анализа соответствующих используемых мер и средств обеспечения без–ти установленным треб. ИТ;
• печатные и электронные источники, содержащие известные уязвимости ИТ;
• результаты работы средств выявления уязвимостей;
• результаты тестирования средств безопасности ИТ.

3. Идентификация угроз безопасности: угрозы безопасности ИТ следующих категорий:

• объективные/субъективные;
• внутренние/внешние;
• случайные/преднамеренные.

Описание угрозы безопасности должно содержать:

• источник;
• способ реализации;
• уязвимость;
• вид защищаемых активов;
• вид воздействия;
• нарушенное свойство безопасности.

Описание источника угрозы должно содержать:

• тип
• мотивацию;
• компетентность;
• используемые ресурсы.

4. Определение вероятности реализации угрозы: должны быть учтены:

• мотивация, компетентность источника угрозы и используемые им ресурсы;
• имеющиеся уязвимости;
• наличие и эффективность мер и средств обеспечения безопасности ИТ.

5. Оценка уровня ущерба по формулам доступно по ссылке

D uis non lectus sit amet est imperdiet cursus elementum vitae eros. Cras quis odio in risus euismod suscipit. Fusce viverra ligula vel justo bibendum semper. Nulla facilisi. Donec interdum, enim in dignissim lacinia, lectus nisl viverra lorem, ac pulvinar nunc ante.

Elsewhere

Pellentesque consectetur lectus quis enim mollis ut convallis urna malesuada. Sed tincidunt interdum sapien vel gravida. Nulla a tellus lectus.

Источник

Каналы утечки информации на предприятии

Контроль рабочего времени
с помощью DLP-системы

И формация о деятельности предприятия нередко представляет интерес для конкурентов, а также злоумышленников, которые стремятся завладеть чужими секретами в неблаговидных целях. Руководство обязано организовать защиту ценных сведений, выявлять каналы утечки информации и принимать меры для их полного перекрывания. Разглашение секретных данных грозит компаниям репутационным и финансовым ущербом, потерей клиентов, втягиванием в конфликты и судебные разбирательства с конкурентами.

Формы представления конфиденциальных данных

Информация может быть представлена:

• В виде бумажных или электронных документов (в графической, текстовой или цифровой форме). Данные можно изучить визуально, передать через интернет или другими способами;
• В речевой (акустической) форме. Сведения сообщаются при разговорах, в ходе обсуждения бизнес-процессов, исследований, экспериментов, во время докладов. Речевая информация может храниться в виде аудиозаписей. Ее можно перехватить путем улавливания акустических сигналов, исходящих от звукоусиливающей и звуковоспроизводящей аппаратуры;
• В телекоммуникационной форме (передается с помощью электромагнитных волн – по радио, телефону, телевизору, каналам спутниковой связи).

Информационная защита предотвращает реализацию угроз уничтожения или потери конфиденциальных данных, представленных в любой форме.

Классификация угроз потери информации

Угрозы утечки информации подразделяют на естественные и искусственные.

Причинами естественных утечек могут быть аварии, пожары и другие чрезвычайные события, приводящие к прекращению подачи электроэнергии, сбоям в работе охранной сигнализации и систем информационной безопасности. Все эти ЧП несут риск, что информация окажется в чужих руках: в охраняемый периметр могут попасть посторонние, а документы, оборудование или цифровые данные в результате сбоя – за его пределы из-за выноса, отправки «не туда» или других казусов.

Искусственные угрозы возникают по воле людей или в связи с их деятельностью. Такие угрозы могут быть непреднамеренными и умышленными.

Непреднамеренные угрозы возникают из-за недопонимания ценности информации, с которой работает персонал компании, или небрежности в обращении с корпоративными данными. Причиной разглашения становится в этом случае нарушение правил обработки и хранения конфиденциальной информации.

Умышленные угрозы создаются намеренно с целью нанесения вреда. Для похищения важной информации злоумышленники прибегают к различным приемам, позволяющим получить несанкционированный доступ к секретным материалам. Такими приемами могут быть вербовка сотрудников компании, внедрение агентов в рабочий коллектив, скрытое наблюдение, компьютерный взлом.

«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных.

Внутренние и внешние угрозы

Внутренние угрозы утечек информации могут возникать в результате:

• Случайных ошибок сотрудников, проявивших небрежность или невнимательность при загрузке и использовании программного обеспечения, эксплуатации технических средств обработки и хранения информации;
• Несоблюдения правил хранения бумажных и электронных носителей, утилизации ненужных документов и производственных отходов;
• Намеренного вредительства настоящих и бывших работников компании. Мотивами могут быть зависть, месть, желание получить денежное вознаграждение;
• Действий уволенных сотрудников: передачи ценной информации конкурентам или использования своих и чужих «наработок» при создании собственной конкурирующей фирмы;
• Сбоев в работе электронного оборудования из-за прекращения подачи электроэнергии;
• Нарушения правил безопасного входа в информационную систему и передачи служебной информации, а также сообщение секретных паролей и кодов посторонним лицам.

«Внешними» причинами, по которым происходит утечка конфиденциальной информации, чаще всего являются:

• Вирусное заражение компьютеров, внедрение вредоносных программ;
• Разведывательные действия злоумышленников (установка закладных устройств, использование технических средств для улавливания речевой и видовой информации);
• Переманивание персонала конкурентами.

Разновидности каналов утечки информации

Каналы утечки конфиденциальной информации подразделяют на четыре основные группы, в которых для незаконного получения важных сведений производится:

1. Подслушивание, перехват электромагнитных сигналов (без внедрения технических приспособлений в линии связи);

2. Похищение, копирование, изучение и запоминание данных, остающихся на бумажных и электронных носителях во время их обработки;

3. Взлом систем защиты информации, проникновение в хранилища данных, незаконное подключение специальных устройств для просмотра и прослушки, а также внедрение шпионских компьютерных программ;

4. Подкуп или шантаж работников и руководства компании.

Разнообразие приемов требует комплексного подхода к защите конфиденциальной информации. Меры, принимаемые для борьбы с утечками данных, не должны отражаться на качестве и скорости выполнения производственных заданий.

В зависимости от способов несанкционированного распространения ценных корпоративных данных каналы утечки подразделяют на физические, технические и информационные.

Особенности физических каналов утечки

Физическими называют каналы утечки коммерческой информации, возникающие из-за слабой организации физической защиты данных от несанкционированного изучения и копирования, а также от похищения.

Канал подобных утечек может возникать в процессе:

• Передачи сотрудникам документов из хранилища, обмена данными между работниками компании, знакомства клиентов и поставщиков с деятельностью предприятия;
• Распечатки и тиражирования данных с помощью устройств, установленных в общем зале;
• Перевозки документов без должной охраны;
• Размещения документов в архивах и хранилищах;
• Уничтожения данных с несоблюдением правил и требований безопасности.

Каналы утечки информации могут появиться из-за непродуманной организации рабочих мест сотрудников (тесного расположения столов, отсутствие перегородок между ними, хранения документации не в сейфах, а в обычных шкафах).

Причиной утечки графической информации может быть использование в дизайне помещений стеклянных перекрытий, сквозь которые можно визуально проследить за работой сотрудников и изучить обрабатываемые данные.

Для утечки акустической информации достаточно подслушивания разговоров между сотрудниками. Злоумышленники могут почерпнуть сведения из чужой телефонной беседы, в ходе которой люди неосторожно делятся служебными секретами. Нередко, беспечные сотрудники обсуждают рабочие проблемы, находясь в общественных местах, провоцируя случайную утечку важной коммерческой информации.

Виды технических каналов

Для похищения коммерческих данных используется аппаратура, улавливающая сигналы различной природы, которые исходят от информационного объекта.
В зависимости от способов передачи и перехвата информации их подразделяют на:

• Электрические (электромагнитные). Регистрируются побочные электромагнитные излучения, возникающие в посторонних проводах и вспомогательном оборудовании, расположенном вблизи электронной техники, используемой при работе с данными;
• Акустические (используются устройства перехвата речевых сигналов – «закладки»);
• Вибрационные (для перехвата виброакустических сигналов, исходящих от поверхности стен и предметов, используются электронные стетоскопы, лазерные системы).

Потеря данных по информационным каналам

Информационными каналами похищения данных могут быть различные web-серверы, электронная почта, файловые хранилища.

Причинами неумышленных информационных утечек зачастую являются:

• Использование сотрудниками служебной электронной почты для частной переписки, а также передача служебных данных в личных сообщениях;
• Обмен данными с другими пользователями с помощью SMS-сообщений, а также по ICQ, Skype и другим каналам электронной связи;
• Потеря мобильных телефонов или передача посторонним лицам съемных электронных носителей, содержащих служебные сведения;
• Предоставление персонального компьютера с незакодированной информацией другим сотрудникам или знакомым.

Канал утечки информации появляется в том случае, когда:

• В компаниях не проводится разграничение доступа к данным для сотрудников разных категорий;
• Нарушается порядок хранения и обработки документов с конфиденциальной информацией;
• Неправильно организован доступ к электронным носителям;
• Слабо контролируются действия привилегированных пользователей (системных администраторов, руководителей фирмы). При желании они могут отключить систему защиты данных и передать важную информацию заинтересованным лицам;
• Отсутствует контроль за установкой программных приложений, с помощью которых можно передавать зашифрованную информацию даже при наличии системы DLP (блокировки несанкционированной отправки сообщений);
• Проводится недостаточная работа с персоналом по разъяснению последствий разглашения служебной информации и требований безопасности.

Меры предотвращения утечек информации

Для того чтобы снизить вероятность появления каналов утечки информации, важно использовать надежные средства и методы ее защиты. Основными принципами являются:

1. Системность в работе по предотвращению утечек данных. Необходимо серьезно подходить к отбору персонала, его знакомству с правилами обработки и хранения документов и информационных файлов. Важно, чтобы сотрудники точно знали, какая информация не подлежит разглашению, и понимали, какие меры предосторожности необходимо соблюдать. Например, они должны знать о том, что, покидая рабочее место, следует выключать компьютер и убирать папки с ценными документами со стола. Требуется регламентировать разговоры сотрудников по телефону, контролировать отправку сообщений;

2. Бдительность и максимальное усложнение данных, чтобы непосвященным людям было труднее в них разобраться;

3. Разрозненность отправляемых электронных данных, то есть дробление пересылаемой информации на части. Например, при передаче логинов и паролей по интернету желательно пользоваться разными каналами связи;

4. Ограниченность доступа сотрудников к секретным данным, чтобы злоумышленник не мог получить сведения «из одних рук»;

5. Разумная перестраховка при обработке и хранении важных материалов, действие по принципу «доверяй, но проверяй». Необходимо использовать современные системы защиты от перехвата данных и контролировать работу персонала, занятого их обработкой.

В компании должна существовать четкая политика информационной безопасности. Требуется строго следить за выполнением установленных правил, создавать инструкции по работе с коммерческими данными. Следует уточнять время, в течение которого информация является актуальной и нуждается в защите от утечек, конкретизировать виды угроз и возможные цели похищения данных. Важно не допустить реализации внешних и внутренних угроз потери информации, обеспечивая ее правильное хранение, обработку и передачу другим пользователям. При этом необходимо учитывать все возможные варианты перехвата и несанкционированного распространения конфиденциальных данных.

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Источник