Как защитить корпоративные секреты?

Сотрудник продал секреты компании конкуренту. Хакеры нашли уязвимость в системе безопасности и украли важные данные. Это страшный сон для руководителей компаний, который все чаще становится явью. Как защитить коммерческую тайну — в подборке РБК Pro

Как защитить корпоративные секреты?

DPA / ТАСС

Для начала разберемся, что такое коммерческая тайна и чем она отличается от информации, содержащей коммерческую тайну.

Коммерческая тайна — режим конфиденциальности информации, который позволяет владельцу при определенных условиях увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить другую коммерческую выгоду. Итак, коммерческая тайна — режим.

Информация, составляющая коммерческую тайну, — это сведения, которые имеют действительную или потенциальную коммерческую ценность и пока не известны третьим лицам (например, о результатах интеллектуальной деятельности в научно-технической сфере или о способах осуществления профессиональной деятельности). Какие права есть у обладателя информации, составляющей коммерческую тайну, и что никак нельзя к ней отнести, рассказывает Владимир Карпачев, эксперт по информационной безопасности «БДО Юникон».

Тайна за пятью печатями

Чтобы сохранить конфиденциальность информации, составляющей коммерческую тайну, нужно знать, что это за информация и сколько ее в вашей компании. Проведите «инвентаризацию» и составьте список. Так и вы, и сотрудники будете понимать, какую информацию нельзя разглашать.

Для оценки информационных ресурсов лучше всего создать комиссию из наиболее квалифицированных и осведомленных работников. Также помните, что отраслевые законы и нормативные правовые акты устанавливают, какие сведения могут быть отнесены к коммерческой тайне, а какие нет.

Например, в силу ФЗ «О бухгалтерском учете» режим коммерческой тайны не может быть установлен в отношении бухгалтерской отчетности.

Эксперт по информационной безопасности «БДО Юникон» Владимир Карпачев также рассказывает, что делать дальше и как ограничить доступ к информации, составляющей коммерческую тайну.

По следам и хлебным крошкам

Сотрудники не всегда выдают секреты компании намеренно. Иногда они могут сделать это невольно, просто отправившись на переговоры. Сразу несколько фирм, специализирующихся на так называемых альтернативных данных, пристально следят за частными бизнес-джетами, а потом предоставляют результаты своей работы инвесторам.

По тому, в каком аэропорту приземлился бизнес-джет той или иной компании, инвесторы научились прогнозировать будущие слияния и поглощения. Есть и свидетельства того, что данные о перемещениях самолетов дают возможность раньше всех узнать о важных для рынка новостях, утверждает Bloomberg.

Например, в апреле 2019 года специализирующаяся на биржевой аналитике фирма сообщила своим клиентам, что бизнес-джет Gulfstream V, числящийся за хьюстонской компанией Occidental Petroleum, был замечен в аэропорту Омахи.

Появилось предположение, что топ-менеджеры Occidental обсуждают с инвестиционной компанией Berkshire Hathaway, принадлежащей Баффетту, возможность получения финансовой поддержки. Два дня спустя сам Баффетт заявил о намерении инвестировать в Occidental $10 млрд.

Работник под прикрытием

А как вообще происходит утечка важной информации из компаний? Основных пути два — сотрудники или хакеры. Да, сотрудники могут разгласить информацию случайно, по незнанию. А могут действовать намеренно и даже по заказу.

Конкуренты могут подкупить, шантажировать сотрудника или внедрить в компанию своего человека, чтобы выведать ее планы компании, стратегию развития, кредитную нагрузку, новые разработки, список поставщиков и условия работы с ними.

Вот простой пример: cлужба безопасности завода по производству хлеба контролировала рабочую переписку нового менеджера по работе с торговыми сетями. Информацией о состоянии дел в компании он делился в том числе с какими-то адресатами вне организации.

Более пристальный контроль показал, что этот менеджер «засланный казачок» и специально устроился на работу, чтобы получить доступ к 1С и информации о сотрудничестве с контрагентами. Как могут действовать недобросовестные конкуренты, рассказывает Иван Бируля, директор по безопасности компании «СёрчИнформ».

Когда читать чужие письма не стыдно

Сотрудники часто «сливают» конкурентам коммерческую тайну по почте. По закону работодатель не имеет права контролировать личную переписку своих сотрудников, хотя очень хочет. Такое желание вполне объяснимо: работодатель оплачивает труд сотрудника, предоставляет ему рабочее место, компьютер и корпоративную электронную почту не для того, чтобы тот использовал все это в личных целях.

Иван Бойцов, руководитель платформы Mail.ru для бизнеса, сравнивает подобную ситуацию с воровством: работник «ворует» не только деньги, потраченные на оплату его труда, но и другие ресурсы компании, например почтовый трафик. И закон предусматривает для работодателя возможность защитить свои интересы правовым путем.

Бойцов рассказывает, в каких случаях работодатель может читать переписку сотрудника.

Утечка устранена

Сотрудник может использовать для кражи данных не только почту, но и камеру мобильного телефона. Это первыми поняли банки.

Если раньше они просто запрещали сотрудникам копировать данные из внутренних систем, то теперь в контрактах многих крупных организаций, включая Сбербанк, ВТБ, «ФК Открытие», прописан запрет фотографировать экраны компьютеров на мобильные телефоны.

По мнению Владимира Журавлева, директора департамента информационной безопасности «ФК Открытие», на основе сфотографированных клиентских данных можно изготовить поддельные документы и использовать в мошеннических целях (например, снять деньги со счета клиента).

А замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин добавляет, что злоумышленники даже пробивают данные клиентов, размещая заказы на информацию в даркнете. Как банки борются с недобросовестностью сотрудников, помогают ли такие драконовские меры защиты коммерческой тайны и законны ли они, выяснили журналисты РБК.

Что «разболтает» принтер

Настоящими промышленными шпионами в цифровую эпоху могут стать даже обычные принтеры. Они соединены с локальными сетями, жесткими дисками компьютеров, хранилищами данных мобильных телефонов и становятся отличными «точками входа» для несанкционированного проникновения в хранилища данных компаний, рассказывает Андрей Антонов, ведущий менеджер по бизнес-решениям Epson.

Чтобы свести риски к минимуму, стоит выбирать решения, позволяющие зашифровать все сетевые коммуникации с помощью функции IPSec (IP Security — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP), защитить данные с помощью функции PIN-кода или организации доступа по персональной идентификационной карте.

На практике это выглядит так: принтер или МФУ не печатает документ, пока на экране не будет введен определенный пароль. Андрей Антонов объясняет, что это не единственный способ превратить обычный принтер в шпиона.

 Например, все может быть еще проще и банальнее: документы, которые сотрудники распечатали и забыли забрать, часто попадают в руки к мошенникам.

Чужой среди своих

Еще большую угрозу для компании, чем рядовые сотрудники, представляют топ-менеджеры и системные администраторы. Они часто имеют доступ к учетным записям с привилегированными правами — аккаунтам локальных администраторов и суперадминистраторов, записям аварийного доступа.

По данным исследования InfoWatch, контроль за этими типами учетных записей во многих компаниях не налажен вовсе или происходит в ручном режиме. Убедившись в отсутствии должного контроля за информационными активами компании, такие пользователи могут найти лазейку для получения личной выгоды.

Исследование InfoWatch рассказывает, как теряются секретные данные, а в виджете собраны статистика и примеры того, как привилегированные пользователи используют секреты компании в личных интересах. Так, управляющая одним из отделений Россельхозбанка в Краснодарском крае незаконно оформляла кредитные договоры, используя персональные данные ничего не подозревающих граждан.

Женщина обманула 22 человека, получив 9,8 млн руб. Суд приговорил ее к 3,5 года заключения. Кстати, утечки по вине привилегированных пользователей происходят в России почти вдвое чаще, чем в мире.

Это наше ноу-хау

Сотрудники чаще всего воруют бизнес-секреты, которые нельзя делать публичными. Чтобы защитить такие секреты, предусмотрен специальный тип интеллектуальной собственности — секрет производства (ноу-хау). Руководство предприятия может внедрить в отношении ноу-хау режим коммерческой тайны всего за пару дней. Есть как минимум четыре причины сделать это.

Ноу-хау снижает риски человеческого фактора, увеличивает стоимость компании, помогает оптимизировать налоги и может выступать источником дохода. Александр Язовский, управляющий партнер юридической фирмы Patent.Lab, и Карен Мусаелян, старший партнер Patent.

Lab, дают рекомендации, как превратить конфиденциальные сведения в ноу-хау и привлечь работника к ответственности за их разглашение.

На чьей стороне закон

Одно из первых дел о взыскании убытков с сотрудника в связи с разглашением коммерческой тайны еще в 2016 году рассмотрел Санкт-Петербургский городской суд.

Тогда компания Spirax Sarco (продавец пароконденсатного оборудования) обратилась с иском к бывшему работнику, который выложил на своем сайте чертежи оборудования, содержавшие ноу-хау работодателя.

Тем не менее добиться возмещения убытков не удалось: одной из причин отказа стало то, что чертежи изначально не содержали грифа «Коммерческая тайна».

Кроме того, суд не увидел идентичности между чертежами Spirax Sarco, приведенными в исковых документах, и чертежами на сайте ответчика (что усугублялось опубликованием похожих чертежей сразу несколькими компаниями). С тех пор суды рассмотрели массу дел о разглашении коммерческой тайны. «РБК Pro» изучил, чем закончились самые свежие из них. Прежде чем отстаивать секреты своей компании в суде, оцените собственные шансы на победу.

С этим не поспоришь

Только 9% работодателей в России идут в суд разбираться с виновниками утечек. Почему так мало? Судиться долго, дорого и сложно. По мнению Сергея Ожегова, генерального директора компании «СёрчИнформ», проще тихо уволить сотрудника, а то и вовсе позволить ему уйти «по собственному».

Но если вы решились добиваться компенсации через суд, для начала убедитесь, что все данные защищены. Соберите доказательства и только потом готовьте иск.

Ожегов объясняет, как выиграть дело о разглашении коммерческой тайны, и подробно разбирает, каков порядок защиты данных, как грамотно выстроить процедуру разбирательства, как оценить, тянет ли произошедшее на разбирательство по статье о разглашении тайны.

Например, если сотрудник скопировал документы с грифом на флешку, это будет считаться нарушением политики безопасности компании. Работодатель сможет наказать его самостоятельно, но в суд идти будет бессмысленно.

Читайте также:  Шаблон заявления о подтверждении основного вида экономической деятельности: скачать образец

Воришки в сети

Реже, но в больших масштабах, чем сотрудники, воруют хакеры. Согласно Juniper Research, в ближайшие пять лет киберпреступность отберет у мирового бизнеса более $8 трлн. Например, суммарный ущерб самой дорогой в истории киберэпидемии NotPetya составил более $10 млрд.

Компании игнорируют базовые основы безопасности и сами создают благоприятные условия для киберпреступников.

Поэтому эксперты Microsoft составили список из шести пунктов, которые руководители организаций и ИТ-специалисты часто упускают из виду в процессе выстраивания своей ИТ-инфраструктуры.

Среди них — соблюдают ли сотрудники цифровую гигиену, знают ли о фишинге, как часто проводится проверка безопасности конфигурации информационных систем. Эксперты рассказывают, что должен делать руководитель, чтобы не беспокоиться о возможной краже секретов фирмы.

От теории к практике

С киберпреступниками медлить не стоит. Есть простые меры, которые лучше реализовать прямо сейчас. Перестаньте экономить на антивирусе (этим особенно грешат малые и средние предприятия). Регулярно обновляйте его для всех компьютеров в организации.

Программы для этого лучше выбирайте лицензионные. Они стоят в пределах 1–2 тыс. руб. в год на одно рабочее место, но это лучшая из возможных защит от наиболее распространенных вредоносных программ, уверяет Максим Солнцев, председатель правления СДМ-банка.

Не держите чувствительные данные на сервере, который имеет выход в интернет. Перенесите их в защищенную внутреннюю сеть компании. Если вы храните данные в дата-центре либо работаете с облачными решениями, постарайтесь удостовериться, что провайдер обеспечивает защиту информации.

Полный комплекс мер по защите от киберворов — в материале.

Система защиты информации в компании: правила организации информационной безопасности

Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.

Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.

Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.

Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.

Выберите информацию, которую стоит защитить

Компании хотят защитить информацию, которая помогает им зарабатывать.

№ 98-ФЗ от 29.07.2004 Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если какой-то сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.

В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.

Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.

  1. Информация, которая разрешает заниматься бизнесом: учредительные документы, данные о регистрации.
  2. Сведения о том, что работа компании не вредит людям: отчеты о загрязнении окружающей среды, противопожарной безопасности компании, санитарно-эпидемиологическом состоянии производства и другие.
  3. Информация, которую законы запрещают держать в секрете: годовая бухотчетность АО, задолженность компании по налогам, потребительская информация о товаре и другие.

В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:

МожноНельзя
— Список клиентов и поставщиков — Способы и принципы ценообразования — Маркетинговые исследования и рекламные кампании — Технологические сведения о продукции — Стратегические планы — Особенности производственных процессов — Информация о методах управления и внутренней организации предприятия

— Деловая переписка

— Имя генерального директора — Состав и квалификация персонала — Бухотчетность — Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое — Задолженность по зарплате — Вакансии — Список лиц, которые могут представлять организацию без доверенности

— Номер лицензии на осуществление деятельности

Защитите секретную информацию от сотрудников и сторонних партнеров

Чтобы защитить секретные данные, компании нужно пройти четыре шага:

  • Ввести режим коммерческой тайны.
  • Заключить с сотрудниками договоры на создание продуктов.
  • Защитить интеллектуальную собственность.
  • Ввести режим конфиденциальности с внешними партнерами.

Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.

Чтобы ввести режим коммерческой тайны, компании нужно:

  1. Разработать положение о коммерческой тайне и конфиденциальности.
  2. Ознакомить с ним сотрудников под подпись.
  3. Создать условия для хранения секретных документов.
  4. Обозначить всю ценную документацию грифом «Коммерческая тайна».
  5. Вести журнал доступа к конфиденциальным сведениям.

Стоит что-то сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.

Подробнее об этом расскажем в следующих статьях.

Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.

В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы  входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.

Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.

Дело № 2-70/2020

Заключить договоры на создание продуктов. Во многих компаниях сотрудники что-то разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.

Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.

Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.

«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.

Дело № А40-202764/18-110-1552

Защитить интеллектуальную собственность компании. Вы можете защитить:

Зачем регистрировать название компании, как товарный знак

  • Объекты авторского права: видео- и аудиозаписи, литературные произведения, картины, логотипы, базы данных, программы.
  • Товарные знаки.
  • Промышленную собственность: изобретения, промышленные образцы, полезные модели.
  • Секреты производства (ноу-хау): любые сведения, имеющие потенциальную или действительную коммерческую ценность.

Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.

Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.

Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.

Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.

Режим конфиденциальности может сработать и в более мирных условиях.

Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки. Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.

Без коммерческой тайны ввести режим конфиденциальности нельзя.

По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.

Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.

Дело № А56-92673/2016

Когда секретная информация защищена сама по себе

Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее кому-то или использовать в личных целях, даже если договор в итоге не заключили.

Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.

Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.

Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.

Наказать за раскрытие коммерческой тайны

Если кто-то не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:

ОтветственностьНаказаниеОснование
Дисциплинарная В зависимости от вины, по решению руководителя компании: — увольнение — выговор

—замечание

ст. 192 ТК РФ
Материальная Полное возмещение денежного ущерба, который получила компания из-за утечки секретной информации.

Закон не запрещает применять материальное и дисциплинарное наказание за одно и то же нарушение

п. 7 ст. 243 ТК РФ
Административная Штраф для граждан — от 500 до 1000 ₽

Штраф для должностных лиц — от 4000 до 5000 ₽

ст. 13.14 КоАП РФ
Уголовная Наказание для сотрудника, который нарушил режим коммерческой тайны, в зависимости от тяжести нарушения: штраф до 1 500 000 ₽ и лишение свободы до 7 лет ст. 183 УК РФ

В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.

Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.

Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.

В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.

Дело № 10-1675/2019

Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.

ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.

Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.

Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.

Дело № А45-47738/2018

Главное

Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.

Для защиты ценной информации:

  1. Введите в компании режим коммерческой тайны.
  2. Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
  3. Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
  4. Введите режим конфиденциальности с партнерами.

За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.

Подписка на новое в Бизнес-секретах

Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.

Современные реалии корпоративной безопасности компании

01.04.2015

Корпоративная безопасность – явление совсем не новое. То, что лишь недавно стали называть этим термином, существует еще с тех пор, как только зародилась торговля. Каждый купец стремился уберечь свои профессиональные секреты от конкурентов, чтобы не потерять прибыль.

По сути, современная корпоративная безопасность мало чем отличается от давнишней. Меняются лишь реалии, в которых бизнесмены должны вести свое дело. Любая компания  хочет быть надежно защищена не только от внешних угроз, но и от внутренних. Эту проблему и решают специалисты по корпоративной и информационной безопасности. Перед ними стоит задача проводить целый комплекс мер, включающих в себя практически все сферы жизни компании:

  • защита коммерческой тайн;
  • внутренняя работа с сотрудниками;
  • внутренняя контрразведка;
  • служебные расследования;
  • экономичная безопасность;
  • техническая и физическая защита.

Если есть проблемы хотя бы по одному из этих пунктов – быть беде. Не так давно в Великобритании разразился скандал – жесткие диски  с данными пациентов клиник, которые должны были быть уничтожены, оказались вдруг на аукционах eBay. Больницы передавали списанные диски компании-подрядчику, которая, в свою очередь, пользовалась услугами частного лица. Предприимчивый англичанин, вместо того чтобы добросовестно выполнить свои обязанности – уничтожить носители —  выставлял диски с данными на продажу. В этом случае «слабыми звеньями» можно назвать два пункта – внутренняя работа с сотрудниками и техническая защита. Разберемся, почему. К утечке привела слишком длинная цепочка посредников, в результате чего заказчик даже не был в курсе, кто непосредственно занимается уничтожением дисков и чьи действия необходимо было проконтролировать. Кроме того, уже сам факт, что больницы передавали диски с незащищенными личными данными пациентов третьим лицам – техническое упущение сотрудников. Ответственный подход к обеспечению корпоративной информационной безопасности помог бы избежать данной ситуации. Разберемся, что же необходимо предпринять, чтобы получить на выходе реально работающую систему информационной защиты.

Три непростых шага

Прежде чем приступать к построению эффективной системы информационной безопасности, необходимо тщательно проанализировать уже существующую на предприятии систему хранения и обработки данных. Есть три основных шага, которые необходимо для этого сделать: 1.    Выявление критически важной информации. 2.    Выявление слабых мест в корпоративной безопасности. 3.    Оценка возможностей защиты этой информации. Все эти действия можно выполнить либо силами своих сотрудников, либо заказать у специалистов аудит информационной безопасности компании. Преимущества первого способа – более низкая стоимость и, что немаловажно, отсутствие доступа к корпоративным данным для третьих лиц. Однако если в организации нет хороших штатных специалистов по аудиту безопасности, то лучше всего прибегнуть к помощи сторонних компаний – результат будет надежнее. Это поможет избежать наиболее распространенных  ошибок в обеспечении информационной безопасности.«Самые частые ошибки — это недооценка и переоценка угроз предпринимательской деятельности, – считает Александр Доронин, эксперт в области экономической безопасности и автор книги «Бизнес-разведка» —  В первом случае, в системе безопасности предприятия зияют дыры, что для организации оборачивается прямым ущербом от утечки конфиденциальной информации, корпоративного мошенничества и откровенного воровства что под руку попадется. При переоценке угроз система безопасности не только тяжким бременем ложится на бюджет предприятия, но и неоправданно затрудняет работникам организации исполнение возложенных на них обязанностей. Это грозит потерями возможной прибыли и утратой конкурентоспособности».

Выявление критически важной информации. На этом этапе происходит определение тех документов и данных, безопасность которых имеет огромное значение для компании, а утечка – несет огромные убытки. Чаще всего к такой информации относятся сведения, составляющие коммерческую тайну, но не только.

Например, после принятия новой редакции федерального закона «О персональных данных» в охране нуждаются и все сведения, собираемые организацией о своих сотрудниках и клиентах. Серия прошлогодних утечек из Мегафона, интернет-магазинов и «РЖД», а также штрафы, полученные виновниками этих инцидентов – лучшее доказательство необходимости защиты такой информации. Важно помнить: сторонние специалисты-аудиторы не могут самостоятельно составить список всех документов, которые необходимо защищать. Работа аудитора должна выполняться совместно с сотрудником предприятия, хорошо знающим особенности документооборота.

Выявление слабых мест в корпоративной безопасности. Эта задача выполняется непосредственно специалистами, проводящими аудит. От результатов этой работы зависит выбор схемы построения информационной безопасности.

Самые популярные способы кражи корпоративных данных: как защитить свою компанию

Киберугрозы стали частью повседневных рисков для любого бизнеса – так же, как и падение спроса или происки конкурентов, их нужно принимать во внимание всем компаниям без исключения.

Действия хакеров в 2017 году в мире в среднем обошлись каждой крупной корпорации в $1,3 миллиона, а субъектам малого и среднего бизнеса – в $117 тысяч. Этот год должен стать рекордным: общемировые потери, согласно прогнозам, достигнут $1 триллиона.

Рассмотрим наиболее популярные векторы атак и способы минимизации рисков.

Трояны-шифровальщики

Прошлый год был богат на кибератаки с использованием троянов-шифровальщиков – вредоносных программ, которые, попадая на корпоративные компьютеры, зашифровывали их содержимое и требовали выкуп за восстановление данных.

Больше всего нашумели WannaCry и вариации вируса Petya, которые поразили множество корпораций по всему миру, включая российские «Мегафон» и «Роснефть», а также Mars, NIVEA, правительственные компьютеры и торговые сети Украины.

Глобальный ущерб от первого составил 8 миллиардов долларов, второго – 850 миллионов долларов.

Шифровальщики попадают в систему различными способами. Вирус Petya использовал разные векторы атак, в том числе ту же уязвимость в Windows, что и WannaCry (закрыта в обновлении безопасности от 14 марта 2017), которая позволяла подключаться к системе удаленно.

Другие пользуются стандартными методами – попадают в компьютер через электронную почту или маскируются под уведомление системы об обновлениях.

Именно так поступил BadRabbit, когда в прошлом году атаковал российские СМИ, включая «Интерфакс» и «Фонтанку», а также киевское метро и одесский аэропорт.

Вирус проник в систему под видом обновления одного из продуктов Adobe, который устанавливали сами сотрудники.

Несмотря на то, что создатели всех шифровальщиков требовали выкуп в биткоинах, в большинстве случаев выплата оного не приводила к желаемому результату. Так, разбор вирусов Petya/ExPetr/NotPetya показал, что дешифровка данных была изначально невозможна, то есть вирус запускался чисто с деструктивными намерениями (или, по одной из версий – влияния на курс биткоина с целью его повышения).

Как бороться?

Бороться с шифровальщиком после того, как он попал в систему, практически невозможно, можно только постараться предотвратить заражение корпоративной сети.

Самая очевидная мера – это использование надежных антивирусов на корпоративных компьютерах, своевременная установка всех выпускаемых обновлений ПО и настройки корпоративных устройств, уменьшающие влияние человеческого фактора.

К неочевидным, но очень важным, относится обучение сотрудников, в частности, на предмет того, как распознавать признаки кибератак. Тактика действий персонала при этом должна быть отработана соответствующими тренингами или даже сознательными провокациями.

И конечно же, нужно обеспечивать своевременное резервное копирование данных, а в некоторых случаях уместно использование надежных облачных сервисов. Также в некоторых случаях не будет лишним ограничить доступ в интернет компьютеров с бухгалтерией и другими критичными корпоративными системами.

Кейлоггеры и другие трояны

Кейлоггеры – особый вид троянов, которые считывают информацию, вводимую с клавиатуры. Кейлоггер способен украсть пароли, данные банковских карт, конфиденциальные сведения, относящиеся к коммерческой тайне и другую важную информацию.

Заражение этим видом вируса, как впрочем и любым трояном, происходит через почту, торренты, мессенджеры, уязвимости операционной системы или программ – любые каналы, посредством которых сотрудник компании может запустить спрятанный вредоносный код, а также через внешний накопитель.

Кстати, именно таким образом одиозный вирус Stuxnet, созданный, вероятнее всего, спецслужбами США и Израиля, добрался до адресата – Иранской ядерной станции, заразив по пути сотни тысяч компьютеров и став оружием для шпионажа во многих странах мира. Этот троян вошел в историю благодаря новому принципу действия – физическому разрушению инфраструктуры. В Иране вирус повредил тысячу центрифуг для обогащения урана, нанеся колоссальный ущерб Иранской ядерной программе.

Как бороться?

Поскольку трояны проникают в систему различными путями, меры безопасности должны быть комплексными: антивирусные программы, сетевые фильтры, обучение сотрудников и в целом проработанная и последовательная политика безопасности, которая включает в себя использование адаптированных для работы в корпоративной среде программных и аппаратных продуктов (специальных мессенджеров, лицензированных операционных систем, сетевого оборудования).

В каждой организации конфигурация систем безопасности должна создаваться, исходя из ее профиля и сферы деятельности. Приведу пример из личного опыта. Мне довелось работать в одной из структур Роскосмоса – ФГУП НПЦАП им. Пилюгина, которая занимается разработкой автономных систем управления для ракетно-космической техники.

С учетом особых требований безопасности в нашем отделе были установлены только сертифицированные компьютеры российской сборки без единого USB-порта. Таким образом, сотрудники были лишены возможности принести на работу и присоединить к ПК зараженную флешку.

И хотя в эти компьютеры было возможно поставить дисковый накопитель, автозапуск программ, через который обычно и происходит заражение, был отключен.

Подобным же образом каждая организация, будь то корпорация или государственная структура, должна проанализировать свои потоки данных, найти в них «слабые звенья» и исключить атаки на них.

Кража корпоративных данных с облака

Методы и способы защиты корпоративной информации | Блог Mail.Ru Cloud Solutions

Почти у любой компании есть закрытая информация: конфиденциальные данные, база клиентов и сотрудников. Эту информацию можно защищать по-разному, например, ограничить к ней доступ, шифровать сообщения и закрыть серверы с данными на замок.

Разберем разные способы и конкретные средства защиты информации, которые сейчас применяют чаще всего.

Как можно защищать корпоративную информацию

Есть два основных способа защиты информации:

Установить четкие правила и регламенты работы с информацией, назначить наказания за их нарушение. Такие меры защиты объясняют, что можно, а что нельзя делать с информацией, как и от кого ее нужно защищать, чем грозит несанкционированный доступ к данным.

Эти меры — первый рубеж обороны. Они остановят тех, кто не готов ради информации игнорировать правила, нарушать законы и нести наказание.

Закрыть информацию от несанкционированного доступа с помощью технических инструментов: аппаратуры или специального программного обеспечения. Это средства защиты конфиденциальной информации, направленные против:

  • тех, кто пытается нарушить правила и законы;
  • тех, кто может случайно удалить или повредить важную информацию, раскрыть секретные сведения, например, в силу неумения управлять доступом к информации. Проще запретить или ограничить нежелательные действия, чем следить за каждым шагом сотрудников, которые могут быть не в курсе всех тонкостей информационной безопасности.

Такие средства защищают саму информацию — не дают получить к ней доступ, прочитать данные, изменить их или повредить.

Разберем разные виды защиты информации подробнее.

Нетехнические способы защиты: правовые и организационные

Правовые методы защиты информации. Законы, связанные с информацией, которые государство устанавливает и обязывает соблюдать. Например, в России к таким правовым методам относится 152-ФЗ, устанавливающий правила работы с персональными данными, или статья 272 УК РФ, описывающая ответственность за неправомерный доступ к информации.

Правовые методы не защищают информацию сами по себе — закон не помешает злоумышленнику взломать сервер. Но он устанавливает наказание, которое злоумышленник за это понесет, а значит, убережет конфиденциальную информацию от тех, кто не хочет платить штраф или садиться в тюрьму.

Кроме того, законы устанавливают меры защиты, которые компании обязаны обеспечить при работе с информацией. Например, государство может ввести лицензирование и сертификацию средств защиты информации — проверять, действительно ли программы и физические инструменты безопасны. В России этим занимается ФСТЭК.

Например, то, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать.

Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства.

При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

Организационные методы защиты информации. Это методы, которые предпринимает тот, кто хранит информацию. Обычно сюда относится работа с сотрудниками и внутренними регламентами компании:

  1. Подбор надежных и ответственных сотрудников.
  2. Составление и подписание договоров о неразглашении информации.
  3. Разграничение уровней доступа для сотрудников, чтобы определенная информация была доступна только узкому кругу лиц.

Организационные средства защиты информации — это почти то же самое, что правовые, только правила работы с информацией устанавливает не страна, а отдельная компания.

Но правовых и организационных мер недостаточно — информация все еще может быть повреждена из-за системных сбоев или похищена теми, кто игнорирует закон и правила компании. Поэтому существует четыре вида технических средств защиты информации: физические, аппаратные, программные и криптографические.

Техническая защита информации

Физические средства защиты информации

От шифрования, антивирусов, межсетевых экранов и другого защитного ПО не будет толку, если злоумышленник сможет просто прийти в серверную и похитить жесткие диски с данными. Поэтому информационные системы нужно в первую очередь защищать снаружи, с помощью простых физических средств защиты: дверей, решеток, сигнализаций, камер наблюдения и замков.

Данным на серверах угрожают не только посторонние люди, но и разные стихийные бедствия, например пожар. Поэтому пожарные сигнализации и системы пожаротушения тоже относят к физическим средствам защиты информации.

Такая техническая защита конфиденциальной информации не мешает получить доступ к информации через сеть. Они защищают носители информации на месте, предотвращая физические кражи и поломки.

Программные средства защиты информации

Когда мы говорим о защите данных, то в первую очередь вспоминаем пароли или антивирусы. Это как раз программные средства защиты информации — простое или комплексное программное обеспечение, которое устанавливают непосредственно на компьютеры и серверы.

К программным средствам защиты относят, например:

  1. Антивирусы, которые распознают, изолируют и удаляют вредоносные программы, способные украсть или повредить информацию.
  2. Средства разграничения доступа, системы аккаунтов и паролей, которые закрывают посторонним доступ к информации.
  3. Инструменты виртуализации, которые позволяют создавать «песочницы» для работы недоверенных приложений в виртуальных пространствах, не подвергая опасности основные серверы.
  4. Программные межсетевые экраны (или файерволы, брандмауэры), которые отслеживают трафик и уведомляют, если из сети на компьютер поступают подозрительные сигналы из неизвестных источников.
  5. DLP-системы, которые предотвращают утечку информации, например, помешают сотруднику скопировать секретную базу данных на флешку.
  6. SIEM-системы, которые фиксируют подозрительную активность, например, слишком частые запросы к базе данных.

«Ни одно программное решение не защищает информацию полностью — оно блокирует одни возможности атаки, но оставляет пространство для других. Для построения эффективной системы защиты информации нужно подбирать несколько программных средств и выстраивать комплекс, где каждое средство “прикрывает тылы” другого. Только в этом случае ваша информация будет полностью защищена».

Федор Музалевский, RTM Group

Аппаратные средства защиты информации

Аппаратные средства занимают промежуточное положение между физическими и программными:

  • Как физические средства, это устройства, которые защищают информацию физическими методами, например, генерируют шумы, блокируют посторонние сигналы или контролируют доступ в сеть.
  • Как и программные средства, аппаратные встроены в саму систему и способны защитить информацию.

К аппаратным средствам защиты относят, например:

  1. Аппаратные межсетевые экраны. Они установлены между сегментами сети, например там, где локальные сети подключены к интернету, и обеспечивают межсетевое экранирование. Соединения серверов с внешними сетями проходят через эти экраны и фильтруются — система не пропускает посторонние соединения, например от неизвестных источников.
  2. Генераторы шума. Эти устройства создают информационный шум, маскируют беспроводные каналы связи и шифруют данные.
  3. Аппаратные регистры паролей — физические устройства, которые хранят и передают пароли. Например, специальная флешка, которую нужно обязательно вставить в компьютер, чтобы получить доступ к информации. Даже если хакер подберет пароль, без этой флешки он ничего не сможет сделать.
  4. Аппаратные модули доверенной загрузки. Они не позволяют загрузить на компьютер, например, постороннюю операционную систему, из которой можно получить доступ к информации на жестком диске.

Часто программные средства умеют делать почти то же самое, что аппаратные. Но аппаратные обычно производительнее и надежнее — их сложнее взломать, у них меньше уязвимостей.

К примеру, взломщик может попытаться заставить компьютер загрузить стороннюю операционную систему с флешки и получить доступ к базе данных на жестком диске в обход основной системы и антивируса. Аппаратный модуль доверенной загрузки не позволит это сделать, а любые программные средства будут бессильны.

Поэтому для максимальной защиты программные средства важно дополнять аппаратными, выстраивая несколько уровней защиты информации, даже если кажется, что их функции дублируют друг друга. Также стоит использовать сертифицированные средства защиты информации — их надежность подтверждена контролирующими государственными органами.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *