В 2023 году объем утечек данных увеличился на 60% по сравнению с 2022-м. При этом большая часть компаний до сих предпочитают не говорить о сливе информации публично. Причина кроется не только в штрафах, подобные инциденты — весомый удар по репутации бизнеса. Так, 71% клиентов могут отказаться от сотрудничества с организацией, если почувствуют, что перестали доверять ей.
Юлия Коновалова, руководитель отдела информационной безопасности группы «Рексофт», уверена: отчасти для того, чтобы избежать таких рисков, HR-департамент в компании должен развивать цифровую культуру сотрудников организации, детально обсуждать с ними ответственность за ошибки в защите данных и проводить регулярные тренинги как о базовых принципах безопасности в цифровом мире, так и о тенденциях в развитии атак злоумышленников.
Не только техника
Сегодня даже малые и средние предприятия стараются технически укрепить свой цифровой периметр, тем самым повысив уровень кибербезопасности. Однако до сих пор в любой компании существует зона, которую невозможно защитить только с помощью ПО и устройств – речь про рабочий коллектив. Это не секрет, что самое слабое звено в любой системе защиты — человек! Большинство утечек в организациях происходят из-за человеческого фактора. Злоумышленники с каждым годом наращивают давление именно на людей. Так, 84% кибератак в РФ начинаются с писем. Более того, почти 70% сообщений, которые поступают на рабочие email, — это спам, фишинг или сообщения с вредоносным ПО. По статистике в 10% случаев человек не распознает атаку на компанию и переходит по вредоносной ссылке. В то же время эксперты констатируют, что в России осведомленность по информационной безопасности среди обычных сотрудников до сих пор невысока. Но стоит помнить, что утечки бывают двух видов. Помимо неумышленных эпизодов, существует также осознанный «слив» данных, например, в соцсети, СМИ, конкурентам или даже спецслужбам. Такое случается из-за внутренних конфликтов и непонимания внутри компании, либо в интересах собственной выгоды. В таких случаях, чаще всего, раскрываются персональные данные и коммерческая тайна.
Профилактика важнее лечения
Защита конфиденциальной информации является критически важной задачей для любой организации. Как минимум об этом говорит статистика — количество судебных дел, связанных с персональными данным данными, за последние два года выросло на 71%. Последние поправки в федеральный закон No152-ФЗ «О персональных данных», который пока что окончательно не принят, подразумевают штраф за утечки: от 3 до 15 млн руб. для юрлиц в зависимости от количества субъектов. Повторные нарушения могут повлечь оборотные штрафы: от 0,1% до 3% выручки за календарный год или за часть текущего года, не менее 15 млн рублей и не более 500 млн рублей. Текущий максимальный штраф для юридических лиц: до 100 тыс. руб., а повторно — до 300 тыс. руб.
В условиях цифровизации и киберугроз, количество которых с каждым днем только увеличивается, компании должны принимать всесторонние меры для обеспечения безопасности внутренней информации. Наиболее предпочтительным будет комплексный подход, который сочетает технические и физические меры, реагирование на инциденты, регулярные обновления ПО, проведения тестов на проникновение, а также комплексная и регулярная работа с персоналом.
Когда угроза рядом: как предотвратить внутренние утечки
Один из наиболее подверженных рискам сегментов — это внутренние утечки данных. Речь идет о тех случаях, когда сотрудники по тем или иным причинам передают важную информацию внешним сторонам, будь то конкуренты или другие заинтересованные лица. Здесь в игру вступают следующие методы, которые могут несколько сократить риски внутренних утечек данных и обеспечить надежное управление информационной безопасностью в организации:
- NDA. Для снижения вероятности преднамеренной утечки необходимо ввести режим защиты коммерческой тайны, четко определить все аспекты, которые попадают под ее определение, а потом заключить NDA (договор о неразглашении конфиденциальной информации). Этот документ регламентирует порядок обращения с данными и устанавливает ответственность за их разглашение. О важности NDA говорят исследования — более трети уволенных работников готовы продать корпоративные данные, а еще 15,7% могут передать их конкурентам. Нарушение NDA может повлечь за собой серьезные последствия для нарушителя, включая штрафы или возмещение ущерба от разглашения информации, именно поэтому договор о неразглашении считается довольно эффективным сдерживающим фактором. Да и просто знание сотрудника о таком документе психологически ставит барьер и влияет на повышении безопасности.
- DLP-системы (Data Loss Prevention). Это специализированное ПО, которое способно в режиме реального времени отследить попытки несанкционированной передачи данных и заблокировать их. Система устанавливается на корпоративный устройства и предотвращает даже такие действия, как отправка какого-либо файла с корпоративной почты на личную. Кроме того, в случае обнаружения подозрительной активности DLP-система незамедлительно оповестит об инциденте ответственного за ИБ сотрудника.
- Оптимизация уровней доступа. Это одна из основных и наиболее распространенных мер в обеспечении безопасности корпоративной информации. Он подразумевает предоставление сотрудникам доступа лишь к той информации, которая необходима для выполнения их непосредственных рабочих задач. Так, вместо доступа ко всей базе данных, менеджеру можно выдать лишь материалы клиентов, находящихся в его ведении. Кроме того, в CRM и других системах можно настроить иерархические уровни доступа к данным, тем самым укрепив контроль над распределением информации внутри компании.
Защита от невидимой угрозы: как бороться с внешними утечками
Отдельно стоит выделить возможность внешних утечек информации (взлом инфраструктуры). Основным способом профилактики таких утечек, кроме технических мер, сегодня является постоянное информирование и тренинги. Даже те люди, которые всецело осознают ответственность за утечку данных и понимают, какие штрафы могут грозить компании, могут быть виновными в сливе, если у них нет базовых знаний информационной безопасности. Пока что бизнес большее внимание уделяет киберучениям для профессионалов в сфере кибербезопасности, а вот с ликбезом по ИБ дела обстоят иначе. Опросы говорят, что 58% компаний не проводят тренингов по кибербезопасности. Если же обучение проводится, то не чаще, чем раз в полгода или квартал. Однако тренинги для персонала дадут реальный результат, если у них будет более плотная периодичность, и они будут включать не только теорию, но и контрольные вопросы, а также практику. Наряду с «лекционными» занятиями по ИБ компании уже практикуют проверочные фишинговые атаки и поощряют работников, которые не попадаются на уловку. В случае с теми, кто не справляется с проверкой на бдительность, компании чаще всего проводят повторные учения.
Безопасные шаги
Если отдел персонала хочет обучить сотрудников цифровой гигиене и основам информационной безопасности, на рынке уже есть как универсальные образовательные системы, так и курсы, которые могут быть адаптированы под компанию. Такие сервисы доступны, скорее, крупному бизнесу. К тому же, если говорить об общей популярности таких решений, только 10% компаний готовы выделить на них бюджет. К сожалению, менеджмент пока что недооценивает киберриски, а люди быстро привыкают к автоматическим разработкам, которые, например, однообразно оповещают их о том, что нужно повторно пройти какой-то курс.
Куда более действенным путем, подходящим для компании любого размера, будет создание собственного трека по кибербезопасности — с индивидуальным подходом и особенностями направления компании, под которое порой сложно подстроить коробочные решения.
Подготовка необходимых документов и обучение команды, конечно, панацеей не являются. Даже самые продвинутые курсы не гарантируют, что работник не откроет вредоносное вложение или не решится на умышленную утечку. Однако цифровая гигиена значительно снижает число инцидентов. При разработке собственных тренингов HR-отдел может вдохновляться готовыми программами, но важно не забывать, дополнять их актуальной практикой и реальными кейсами совместно с ИБ-отделом. Главное, что может дать комплекс всех этих мер, — доверительный контакт с сотрудниками, которые после обучения полноценно осознают важность знаний в сфере инфобезопасности сегодня.
Источник: HR-MEDIA.RU
Изображение: metamorworks/Shutterstock.com
