Как противостоять хищению конфиденциальной информации
Сохранение конфиденциальности корпоративной информации — сегодня одно из главных условий конкурентоспособности бизнеса. Ведь в современной экономике компания любого профиля работает прежде всего с собственной базой данных, в которой фиксируются результаты труда ее сотрудников.
О том, насколько в нашей стране распространено хищение конфиденциальной информации, можно судить хотя бы по обилию коммерческих и государственных баз данных, продающихся в интернете и на московских рынках. Разумеется, это только вершина айсберга, поскольку информация обычно крадется вовсе не для передачи в широкую продажу.
Обычно она предлагается конкретному «клиенту».
Платим и заказываем
«Потери от информационных утечек могут быть очень велики именно потому, что часто они провоцируются заинтересованной стороной из числа конкурентов,- говорит Дмитрий Распертов, научный сотрудник НИИ „Информационные технологии“.- Заказчики, как правило, заранее знают, за что платят, и имеют четкие планы по дальнейшему использованию полученных данных. А вот человек, который непосредственно организует утечку, может не понимать реальной ценности информации, которую он передает».
На Западе уже давно пришли к пониманию того факта, что как бы дорого ни обходилась защита критически важных данных, убытки, вызванные их разглашением, обычно оказываются выше. Причем сохранение конфиденциальности зачастую связано не только с финансовыми, но и с этическими вопросами. Летом этого года большинство из 200 членов советов директоров американских компаний, участвовавших в соответствующем опросе, заявили о своей поддержке любых легальных способов идентификации утечки конфиденциальной информации, включая анализ электронной переписки сотрудников. Около половины опрошенных считают также, что нужно использовать и данные по телефонным переговорам, если такой метод будет признан законным.
Технологии и люди
Рассказывает Денис Ушаков, специалист отдела защиты информации ЗАО «Кардинал»: «Проблема защиты информации имеет три аспекта: правовой, организационный и технологический. Естественно, что мы в основном занимаемся технологической стороной вопроса, однако на практике она тесно связана с остальными». По его словам, пытаться обеспечить конфиденциальность информации исключительно техническими средствами — задача безнадежная. Самое лучшее инженерное решение не будет работать, если в компании не создана четкая организационная структура доступа к информации.
«Можно использовать самые современные системы шифрования информации и при этом оставить полный доступ к базе данных секретарше,- продолжает Денис Ушаков.- Она, как это обычно бывает, будет использовать при входе в систему простейший пароль, состоящий из нескольких цифр или короткого слова. Взломать такую защиту на низком уровне, то есть путем простого подбора пары „логин-пароль“, не представляет никакого труда».
И все же начинать стоит именно с технологий. «Системы защиты информации и системы ее взлома развиваются так же, как и любые средства обороны и атаки, использующиеся в военных целях,- замечает Дмитрий Распертов.- Например, в средние века были созданы совершенные защитные системы, применявшиеся тяжеловооруженной кавалерией. Но изобретение огнестрельного оружия сделало рыцарей анахронизмом. Такова потенциальная судьба и любой системы, которая стоит на защите вашей информации».
По его словам, эффективной можно считать такую систему защиты, стоимость взлома которой превышает ценность информации, которая может быть добыта в результате.
Топ в помощь
Западные исследования показывают, что проникновение злоумышленника в информационную систему компании обычно связано либо с некорректными действиями администратора сети, либо с «помощью» сотрудника компании.
В большинстве случаев «помощником» выступает кто-то из руководителей. Это легко объяснить, учитывая, что именно управленцы не только имеют обычно наиболее широкий доступ к информации, но и понимают ее ценность.
«Во многих компаниях сложилось неверное понимание этой ситуации,- соглашается Дмитрий Распертов.- Руководство склонно опасаться, скорее, студента-стажера, имеющего самый минимальный доступ к корпоративной базе данных,чем реальных угроз, исходящих от нелояльных менеджеров высокого уровня. Студент же просто „не видит“ нужной информации, не распознает ее в качестве товара и не знает, что ее можно продать».
Противодействие распространению информации через топов — это очень сложная задача, связанная с введением жестких схем ограничения доступа. «В малом и среднем бизнесе,- говорит Александр Алексеев, административный директор компании „Керамика-строй“,- эту проблему, как правило, стараются решать неформально. Руководители таких компаний во многих случаях — это давние проверенные партнеры, которые могут полностью доверять друг другу. Ограничения на доступ к информации распространяются здесь обычно только на персонал среднего и низшего уровней».
Однако чем более крупной становится компания, тем больше формальных правил, направленных на распространение и хранение информации, ей приходится вводить.
«Часто подобные меры не находят понимания среди сотрудников,- замечает Александр Алексеев.- С точки зрения работников это свидетельствует о недоверии со стороны руководства. Поэтому очень важно не просто объявлять о новых правилах, но и разъяснять их смысл, подчеркивая, что главная цель охраны информации — это защита бизнеса. Ведь, в конце концов, данные можно раскрыть и без злого умысла».
В самом деле, может получиться так, что сотрудник, которого не предупредили о нежелательности распространения той или иной информации, окажется в весьма неприятной ситуации, просто рассказав о жизни компании кому-нибудь из своих друзей.
«Как раз здесь,- пожимает плечами Дмитрий Распертов,- криптоалгоритмы бессильны, это чисто человеческий фактор. Наверное, для предотвращения таких ситуаций компаниям следует стараться переводить подобные отношения с сотрудниками в юридическое поле».
Записано в контракте
Стандартной практикой, особенно распространенной в крупных западных корпорациях, работающих в России, является наличие в контракте сотрудника специального пункта о неразглашении конфиденциальной информации компании. Подобные отношения регулируются федеральным законом РФ «О коммерческой тайне», принятом два года назад. В соответствии с ним работодатель должен заранее и в письменном виде предупредить своих сотрудников, как о полном перечне охраняемых документов, так и о санкциях за разглашение их содержания.
Другая юридическая проблема связана с государственным регулированием систем защиты информации. По словам Дениса Ушакова, определенную защиту от несанкционированного доступа предоставляют стандартные средства программного обеспечения.
А вот для создания системы защиты более высокого уровня необходимо использовать специальные средства шифрования. В России от разработчиков и эксплуататоров подобных средств требуется в обязательном порядке пройти процедуру государственного лицензирования. Фактически речь идет о государственном контроле над информационными системами любых компаний, что полностью соответствует нынешней законодательной системе. «Естественно, что такая практика вызывает множество критических замечаний,- замечает Денис Ушаков.- Ведь реализация принципов государственного контроля за информацией требует ограничить распространение систем защиты, а также подразумевает наличие у соответствующих служб ключей для дешифровки».
Уровни доступа
Как правило, уровень доступа к корпоративной информации определяется в зависимости от компетенций сотрудника. Рядовые специалисты и менеджеры по работе с клиентами имеют доступ лишь к тем документам, которые нужны им для повседневной работы.
Управленцы, ответственные за тактические решения, работают как с данными своих подчиненных, так и с информацией более высокого уровня. Наконец, люди, ответственные за стратегический менеджмент компании, имеют полный доступ к информации. «С топ-менеджерами в этом смысле могут сравниться только специалисты в области ИТ,- замечает Александр Алексеев.- Их задача состоит как в организации бесперебойной работы информационной базы предприятия, так в и защите данных. А следовательно, от надежности этих людей полностью зависит сохранность вашей коммерческой тайны».
Во многих компаниях, деятельность которых связана с накоплением и переработкой уникальной информации (например, речь может идти о научно-технических разработках), существует практика создания специальных банков данных. «В таких случаях,- говорит Дмитрий Распертов,- каждый сотрудник компании имеет доступ только к тому сегменту банка данных, с которым непосредственно связана его рабочая группа. А запросы на доступ к остальной информации идут через руководителя группы, который несет ответственность за принятие решений об открытии информации».
Комментарии читателей