Передача данных — неизбежный процесс, с которым ежедневно сталкивается бизнес, вне зависимости от его масштабов и направления. Грамотный менеджмент корпоративной информации требует максимальной осторожности, так как любая утечка или повреждение критически важных данных могут повлечь за собой негативные последствия для организации и поставить ее деятельность под угрозу.
Как правило, современные компании для хранения цифровой информации используют базы данных, которые необходимо регулярно обновлять и администрировать. Согласно данным компании Accenture, 43% всех хакерских атак направлены на малый бизнес, но в то же время, только 14% опрошенных владельцев бизнеса предпринимают необходимые меры защиты.
Термин конфиденциальность происходит от латинского слова confidentia — доверие. Специалисты по защите информации и информационной безопасности предлагают несколько определений. Остановимся на одном из них: конфиденциальная информация — это данные, доступ к которым может быть осуществлен только субъектами, имеющими на это соответствующие права.
Защита информации на предприятии — обязательная и нетривиальная задача для владельца бизнеса. Критически важные корпоративные данные могут играть одну из главных ролей в конкурентоспособности компании. Любые утечки могут привести к непредвиденным негативным последствиям, начиная от потери клиентов, компрометации личных данных сотрудников, и заканчивая банкротством.
В зависимости от направления и масштабов бизнеса, типы секретных данных могут существенно разниться. Однако существует несколько категорий, которые являются общими для всех компаний. Рассмотрим основные их них:
Бизнес-стратегии. Стратегическое планирование развития — неотъемлемая часть работы любой организации. Часто готовые стратегии включают в себя данные о прибыли за определенный период, анализ конкурентов и другую информацию, доступ к которой открыт только для определенного круга лиц.
Маркетинговые приемы. Компании часто разрабатывают свои собственные уникальные приемы продаж товаров или услуг, которые выгодно отличают их от конкурентов. Как правило, этой задачей занимается отдел маркетинга, куда инвестируется немалый бюджет. Потеря существующих наработок может существенно снизить эффективность привлечения клиентов и обнулить все вложения в маркетинговые стратегии.
Информация о продукте. В случае работы с уникальными товарами, например, новыми моделями гаджетов, утечка информации о характеристиках играет на руку конкурентам, которые проводят анализ используемых технологий и используют результаты в своих будущих наработках. Это касается не только товаров, но и уникальных услуг.
Личные данные. К этой категории относится любая личная информация о клиентах, сотрудниках, партнерах. Утечка личных данных способна существенно снизить репутацию бренда и привести к оттоку клиентов и партнеров.
Принципы защиты информации, представленные в четырех категориях, практически не отличаются. Далее в этом материале рассмотрим их более подробно.
Чтобы понять, как защитить информацию, критически важную для организации, необходимо рассмотреть основные причины утечек, с которыми чаще всего сталкиваются предприниматели. Условно их можно разделить на две категории: внешние и внутренние. К внешним угрозам можно отнести такие:
Физическая кража. Корпоративные данные могут быть украдены третьими лицами при помощи различных способов. Одним из наиболее распространенных способов является фишинг вместе с социальной инженерией.
Взлом IT-инфраструктуры. Злоумышленники могут завладеть данными методом кибератак на основной корпоративный сервер или сеть. Часто хакеры используют метод DDoS-атак, которые предполагают создание большого количества “мусорного” трафика, перегружающего сеть и сервер.
Коммерческий шпионаж. Часто конкуренты используют так называемые черные методы конкурентной борьбы и собирают информацию нетрадиционным способом, используя подставных клиентов и агентов под прикрытием. Кроме того, популярными методами шпионажа является прослушка, взлом аккаунтов и серверов.
Внутренние угрозы могут исходить от:
сотрудников, которые раскрывают информацию случайным образом либо в результате проведения внешних деловых операций;
бывших сотрудников, которые остались недовольны отношением в компании. Они могут намерено передать секретные данные конкурентам с целью нанести вред своим бывшим коллегам и работодателям;
неудавшихся переговоров с другими компаниями. Часто в процессе деловых переговоров с потенциальными партнерами необходимо приоткрыть завесу конфиденциальности и поделиться какими-либо данными или наработками. В случае срыва переговоров, информация остается у другой стороны, которая может поступить с ней недобросовестно и использовать ее во вред своему потенциальному партнеру.
Во избежание негативных последствий, рекомендуется разработать уровни защиты информации. Это значит, что секретные данные должны быть распределены по приоритетности. Информация с наивысшим приоритетом секретности должна быть доступна только нескольким высокопоставленным лицам компании, например, владельцу и бухгалтеру. По мере убывания приоритета, доступ к данным могут получать сотрудники разных отделов. Никогда нельзя доверять конфиденциальную информацию всем сотрудникам организации!
Рассмотрим основные способы обеспечения конфиденциальности информации в организации, которые хорошо зарекомендовали себя на практике.
В первую очередь необходимо проанализировать потребности в данных и их использовании, а также установить меры по предотвращению потенциальной потери данных. В этом поможет использование схемы оценки DLP (предотвращение потери данных).
Следующим шагом должна стать проверка соблюдения правил и требований конфиденциальности, в том числе GDPR (Общее положение о защите данных). Для повышения эффективности администрирования корпоративной информации рекомендуется создать соответствующий реестр, в котором будет указан приоритет безопасности.
Во избежание потери важной информации предпринимателю необходимо позаботиться о наличии специальных систем защиты, которые могут быть как аппаратными, так и программными. Например, хорошей практикой является использование брандмауэров и сетевых фильтров для своевременного обнаружения перегрузок трафика и отсеивания лишних запросов.
Передачу информации по сетевым каналам следует осуществлять только в зашифрованном виде. Даже в случае перехвата, злоумышленник не сможет расшифровать ее, не имея специального ключа. На сегодняшний день пользователям доступны разные виды шифрования, включая виртуальную частную сеть VPN, безопасную оболочку SSH, безопасный транспортный уровень TLS, уровень защищенных сокетов SSL.
Часто наряду с вышеописанными способами используют метод сжатия данных перед передачей по сетевым каналам. Это позволяет ускорить процесс передачи, тем самым сократив время злоумышленника на потенциальный перехват. Для сжатия данных используются разные программные инструменты, в зависимости от типа используемой ОС. Например, в Unix и подобных системах предусмотрена команда gzip, в Windows можно использовать стандартную утилиту WinZip или обратиться к ПО сторонних разработчиков.
Организационные меры защиты информации включают в себя распределение доступа к данным между сотрудниками компании. Предоставление доступа слишком широкому кругу сотрудников может повлечь за собой негативные последствия, вплоть до утечек, которые будет трудно обнаружить.
Управление доступом следует начинать с определения того, кому из сотрудников он необходим для работы. После составления списка доступов следует использовать современные методы аутентификации и разрешений. Для защиты информации во время передачи можно использовать два способа управления доступом: на основе атрибутов — ABAC, или же на основе ролей — RBAC. С их помощью существенно упрощается процесс контроля и отслеживания доступа к информации в процессе передачи.
Нельзя недооценивать наличие резервных копий критически важной информации. Даже современные методы защиты не могут гарантировать стопроцентной безопасности корпоративных данных. Резервные копии — это гарантия того, что в случае сбоя в процессе передачи данных их удастся достаточно быстро восстановить без серьезного ущерба для бизнеса. Резервные копии рекомендуется хранить вне корпоративной сети. Для этого можно использовать внешние носители, например, твердотельные накопители SSD, флэш-накопители, внешние жесткие диски HDD или облачные сервисы.
Хорошей практикой является резервирование информации сразу на несколько носителей. Это позволит быть уверенным в сохранности данных в случае непредвиденных обстоятельств. Облачные сервисы хороши тем, что получить к ним доступ можно из любого местоположения. Для восстановления информации достаточно иметь гаджет с подключенным интернетом и права доступа. В случае с внешними накопителями, восстановление займет больше времени.