Чек-лист: как избежать утечек данных и подружить сотрудников с инфобезом

В декабре в Госдуму внесли пакет поправок, который предусматривает штрафы за повторные нарушения до ₽500 млн и сроки за утечки персональных данных для компаний. Правда, пока остается открытым вопрос относительно снижения ответственности в случае компенсаций пострадавшим и реальных инвестиций в систему инфобеза (ИБ), сейчас методикой расчета оптимальных затрат на цифровую безопасность занимается Минцифры.

Утечки данных, по статистике, чаще всего связаны с непониманием сотрудниками возможных последствий нарушений правил информационной безопасности. Именно человеческий фактор зачастую приводит к распространению конфиденциальной информации.

К сожалению, сотрудник — самое слабое звено в системе защиты информации. По своему незнанию или из корыстных побуждений он может вольно или нет «слить» очень ценную информацию, которая для него кажется «обыкновенной». 

Проводя многочисленные аудиты, внедряя системы обучения по информационной безопасности, наша компания накопила большой опыт по работе с сотрудниками различных организаций. 

Меры для предотвращения утечек должны быть только комплексными. Нельзя шить «лоскутное одеяло», не понимая общей стратегии.

В первую очередь, надо принять политику информационной безопасности. В такой политике, как правило, речь идет о том, что все работники проходят обучение с целью повышения осведомленности в вопросах ИБ, что они осведомлены о своей ответственности за ее обеспечение. Эта ответственность, в свою очередь, определяется в должностных инструкциях, трудовых договорах. В ней отмечается, что работник обязан информировать непосредственного руководителя о нарушениях и недостатках в сфере обеспечения ИБ, которые им обнаружены.

А также написать и запустить в работу локальные нормативные документы, которые необходимо адаптировать к бизнес-процессам конкретной компании. Всех сотрудников при приеме на работу надо с ними знакомить под роспись, иначе их просто пробегают глазами. 

Во-вторых, периодически проводить обучение персонала, и оно должно быть непрерывным. При этом состоять не только из теории и чтения или прослушивания текстов и презентаций. Хорошо, если оно содержит контрольные вопросы для самопроверки и позволяет закреплять полученные знания на практике. 

В-третьих, необходимо устраивать «свои» проверочные фишинговые атаки. И поощрять, например, премированием, сотрудников, которые не попались на уловку. С остальными опять проходить «курсы молодого бойца». Практика показывает, что даже при тестовых фишинговых атаках, о подготовке которых сотрудников заранее предупреждают, не бывает, как правило, 100 % результата, все равно находятся те, кто открывает подобные письма. 

Сегодня на рынке есть как универсальные системы обучения по информационной безопасности, доступные от 10-100 лицензий, так и курсы, которые производитель может адаптировать под конкретные нужды компании, но это доступно, скорее, крупным корпорациям. Если говорить о том, какая доля компаний к ним прибегает, то, по моей оценке, она пока, к сожалению, минимальная — 8-10 %. Многие руководители склонны недооценивать риски информационной безопасности.

И наконец, проводить «полевые занятия». Например, можно разбросать несколько флешек по офису и посмотреть, какой процент сотрудников принесет их в службу безопасности. По нашему опыту, таких единицы — не более 20%. Остальные откроют флешки или дома, или на работе. Если поместить туда «безвредные» вирусы, то статистика будет очень наглядной.

И безусловно, компаниям необходимо внедрять специальные средства контроля за утечками, так называемые DLP-системы. От вредоносов, которые могут проникнуть через сотрудников в корпоративную сеть, тоже необходимо защищаться. Внедрение антивирусов, «песочниц» и т.п. средств позволит обезопасить информацию от атак извне. 

Еще лучше — использовать систему реагирования на инциденты — SOAR. Это системы, которые сейчас набирают популярность и дополняют возможности систем управления информационной безопасности (SIEM).