Что относится к конфиденциальным данным
Конфиденциальные данные — это любая информация, которая не подлежит огласке. К ней относятся коммерческая, служебная и другие тайны.
Например, персональные данные клиентов — конфиденциальная информация, за сохранность которой отвечает бизнес. К ней относятся база покупателей, описание технологий производства и другие сведения.
Даже условия договора с контрагентом, цена и предмет будут конфиденциальной информацией и могут быть коммерческой тайной в частности. Но условия публичной оферты априори не могут быть конфиденциальными.
Как часто происходят утечки информации
Малый и средний бизнес (МСБ) часто откладывает вопросы, связанные с информационной защитой. Руководители думают, что МСБ неинтересен хакерам, по логике «нечего брать — вот крупные компании пускай защищаются, у них точно есть что украсть». Но крупные компании уже все продумали. Их базы взломать в разы сложнее, поэтому хакеры переключаются на небольшие организации и ИП.
Это подтверждает статистика «Лаборатории Касперского» — в 2023 году число хакерских атак на МСБ выросло в пять раз, а доля в общем количестве достигла 20%. И никто не отменял недобросовестных сотрудников, которые могут украсть клиентские базы или «слить» платежные данные.
На сегодняшний день утечки данных в результате фишинга (кражи данных пользователя через фишинговые сайты, письма и ссылки) технически проще и эффективнее, чем хакерские атаки (взлом и принудительный доступ к данным). Уже давно «хакинг» из технической области перешел в психологию (социальная инженерия).
Поэтому сегодня информационная безопасность актуальна и для МСБ. Так как бизнес малый, то и начинать можно с малого — элементарных мер предосторожности (о них расскажем ниже) и повышения цифровой грамотности сотрудников. А на перспективу стоит узнать о более продвинутых и дорогих решениях по защите, чтобы внедрять их с ростом компании и ценности данных.
Последствия утечки информации
Если злоумышленники украли данные клиентов, компании грозит административная ответственность (ст. 13.11 КОАП РФ). Обычно выписывают штрафы, но также могут временно ограничить деятельность.
Прочие последствия:
- Финансовые. Если данные клиентов украли с целью хищения денег, владельцы могут обратиться с исками о возмещении ущерба.
- Коммерческие. Кража базы клиентов или описания технологических процессов грозит потерей потребителей и конкурентоспособности. В короткие сроки организация может потерять от 20–30% выручки.
- Репутационные. Некоторые клиенты не захотят работать с компаниями, которые не заботятся о безопасности данных. Это грозит не только уходом действующих клиентов, но и сложностями в привлечении новых.
Чем раньше вы задумаетесь о защите данных, тем меньше шансов пострадать от хакеров и лишиться клиентов. Рассмотрим способы защиты от внутренних и внешних утечек.
Защита от внутренней утечки
В 2022 году более 70% утечек произошло по вине сотрудников. Иногда они сами крадут данные — например, менеджер забирает клиентскую базу и после увольнения переманивает клиентов к конкурентам.
Начните с предотвращения внутренних утечек:
- Создайте благоприятные условия. Сделайте современный офис, конкурентоспособные финансовые условия, вводите поощрения за выполнение планов и успехи. Людям должно быть комфортно работать в компании. Тогда будет меньше соблазна «слить» данные конкурентам за дополнительную оплату или забрать клиентов после увольнения из-за обиды.
- Заключите NDA с сотрудниками, у которых есть доступ к важной информации. NDA — это договор о неразглашении конфиденциальной информации. По нему работники несут ответственность за кражу данных, которые относятся к коммерческой тайне. Если NDA заключается с определенными сотрудниками, а не со всеми — должны быть еще и организационные меры. Любой доступ к определенной информации нужно регламентировать, чтобы случайно информация не попала к «не тому» сотруднику.
- Ограничьте доступ к данным, которые не нужны для работы. Например, в базе 1 тыс. клиентов, а менеджер работает с 50. Не открывайте доступ в CRM ко всей базе, ограничьтесь только его клиентами. Это правило справедливо для финансовых документов, технических регламентов и другой информации. Распределение ролей и доступов — наиболее эффективная организационная мера борьбы с утечками.
- Доверяйте, но проверяйте. В офисе должно быть видеонаблюдение с записью звука, а на компьютерах — ПО, которое записывает действия. Даже если это не защитит от утечки, то хотя бы упростит поиск виновников. Если в компании внедряется видеонаблюдение и DLP, сотрудников нужно об этом предупредить и получить согласие на обновленные условия работы. Это оформляют письменно или включают в условия трудового договора.
- Внедрите DLP-систему. Она анализирует действия пользователей, выявляет и ограничивает аномальное поведение. Например, система не даст сотруднику отправить клиентскую базу с корпоративной почты на личную.
Малому и среднему бизнесу достаточно первых четырех пунктов. Они технически простые и не требуют больших затрат. Этот минимум предотвратит большинство краж.
DLP-система подходит крупным компаниям, поскольку покупка софта, внедрение и поддержка могут обойтись в несколько миллионов рублей. Но это оправданные затраты, потому что в таких организациях ущерб от утечек оценивается в десятки миллионов.
Защита от внешней утечки
Хакеры стали реже взламывать корпоративные сети из-за высокой защиты. Сложно подсадить вирус в облачное хранилище, поэтому мошенники сосредоточились на слабом звене информационной защиты — сотрудниках.
Например, работникам рассылают фишинговые письма со ссылками на сайты. Они переходят, и в этот же момент в систему попадает вредоносная программа, которая считывает пароли и другую информацию. Но чаще используют подставные сайты, где сотрудник сам вводит данные. Так мошенники получают доступ к базам данных и платежным документам.
Выделим три уровня защиты от внешних утечек:
1. Базовый — это минимум, который нужно сделать в первые месяцы после открытия бизнеса:
- Повышайте цифровую грамотность сотрудников. Рассказывайте про новые мошеннические схемы и способы защиты, а лучше организуйте тренинги со специалистами по информационной безопасности.
- Не давайте сотрудникам пользоваться личными компьютерами в рабочих целях — дайте каждому корпоративный ПК. Можно ограничить с них доступ к сайтам, которые не относятся к работе. Тогда вероятность фишинга станет минимальной.
- Пользуйтесь коммерческим антивирусом. Бесплатные версии защищают не от всех современных угроз.
- Обновляйте рабочие программы. Злоумышленники могут получить доступ к данным через уязвимости старых версий софта.
- Работайте с корпоративной почтой — G Suite, Zoho Mail, «Яндекс.Почта» для бизнеса и др. Бесплатные почтовые клиенты — легкая мишень для хакеров.
- Установите сложные пароли и двухфакторную аутентификацию в рабочих сервисах.
Использование бесплатных почтовых сервисов повышает риск «слива» клиентской базы конкурентам или перехвата контроля над корпоративной почтой — чаще всего доступ к ней имеют несколько сотрудников.
2. Продвинутый — установка системы контроля и управления доступом (СКУД). В небольшой организации достаточно видеонаблюдения и входа по пропускам. СКУД защитит от физического проникновения, которое может закончиться кражей важных документов.
3. Максимальный — использование дорогого софта; актуально для крупных компаний. Например, некоторые организации пользуются контейнеризацией электронных документов. Файлы шифруются ключом, поэтому их нельзя открыть на других устройствах. Также внедряют сетевую защиту и шифрование накопителей на ноутбуках и планшетах.
Что делать, если уже произошла утечка
Если данные уже украли, их вряд ли получится вернуть. Если это сделали сотрудники, можно взыскать ущерб через суд. Но без NDA и положения о коммерческой тайне доказать вину будет проблематично.
Если данные украли после взлома, вариантов для минимизации ущерба еще меньше. В СМИ можно дать объявление, что готовы заплатить за возвращение документов или неразглашение информации. Или пустить новость, что ничего важного не украли — хотя бы успокоите некоторых клиентов.
Поэтому в вопросе утечек профилактика и предотвращение — лучшие друзья. Дайте бизнесу информационную защиту, чтобы потом не устранять последствия кражи или хакерской атаки.
Коротко
- В 2023 году число хакерских атак на МСБ выросло в пять раз, а доля в общем количестве достигла 20%. В 2022 году более 70% утечек произошло из-за сотрудников.
- Чтобы защититься от внутренней утечки, создайте комфортные рабочие условия, используйте NDA, ограничивайте доступ к данным и контролируйте действия сотрудников. Когда бизнес вырастет, рассмотрите внедрение DLP-системы.
- Внешняя утечка часто происходит из-за незащищенности рабочих мест. Установите на компьютеры коммерческие антивирусы, обновляйте софт, пользуйтесь корпоративной почтой, сложными паролями и двухфакторной аутентификацией.
- От физического проникновения поможет СКУД. В небольшой организации достаточно видеонаблюдения и входа по пропускам.
- Максимальная защита — контейнеризация электронных документов, внедрение сетевой защиты и шифрование накопителей на ноутбуках и планшетах.
Хотите быть в курсе последних новостей и событий? Подписывайтесь на Телеграм- канал «Бизнес в Кузбассе»