Сообщить об ошибке или идее
YouControl
logo youcontrol
РУС
youcontrol youcontrol
0 800 309 077
Звонок бесплатный
РУС

Зарегистрируйтесь и проверьте 10 компаний бесплатно или получите консультацию по номеру 0 800 309 077.

Статьи

Преступление и наказание: истории о краже корпоративных данных

27 августа 2020 г.

Преступление и наказание: истории о краже корпоративных данных

Доступ к информации – большая ответственность. И большой соблазн, противостоять которому может не каждый сотрудник. Поэтому компании так часто страдают от махинаций с данными. В этой статье рассказываем, как сотрудники “сливают” информацию, и что делать бизнесу в такой ситуации. 

 

Проблема утечки данных была и остается актуальной для компаний разного масштаба и сфер деятельности, от телекоммуникационных предприятий до банков. Сотрудники продают и передают персональные данные о клиентах и их счетах, пересылают конкурентам документы, прослушивают конфиденциальные разговоры, удаляют информацию с сайтов компаний и из баз данных, меняют лимиты выдачи средств по банковским картам и даже снимают деньги со счетов абонентов. Все это происходит ежедневно, но “в тени”, тем более что многие компании предпочитают проводить внутренние расследования, не сообщая о преступлениях с данными правоохранительным органам.  

 

Изобретательность мошенников удивляет и даже может вызвать восхищение (главное, не забывать, что речь идет о противоправных действиях). Например, как вам такие происшествия:

 

Утечка данных позволила хакерам “врываться” на деловые встречи в Zoom по приглашениям, которые выглядели как исходящие от компании-жертвы. И это именно тогда, когда  использование Zoom возросло до 300+ миллионов участников ежедневно во время карантина из-за пандемии COVID-19. Этот феномен даже получил собственное название: zoombombing.

 

250 млн записей с данными клиентов Microsoft оказались в свободном доступе: адреса электронной почты, IP-адреса и другие сведения. Это произошло из-за настроек базы данных Elasticsearch. 

 

В 2019 году платежная система Mastercard обнаружила утечку данных почти 90 тысяч клиентов: имена, электронные адреса, данные кредитных карт и даже номера телефонов. 

 

А сотрудники компании НТС воровали коммерческие разработки, чтобы создать собственную компанию по производству смартфонов и составить конкуренцию своему работодателю. 

 

Бывают и довольно курьезные ситуации, которые, впрочем, стоят компаниям немалых денег. В январе 2014 года McDonalds рекомендовал своим сотрудникам поменьше есть собственной продукции, поскольку она не полезна для здоровья. И это предостережение, опубликованное исключительно для внутрикорпоративного использования, моментально стало достоянием широкой общественности и спровоцировало множество исков в адрес компании.

 

Как и куда “сливают” данные компаний

 

Штатные сотрудники-похитители информации не всегда обладают высоким уровнем доступа к информации. Вполне достаточно легитимного доступа на территорию компании. Удаленный формат работы создает новые возможности для утечки информации. Вот самые распространенные лазейки:

 

•  Корпоративная электронная почта;

•  Интернет-ресурсы: соцсети, форумы, почтовые web-сервисы, облачные хранилища;

•  Мессенджеры WhatsApp, Skype, Microsoft Lync, Jabber;

•  Облачные хранилища данных;

•  Периферийные устройства: мобильные, съемные flash-носители, hdd и т.п;

•  Печать документов. 

 

О проверенных аналоговых способах тоже не забыли: документы фотографируют с экрана компьютера или с бумаги, а порой просто похищают распечатки.

 

И если против цифрового воровства можно настроить DLP-систему (Data Leak Prevention), которая может обнаружить и остановить передачу данных по виртуальным каналам, то защитить информацию оффлайн гораздо сложнее. Разве что компания воспользуется инструментами Docs Security Suite. Это система меток конфиденциальности, которые помещаются на документы и регистрируют все действия с ними, в том числе кто и когда взаимодействовал с информацией. Это не предотвратит утечку в реальном времени, но впоследствии поможет в расследовании и поиске источника.

 

Как защитить данные от утечки

 

Единого метода защиты информации не существует. Только комплекс инструментов, комбинация технических и организационных мер, могут создать достаточно прочный “барьер” для информационных потоков из компании наружу.

 

В зависимости от специфики бизнеса и конкретной ситуации, тот или иной инструмент окажется более эффективным. Давайте рассмотрим на примерах:

 

1. Инженер-конструктор завода “Антонов” скопировал на личную флешку чертежи самолета АН-178 и опубликовал в интернете. Таким образом он нарушил сразу 10 нормативных актов, включая Закон Украины “О государственной тайне”, лишился права занимать должности с ограниченным доступом и выезжать за границу. В таких обстоятельствах необходима развитая система защиты информации, включающая в себя идентификацию, аутентификацию, авторизацию пользователей, управление учетными записями (IdM), инфраструктуру открытых ключей (УЦ, HSM).

 

2. Сотрудник компании ЧАО “МТС” продал скрипты для поиска SIM-карт мошенников. Причем оправдывался сотрудник целью борьбы с мошенниками, что не помогло ему избежать конфискации техники, подписки о невыезде и года испытательного срока. Очевидно, что у компании, работающей с информацией такого рода, должны быть досконально прописана и подписана всеми сотрудниками организационно-распорядительная документация, описывающая цели, требования и процедуры по защите информации. А также настроена защита виртуальных сред (VMsec), управление инцидентами (SIEM, IRP), защита от утечек (DLP), безопасность мобильных устройств (MdM), защита доступа в интернет (WAF, proxy).

 

3. Стажер на должности риск-аналитика компании Moneyveo подписал договор о неразглашении информации, обязался не совершать недобросовестной конкуренции, а также был ознакомлен с требованиями относительно интеллектуальной собственности, конфиденциальной информации и коммерческой тайны. Все это не помешало ему скопировать базу данных компании и попытаться передать ее схожей компании в Мексике. Так что получить подпись сотрудника не достаточно – нужно проводить плановые и внеплановые проверки, моделировать сценарии инцидентов, использовать социальную инженерию и тесты на проникновения.

 

Кстати, некоторые признаки внутреннего мошенничества бывают заметны и без специальных инструментов. Мы подробно рассматривали их в специальной статье.

 

Даже если вы внимательны к защите информации вашего бизнеса, полезно проводить регулярные аудиты, а по их результатам – оценивать риски и совершенствовать системы защиты данных. И не забывать о требованиях законодательства, отраслевых стандартах и внутренней документации по информационной безопасности. 


Внутренний аудит в компании, особенно в небольшой, можно проводить самостоятельно, силами руководства или службы безопасности. Для этого есть доступные и эффективные инструменты YouControl для проверки персонала, партнеров, контрагентов и клиентов. Или поручить профессиональный анализ рисков экспертам YouControl, и за 24 часа получить развернутый отчет-экспертизу на основе 100 источников информации.

Добавьте приложение «Youcontrol» на главный экран
Нажмите load -> ‘Добавить на экран "домой"