В последний год тема утечки информации как никогда популярна в обществе. Стоит вспомнить, сколько шуму наделал пресловутый сайт Wikileaks. Но часто в качестве причин утечек называют хакерские атаки и значительно реже упоминают внутренние угрозы, например, действия инсайдеров – сотрудников пострадавшей организации, сливавших конфиденциальные сведения конкурентам.

Свои или чужие?
Безусловно, действия хакеров становятся все более изощренными. Теперь их цели – не мелкое хулиганство, а крупная нажива. Проникая в систему, хакеры крадут ту информацию, за которую можно гарантированно получить деньги. Чаще всего это персональные данные – логины и пароли для доступа к электронной почте, ICQ и веб-сервисам, аккаунты социальных сетей. В худшем случае – это номера банковских карт и данные для доступа к системам интернет-банкинга. И гораздо меньше их интересует информация, представляющая коммерческую тайну компании – финансовые отчеты, бизнес-планы и пр.

Хакеры используют самые разнообразные методы для проникновения в систему – SQL-инъекции на сайтах, письма с троянскими программами, фишинг и т.д. Известны и более изощренные комбинации, когда, например, хакер выдал себя за администратора сайта компании-разработчика онлайн-игр, получив тем самым доступ к внутренним ресурсам и конфиденциальной информации. Не стоит забывать и о незащищенных Wi-Fi-сетях, которые гарантированно привлекут злоумышленника.

Защититься от подобных атак можно, установив прежде всего антивирусные решения, средства контроля интернет-трафика. Также важно, чтобы сотрудники компании имели хотя бы общее представление о правилах безопасности при работе в Интернете.

Однако, согласно отчетам SECURIT Analytics, в 2010 г. утечки информации, вызванные внешними вторжениями, составили менее 1/3 от общего числа инцидентов. При этом в процентном соотношении их число заметно уменьшилось по сравнению с предыдущим периодом. А число утечек по вине инсайдеров составляет почти 40%. Виновники оставшихся инцидентов неизвестны, так как часто пострадавшие компании либо не проводят расследований, либо не раскрывают их результатов. Рассказать о нападении хакеров куда как менее обидно, чем признаться в наличии шпиона или разгильдяя внутри компании. Но если бы все утечки могли быть обнаружены и обнародованы, то их число могло быть в тысячу раз больше.

Существует мнение, что часть утечек не только не афишируется, но и остается неизвестной самим компаниям. Согласно данным опроса Harris interactive, опубликованным в августе 2010 г., конфиденциальную информацию крадет каждый пятый сотрудник. Наибольшему риску подвергаются данные о клиентах, корпоративные планы компаний и зарплатные ведомости.

Что, где, когда
Согласно отчету SECIRIT Analytics об утечках информации за 2010 г., общее число зафиксированных в прошлом году случаев примерно на четверть возросло по сравнению с предыдущим периодом, хотя общий ущерб от них значительно уменьшился. Специалисты объясняют рост числа обнаруженных утечек повышением интереса СМИ и публики к этой теме. Снижение ущерба вполне объяснимо внедрением DLP-систем и общей активизацией мер, направленных на борьбу с этой проблемой.

Большая часть обнародованных инцидентов относится к США – законодательство этой страны обязывает организации уведомить всех пострадавших в результате утечки. А вот ставших широко известными случаев в России пока меньше.

Больше половины обнародованных в прошлом году инцидентов – это утечки персональных данных. Даже несмотря на то, что прямого финансового ущерба такие случаи не наносят, они подвергают репутацию компании риску, подрывая доверие клиентов и партнеров.

Каналы утечки
Один из самых популярных каналов утечки данных – потеря или кража компьютеров, ноутбуков и всевозможных портативных устройств хранения информации. Незашифрованные конфиденциальные данные легко могут стать достоянием общественности. Но поскольку цель злоумышленника, как правило, само устройство, хранящиеся на нем сведения далеко не всякий раз предаются огласке. В последнее время доля этого канала утечки заметно снизилась – возможно, владельцы ноутбуков стали более ответственно подходить к хранению важной информации.

Доля же утечек информации посредством Интернета и электронной почты существенно выросла. Аналитики связывают это с тем, что многие компании по-прежнему недооценивают риск от использования в организации веб-сервисов, интернет-пейджеров и прочих, на первый взгляд, удобных приложений. К тому же для защиты этих каналов требуются специализированные средства, такие как системы разграничения доступа, DLP-системы — а это требует осознанного подхода к ИБ вообще и к этим угрозам в частности.

Настоящие инсайдеры
Специалисты по информационной безопасности называют инсайдерами сотрудников компании, имеющих доступ к секретной информации и сливающих ее конкурентам или другим заинтересованным лицам.

Сотрудников, умышленно распространяющих конфиденциальные данные, можно разделить на две категории.

К первым относятся работники, недовольные политикой компании, например несправедливо уволенные. Они чаще всего уносят с собой клиентские базы, данные крупных сделок, зарплатные ведомости и другую информацию, обнародование которой может нанести вред компании.

Ко второй категории инсайдеров следует отнести подкупленных или внедренных сотрудников, которые действуют по заказу конкурентов. Однако такой вид деятельности сложен и практикуется нечасто.

Именно действия инсайдеров наносят наибольший финансовый ущерб компании.

Так, в 2010 г. инженер-программист, работавший на британскую разведку, был осужден за попытку продажи секретных данных. Он скопировал на USB-носитель более 7 тыс. файлов, содержавших строго секретные сведения, и пытался продать их спецслужбам Нидерландов за миллион фунтов. Потенциальные покупатели связались с владельцами информации и попытка продажи сведений была пресечена.

Инсайдеры поневоле
Часто, по мнению аналитиков, утечки происходят не в результате целенаправленных действий, а по невнимательности и недосмотру, например, если сотрудник ошибся адресом электронной почты, отправляя важный документ, или, наоборот, прикрепил его по ошибке. Известны случаи, когда особо трудолюбивые сотрудники берут работу на дом, копируя важные документы на USB-носитель, который затем теряют.

В результате таких утечек общедоступными становятся личные данные клиентов компаний, например их адреса и телефоны. В этом случае виновником утечки является не столько сотрудник, сколько менеджмент компании, не обеспечивший должной защиты данных. На Западе существует обширная законодательная база, регулирующая эту область. В России пока есть только Закон о персональных данных 152-ФЗ, обязывающий компании должным образом хранить и обрабатывать личные данные клиентов.

Так, например, в декабре 2010 г. было обнаружено, что на публичном FTP-сервере компании «Дальсвязь» выложены файлы со служебными и личными данными около 11 тыс. клиентов компании. Файлы содержали паспортные данные текущих и бывших клиентов, подробную информацию о платежах, балансах и т.д. Клиентская база филиала «Дальсвязь» была доступна всем желающим для свободного скачивания на протяжении многих месяцев. Как выяснилось, материал был выложен в открытый доступ одним из работников для личных нужд.

За рубежом подобные утечки чреваты более серьезными последствиями. Так, страховая компания Zurich в 2010 г. была оштрафована Британским независимым управлением по финансовым услугам на 3,5 млн американских долл. за утечку персональных данных 46 тыс. клиентов, допущенную двумя годами раньше по вине представительства компании в ЮАР.

Безопасность, как конкурентное преимущество
Реальные или потенциальные инсайдеры есть в любой компании. И если руководство компании не позаботилось о мерах предосторожности, о правилах хранения и распространения конфиденциальных сведений внутри компании, о внедрении средств контроля и защиты от утечек, риск потерять важные данные, пожертвовать репутацией и финансами висит над этой компаний постоянно.

Систему безопасности следует рассматривать как конкурентное преимущество. И клиенты, и партнеры, и сами сотрудники с большим доверием будут относиться к той компании, которая не допустит утечки их персональных данных или другой конфиденциальной информации.

Аналитики считают, что в ближайшем будущем DLP-системы в России станут более востребованными. Даже несмотря на сдерживающие факторы, прежде всего на традиционное сопротивление изменениям и отсутствие законодательных требований, рынок DLP-систем в России будет расти. По мнению Александра Ковалева, директора по маркетингу SECURIT, на взрывной рост рынка рассчитывать не стоит, однако планомерное увеличение числа внедрений вполне ожидаемо. Внимание со стороны СМИ и общественности, обнародование серьезных инцидентов – все это будет оказывать давление на руководство организаций, заставляя его задуматься о необходимости защиты не только от внешних вторжений, но и от внутренних утечек.

Так что же опаснее – кража информации хакерами или «слив» ее сотрудниками компании?

В результате нападения хакеров, охотящихся чаще всего за персональными данными, пострадает прежде всего репутация компании. А вот действия инсайдеров могут привести и к финансовым рискам. Пожалуй, нет смысла выбирать что важнее – репутация или деньги. Лучше озаботиться комплексным решением информационной безопасности, ведь обе угрозы одинаково вероятны. Но элементарные решения для защиты от хакерских угроз внедряются почти повсеместно, а вот использованию DLP-систем внимание уделяется очень редко. И именно поэтому угроза потери данных в результате действий собственных сотрудников пока остается наиболее вероятной.