Если спросить руководителей компаний: «Что вы делаете для защиты важных коммерческих данных?», многие вспомнят об антивирусных программах, кое-кто — о необходимости пользоваться файрволами. Но лишь самые опытные скажут, что этого недостаточно. По статистике экспертно-аналитического центра InfoWatch почти 80% случаев утечки данных в 2021 году произошло без участия суровых хакеров и фишинговых ссылок — виновниками были сотрудники самих компаний.
Почему нужно помнить об «угрозе изнутри»?
Все случаи нарушения конфиденциальности можно разделить на две группы:
-
преднамеренное воровство, когда важная информация, представляющая коммерческую тайну, продается конкурентам или используется в корыстных целях;
-
случайные утечки, которые привели к тому, что данные попали в чужие руки либо были разглашены.
Представители малого и среднего бизнеса могут думать, что «охота за данными» им не грозит, но ее целью бывают не только секретные разработки или многомиллионные контракты. Недобросовестные менеджеры воруют клиентские базы, чтобы работать с ними самостоятельно или в другой компании. Ведущий специалист может передать конкурентам проектную документацию, а бухгалтер — сведения о заключенных договорах и т.д. Далеко не всегда это происходит по финансовым мотивам, иногда причиной бывает конфликт интересов, месть обиженного сотрудника и т.д. Специалисты, оказывающие ИТ-услуги для организаций, всегда учитывают такую возможность и принимают меры для контроля доступа к важным данным.
Как предупредить утечку данных внутри компании
Для защиты коммерческих тайн, как правило, не нужно отслеживать все контакты сотрудников, достаточно простых разумных мер:
-
Дополняйте трудовой договор соглашением NDA — этот документ обязывает не разглашать конфиденциальную информацию и фиксирует ответственность сторон. Например, он может предусматривать штрафы за разглашение и компенсацию убытков компании. Конечно, в серьезных случаях вину придется доказывать в суде, но NDA выступает сильным сдерживающим фактором.
-
Следите за правами доступа к базам данных — невнимательность может дорого стоить. Бывает так, что сотрудник уволился, но доступ к информации ему не закрыли, потому что сисадмин забыл об этом, ушел в отпуск… Или такой должности вовсе нет в компании. То же самое касается и ситуаций, когда сотрудник переводится в другой отдел или временно исполняет обязанности руководителя и его права доступа меняются.
-
Проверяйте исходящий трафик — ведите учет рабочего времени с помощью трекеров, причем выбирайте для этого программы с функцией отслеживания почты и посещаемых сайтов, отправки скриншотов экрана. Это существенно затруднит кражу данных или поможет установить виновника.
Если в компании нет штатного ИТ-отдела, нередко все перечисленные меры принимать попросту некому, ведь у руководства может не хватить на это времени и сил. В таком случае имеет смысл воспользоваться услугами сторонних организаций — комплексный ИТ-аутсорсинг включает анализ безопасности данных. Сам аутсорсер также не станет причиной утечки, поскольку серьезные организации всегда заключают договор NDA и дорожат своей репутацией.