В начале июля все документы Google Docs, у которых не было настроек приватности, оказались в открытой выдаче «Яндекса». Кто первым обнаружил это обстоятельство, до сих пор неизвестно, – сообщения о том, что можно спокойно прочитать корпоративные материалы таких гигантов, как Pepsi, «Тинькофф-банк» и других, начали поступать в ночь на 5 июля. Информацию тут же прикрыли, но осадок остался. Казалось бы, такая ситуация невозможна в век, когда корпоративную информацию берегут как зеницу ока.
Задача номер один
Пермский специалист по информационной безопасности Александр Сираш в разговоре с журналистом «Капитал Weekly» объяснил, что хранить конфиденциальные данные в бесплатном облачном сервисе — это в любом случае плохая идея. «По сути, получается, что люди как будто оставили служебные документы на столике в кафе. Даже если виноват Google, я думаю, что юристами договор использования прописан так, что виноват всё равно пользователь. Если есть необходимость облачного хранения данных, имеющих какую-либо ценность, стоит использовать платные решения. И желательно с шифрованием данных», — говорит Александр Сираш.
Безопасность данных — первостепенная задача, которая в крупных компаниях решается целыми IT-отделами. Они предотвращают потерю корпоративной информации, снижают объем так называемого паразитного трафика и отражают атаки на ресурсы компании. Каждая компания индивидуальна, к ней нужно найти собственный подход, говорит Александр Сираш. Программист уже долгое время работает на многие пермские компании, которые хотят сохранить свои данные и набирают IT-специалистов — иногда на аутсорсинг. «Новые продукты появляются регулярно, но не сказал бы, что большинство новинок является эффективными и качественными средствами защиты. Я знаю в Перми три компании, которые используют целые программные комплексы для защиты данных. Кстати, отсутствие данных о средствах защиты информации, используемых компанией, — это тоже элемент безопасности», — говорит Александр.
По его словам, большинство компаний по производству оборудования для защиты корпоративной информации предлагает «банальный антивирус с дополнительными функциями», которые они позиционируют как «суперкомплекс для обеспечения защиты». «Сейчас в Перми вообще небольшой процент компаний обеспокоен потерей информации настолько, чтобы заморачиваться на более хитром оборудовании. Большинство ограничивается связкой «антивирус + отдельное хранилище данных», и в очень хорошем случае — архивация», — говорит Александр.
Шифроваться надо уметь
Хорошее программное обеспечение всегда предлагается известными разработчиками. «Серьезные продукты предполагают шифрование данных, использование электронных ключей для доступа, разграничение прав доступа. Или все методы в комплексе. К тому же прилагается анализ трафика. У простеньких продуктов обычно функционал обычного и не самого лучшего антивируса. Такие системы идут от 1000 до 3000 рублей за лицензию на машину. В принципе, большая часть ПО стоит в этих пределах. Нужно также учитывать стоимость серверов и оборудования для работы систем. Самые известные продукты на этом рынке — SearchInform, Symantec DLP», — говорит специалист по информационной безопасности.
Если цена показалась вам слишком маленькой, то не обольщайтесь. Это стоимость годовой подписки. За единовременную лицензию хозяин бизнеса может отдать до 20 тысяч рублей. Если продукт подгоняется под нужды компании, то цена увеличивается на 30–50 процентов. Вопрос в том, насколько это эффективно.
Естественно, способы кражи корпоративной информации эволюционируют примерно в одном темпе с производством защитных технологий.
«Сейчас работает в основном такая схема: нашел уязвимость, использовал, получил доступ к данным — нашёл конкурентов и предложил им. Данные об утере данных зачастую замалчивают. Нет таких программ «press enter to hack» — есть специалисты, которые ищут уязвимость в программном обеспечении и используют ее. Опять же, зачастую используют комплексный подход: там сделал SQL-инъекцию, там получил доступ к списку сотрудников, позвонил, представился человеком из другого отдела. Отправил письмо, сымитировав доверенный почтовый ящик со шпионским ПО внутри, и так далее», — говорит Александр.
Оптимально, но не идеально
Особую актуальность тема защиты данных приобретает для компаний, чья деятельность так или иначе связана с интеллектуальной собственностью.
«Наши специалисты тщательно подходят к процессу сохранения конфиденциальности данных компании, а также клиентов. Мы стараемся как можно сильнее укрепить защиту данных, но не перестаем пользоваться современными средствами, сервисами хранения и передачи конфиденциальных данных. Идеальных способов защитить корпоративные данные своей компании очень мало», — говорит маркетолог компании «Франчайзинг-Интеллект» Владислав Ощепков. — С нарастающими темпами развития современных интернет-технологий для бизнеса растут и возможности для незаконного получения доступа к информации компании. Нужно детально рассматривать каждый предложенный на рынке сервис по защите корпоративной информации, чтобы выбрать оптимальный способ защиты. Хотите, чтобы ваши документы было крайне тяжело украсть? Храните их на каменных табличках в офисном сейфе, который будет замурован в стену.
По словам маркетолога, современная система средств защиты корпоративных данных постоянно нуждается в доработке и тщательном контроле. «Казалось бы, современные глобальные корпорации уровня Apple и Google являются гарантами качества и стопроцентной защиты корпоративных данных. Но в нашей памяти свежи воспоминания о взломах серверов iCloud, когда хакеры получили множество частных данных и фотографий, а также о недавней утечке корпоративной информации из Google Docs. В обоих случаях ошибка произошла по вине случайности или из-за чьей-то неосторожности при взаимодействии с современными интернет-технологиями. В обоих случаях ошибки можно было избежать, если бы компании и пользователи осторожней и внимательней относились к процедуре защиты данных», — говорит Владислав Ощепков.
Текст: Дарья Чурилова
Фото: открытые источники
