Как новосибирские компании защищаются от утечек данных?
Россия второй год подряд занимает 2 место по числу утечек информации. Как с этим справляются крупные новосибирские компании – в материале DK.RU.
По данным аналитики компании InfoWatch, Россия второй год подряд занимает второе место в мире по числу утечек информации – по итогам первой половины прошлого года в нашей стране было зафиксировано 96 таких случаев. Однако, как пишет «Коммерсантъ» со ссылкой на аналитиков, в действительности ситуация может быть гораздо хуже, поскольку известны становятся лишь 4—8% от общего объема утечек.
Как следует из исследования, наибольшее число утечек информации фиксируется в коммерческой сфере – 49,1% от всех зафиксированных случаев. Интерес здесь представляют персональные данные, платежная информация, а также данные, относящиеся к развитию компаний и разрабатываемым ими инновациям. При этом в 71% случаев виноватым в утечке являются сотрудники пострадавших компаний, которые могут просто «слить» информацию конкурентам за вознаграждение.
Представители крупных новосибирских организаций различных сфер деятельности рассказали DK.RU, как они защищаются от подобных инцидентов, кто, по их мнению, виноват в утечках информации, и какие меры предосторожности могут быть наиболее эффективными.
Александр Зинченко, руководитель отдела экономической безопасности 2ГИС:
Каждый сотрудник при устройстве на работу в 2ГИС подписывает соглашение о неразглашении коммерческой информации. Это основы экономической безопасности компании. Остальные детали системы защиты информации мы не раскрываем. Такой подход позволяет, с одной стороны, держать руку на пульсе происходящего, а с другой – не допускать чрезмерного ограничения свободы.
Михаил Михайлов, руководитель службы безопасности РАТМ Холдинга:
Безусловно, утечка информации ограниченного распространения может нанести ущерб экономическим и промышленным интересам наших предприятий. Соответственно, в РАТМ Холдинге уделяют большое внимание защите этих сведений, в том числе и тех, которые относятся к коммерческой тайне. Речь идет о целом комплексе организационных и технических мероприятий. Среди технических можно отметить установку специальных защитных программ и межсетевых экранов для защиты информации в локальной сети организации, принудительное блокирование USB-портов и так далее.
Однако наиболее вероятный канал утечки конфиденциальной информации – человеческий фактор. Чтобы исключить возможные риски, каждый сотрудник при оформлении на работу должен принять на себя обязательство о неразглашении конфиденциальной информации, то есть подписать NDA (Non-disclosure agreement) – договор о неразглашении. Например, нельзя рассказывать о перспективных (планируемых) сделках купли-продажи акций, объектов и так далее. К слову, одна из задач специалистов службы безопасности – объяснить сотруднику суть политики информационной безопасности, чтобы тот не смог нанести вред компании из-за того, что просто не подозревал о важности сведений, которыми обладает.
Еще одним способом является ограничение количества персонала в праве доступа к тем или иным сведениям. Кроме того, есть группа лиц (например, юристы и финансисты) – носителей критичной информации, находящихся под усиленным контролем службы безопасности.
В нашей организации не зафиксированы факты утечки конфиденциальной информации, что свидетельствует об эффективности мер по ее защите.
Евгений Серебряков, директор по безопасности Сибирского филиала ОАО «МегаФон»:
Как показывает российская и зарубежная практика утечек персональных данных, причиной могут быть либо изначальные «дыры» в системе информационной безопасности, либо ее непроработанная архитектура. Что касается разглашения инсайдерской информации, то причина только одна – человеческий фактор.
Для «МегаФона» как мобильного оператора задачу стоит разделить на две части: необходимость защиты коммерческих и инсайдерских данных, и защиты персональной информации абонентов. В первом случае основополагающим являются Федеральный закон №224-ФЗ, устанавливающий ответственность сотрудников и должностных лиц (вплоть до уголовной) за раскрытие инсайдерской информации. В соответствии с ним и другими подзаконными актами в компании принимаются собственные меры регулирования обмена данными: происходит разделение документов на категории в зависимости от содержимого (конфиденциальная информация, коммерческая тайна и т.п.), определяются способы электронного хранения и обмена документами, включая технологии просмотра и записи на электронные носители, устанавливаются ограничения работы с электронной почтой на смартфонах, планшетах и других устройствах. С подрядными организациями заключаются договоры о неразглашении информации.
Во втором случае «МегаФон» действует в соответствии с Федеральным законом №152 «О персональных данных», который помимо всего прочего предусматривает приведение всех процессов электронного хранения и обработки персональных данных абонентов в соответствие с требованиями Федеральной службой по техническому и экспортному контролю РФ (ФСТЭК).
Помимо законодательных требований мы устанавливаем собственную многоуровневую защиту абонентских данных (ФИО, паспортные данные, детализация звонков и другие). Все без исключения обращения сотрудников к биллингу и базам данных, где хранятся пользовательские данные, фиксируются, а действия сотрудников, ответственных за такой контроль, неоднократно фиксируются специальными аппаратно-программными средствами. В зависимости от систем хранения данных таких контуров информационной безопасности может и должно быть несколько.
Естественно, что в рамках компании не допускается использование открытых сетей Wi-Fi, работа с файлообменными сетями, сторонней электронной почтой, предусматривается строгий контроль записи данных на USB-накопители и использование средств криптозащиты пересылаемой информации. Разнесенные территориально офисы и салоны обслуживания объединяются в единую сеть с использованием защищенных и зашифрованных каналов VPN. Компьютеры сотрудников салонов используют принцип терминального подключения и не хранят информацию в памяти, любое подключение сменных накопителей запрещено, даже регламентируется порядок автоматической блокировки терминала, когда продавец-консультант отлучается от монитора.
Стоит отметить, что Сибирский филиал ОАО «МегаФон» в 2010 году был первым оператором мобильной связи в Новосибирске, прошедшим экспертизу ФСТЭК на предмет соответствия обязательным требованиям по автоматизированной обработке персональных данных. Также у компании не было ни одного случая утечки абонентских данных.
Дмитрий Филиппов, советник директора филиала ОАО «МТС» макро-региона «Сибирь» по безопасности:
В МТС действует широкий спектр организационных и технических мер по предотвращению информационных утечек, в том числе, мониторинг информационных потоков, использование комплекса средств защиты передачи данных, а также ограничение неиспользуемых ресурсов.
Все действия по оказанию услуг связи МТС оказывает в строгом соответствии с требованиями законодательства РФ. Так, прежде чем совершать какие-либо манипуляции с SIM-картой абонента, мы проводим полную идентификацию ее владельца. Например, в салонах МТС можно заменить или восстановить SIM-карту в случае ее порчи или утраты только по заявлению владельца номера или его доверенного лица – то есть только по предъявлению документа, который удостоверяет личность заявителя. Доверенному лицу также необходимо представить нотариально заверенную доверенность с указанием полномочий или ранее оформленную в нашем офисе доверенность МТС от владельца.
Утечка данных с телефонов абонентов может происходить по независящим от оператора связи причинам, через установленное программное обеспечение или оборудование неизвестного происхождения, вирусную или фишинговую атаку, передачу телефонного аппарата третьим лицам. В каждом конкретном случае необходимо разбираться, по какой причине произошла утечка.
Отметим, что ответственность в значительной степени лежит и на самих абонентах, потому как зачастую абоненты указывают свои номера телефонов при получении кредитов, заполняя анкеты в магазинах, тем самым самостоятельно предоставляя доступ к своим персональным данным.