Информирование об утечках: основные правила

Продолжим серию постов на тему информирования пострадавших об утечках, которые у нас шли всю эту неделю. Сегодня поговорим о том, как правильно это сделать.

При информировании требуется соблюдать некоторые правила. Прежде всего, не нужно думать, что клиенты хорошо разбираются в  проблемах безопасности, а следовательно, им будет достаточно лаконичного сообщения о данных, которые утекли, когда утекли и, может быть, куда. Большинство из них поймут из такого сообщения только то, что компания допустила некий промах. Так что непременно нужно пояснить, какие проблемы ожидают в случае такой утечки, и что требуется предпринять для того, чтобы таких проблем не последовало. Необходимо также создать максимально подробную (оптимальнее всего даже иллюстрированную) инструкцию, понятную каждому. Для примера – в том случае, если «утекли» пароли от сайта, необходимо разослать специальное предупреждение, призывающее пользователей сайта сменить свои пароли.

Помимо инструкции, клиентам необходимо предложить и некоторую компенсацию за причиненные неудобства. Не стоит делать такую компенсацию большой: тут даже важнее психологический фактор, когда клиенту компания может предложить что-то за то, из-за чего он может пострадать. Можно предоставить некоторую скидку на новую покупку у предприятия, или же увеличить период действия уже приобретенной клиентом услуги – тут всё зависит от того, чем компания занимается. Как показала практика, очень большая часть клиентов впоследствии быстро забывает о полученной как компенсация скидке – она важна им непосредственно в момент получения.

Некоторое внимание нужно уделить работе со СМИ, ведь они, если компания достаточно известная, могут проявить интерес к инциденту. Тут также важно держаться позиции «да, ошибка была допущена, однако сейчас мы прикладываем все силы к устранению ее последствий». «Жареного» материала при данной позиции компании у СМИ не получится, а значит, и резонанса, возможно, удастся избежать.

Подводя итог, можно сказать, что не сообщать клиентам о случившейся утечке информации было бы для самой компании гораздо хуже, чем сообщать. И намного лучше, если клиент получит информацию об утечке из самой компании, чем узнает о ней из СМИ или сети интернет.

Три причины, по которым никогда нельзя замалчивать утечки

Если утечка информации произошла – худшее, что можно делать, это попытаться «заткнуть рот» всем, кто способен рассказать о ней. На самом деле, это самый быстрый путь к тому, чтобы вызвать «эффект Стрейзанд». Говоря проще, действия компании, которая всеми силами пытается что-то скрыть, в итоге привлекут еще больше внимания, чем собственно утечка, и это нанесет организации еще больший ущерб.
С другой стороны, и вариант «страуса», при котором организация просто делает вид, что ничего не случилось, ‑ тоже не самый лучший для клиентов. Такой вариант явно демонстрирует, что компания не контролирует ситуацию, и, вероятно, является не самым надежным поставщиком товаров и услуг.
Третья же причина состоит в том, что для самой компании очень опасна ситуация, когда утечку все-таки удалось замолчать. Как крманник, воодушевленный первой удачей на "профессиональном фронте", компания решает, что можно говорить клиентам и сотрудникам что угодно и как угодно, всё будет принято за чистую монету. Одними утечками данных дело тут не обойдется - если в компании принято врать, то довольно быстро заврутся и проворуются все, от мелких клерков до высшего руководства, это только вопрос времени.
Так что, по сути, никаких альтернатив действиям по устранению последствий утечки данных нет. Это горькое лекарство, ноо оно необходимо. И одним из важных этапов "лечения" становится информирование об утечке всех, чьи интересы она затрагивает.
Относиться к утечке данных следует как к ЧП, и действовать соответственно. К примеру, если об утечке аммиака или ртути не поставить в известность тех, кто в зоне поражения, то последствия могут быть по-настоящему катастрофическими. По аналогии, рассказ об утечке информации – просто элемент «спасательной операции», она должна помочь клиентам не оказаться на уровне легкой добычи для тех, кто может в своих целях воспользоваться утечкой.
О том, как правильно сообщать пострадавшим об утечках, в которых вы оказались виноваты, будет мой следующий пост.

А вы скрываете утечки информации?

Сегодня в глазах общества утечка информации является чем-то однозначно негативным. Если таковая все-таки происходит, очень многие компании предпочитают скрывать факт утечки, причем максимально долго, до тех пор, пока есть такая возможность. Это совершенно неправильная тактика. И сейчас мы с вами в этом убедимся.

Сначала стоит попробовать разобраться, по какой причине компании, которые допускают утечку, стремятся  скрыть информацию о ней. Как удалось установить благодаря исследованию компании SearchInform, о случившихся утечках обычно стараются никому не сообщать примерно 93% от общего количества российских компаний и госорганизаций. И практически половина от этого количества стремится сделать так, чтобы об утечке информации ничего не знали и собственные сотрудники.

Как полагают компании-респонденты, информация об утечке должна скрываться по следующим причинам:

• Утечка данных в итоге может привести к уходу клиентов (47% опрошенных компаний);
• Утечка информации также может плохо повлиять на имидж компании (44%);
• Утечка может принести вред отношениям с бизнес-партнерами предприятия (32%);
• Утечка может вызвать излишне пристальное внимание контролирующих органов (18%).

Из полученных данных можно понять, что все опрошенные компании, в конечном счете, боятся того, что утечка информации в итоге приведет к экономическому ущербу для работы организации.

В целом, это мнение достаточно обоснованное. Однако стоит отметить и то, что настоящей причиной экономического ущерба для организации является именно сама утечка данных, а никак не распространение сведений об этой утечке. Тем более что распространение таких сведений всегда является только вопросом времени – ведь если утечка уже случилась, компания все равно не может контролировать дальнейшее распространение похищенной информации. И все-таки, компания может  уменьшить негативные последствия утечки данных, как для тех, кто может от неё пострадать, так и для самой организации.

Если утечка информации уже произошла – тогда как раз заботу о клиентах, пострадавших благодаря такой утечке, компании нужно поставить во главу угла. Скорее всего, компания не сможет сохранить все 100% из них, однако есть шансы серьезно повысить оставшихся – ведь организация не на словах, а на деле демонстрирует заботу об интересах клиентов.

Выбор DLP: проверка "боем"

Практически у любого мелкого программного продукта, который пользователю предлагают купить за кровно заработанные 20 баксов, есть так называемый "триал" - период, во время которого можно бесплатно его попробовать и понять, нужен ли он тебе, и как сильно. Не верите - скачайте какой-нибудь WinRAR или Total Commander. 

Но в мире DLP-систем, которые стоят совсем не 20 "убитых енотов", всё далеко не так. Почему-то кое-какие интеграторы и вендоры продолжают упорно предлагать заказчику "кота в мешке". Которого готовы купить все меньше заказчиков.

Согласитесь: необходимым условием, позволяющим определить, насколько выбранная DLP-система подходит для внедрения в существующую инфраструктуру компании, является возможность опробовать эту систему в «полевых», реальных условиях, но в меньших масштабах – далеко не на всех ПК, которые с ее помощью можно контролировать в будущем, а только на небольшом количестве их. Такое тестирование помогает определить возможные проблемы в совместимости с различными системами, которые применяются в компании (к примеру, CRM, антивирусом, системой документооборота и другими) – это важно, потому что подобные проблемы могут привести к остановке бизнес-процессов в организации.

Сегодня многие интеграторы и вендоры предоставляют клиенту возможность «опробовать» предлагаемые DLP-решения, для чего предусмотрена ограниченная по количеству ПК или по времени лицензия на ПО, входящее в состав системы. Сегодня только немногие могут предоставить тестовую версию задаром, но, вероятно, с ужесточением конкурентной борьбы на рынке информбезопасности намного большее число компаний-поставщиков DLP-систем будет идти на это. Ряд организаций все же предпочитает не тестировать системы, даже пробная версия коих обойдется довольно дорого. Но в этом случае можно обратиться за помощью к дистрибьюторам, которые обычно готовы продемонстрировать в действии систему, установленную в их собственной компании. Однако в этом случае может быть сложно определить те проблемы, которые появятся при «объединении» DLP-системы в сеть корпорации.

Вывод прост: те, кто ленится или по каким-то религиозным мотивам не дает заказчикам самостоятельно "пощупать" DLP-систему, окажутся за бортом. Это лишь вопрос времени.

Серверная и агентская DLP: что лучше?

Одним из самых важных факторов, которые влияют на выбор DLP-решения, можно назвать его архитектуру. Некоторые DLP-системы могут работать только на сервере, а другие используют программы-агенты, которые устанавливаются на пользовательских ПК. Обе архитектуры интересны сегодня, в компаниях их используют, ориентировочно, с одинаковой частотой. Однако специалисты по информбезопасности большинстве своём все-таки отдают предпочтение системам, которые не требуют установки агентов на компьютеры пользователей. Плюс такие системы лучше подходят для использования с точки зрения гарантии непрерывности бизнес-процессов, поскольку во время программных сбоев, которые иногда случаются в каждой организации, могут страдать лишь отдельные компьютеры, но не вся сеть корпорации.

Нелюбовь специалистов по информбезопасности к подобным системам защиты от утечек данных объясняется только лишь распространенным мнением о том, что инсайдер, узнавая благодаря такой системе, что его действия контролируются отделом безопасности, может организовать более хитроумную  кражу конфиденциальных данных. Такие опасения вполне понятны, тем не менее, технически грамотный и отлично подготовленный инсайдер так или иначе имеет хорошие шансы организовать утечку данных, к примеру, просто сделав фотографию дисплея своего ПК.

Как правило, использование DLP-системы не часто проходит в строгой секретности, об этом событии часто осведомлено довольно большое количество людей, даже если агенты на ПК пользователей не устанавливаются. С другой стороны, те решения, что используют в работе агенты, обладают некоторыми преимуществами перед системами защиты, не нуждающимися в установке специальных модулей на компьютеры сотрудников. Служба безопасности при установке таких модулей получает возможность перехватывать данные, которые передаются по защищённым протоколам, ещё до тех пор, как эти данные будут зашифрованы. К примеру, уже сегодня можно найти DLP-системы, которые поддерживают перехват текстовой и голосовой, информации, проходящей по протоколу Skype, который сегодня считается одним из самых защищённых VoIP-протоколов. На тех ПК, где работу со Skype почему-либо запретить нельзя, применение таких агентов может быть очень удачным решением.

Инсайдеры и борьба с ними в финансовых организациях

В финансовой организации обеспечение безопасности является очень важным пунктом, имеющим большое значение. Оно гарантирует успешное взаимодействие с клиентами, а также является хорошей основой для создания с ними доверительных отношений. Тем не менее, борьба с утечками данных ни в коем случае не должна приносить вред бизнес-процессам в собственно финансовой организации. И это – соблюдение баланса надёжной защиты корпоративной информации от утечек и сохранения уже «уложившихся» бизнес-процессов – можно назвать одной из наиболее сложных задач, которые приходится решать сотрудникам службы безопасности. С другой стороны, без нормального решения данной задачи нельзя с уверенностью говорить и о надлежащем построении системы информбезопасности в организации. Как раз поэтому нужно до внедрения конкретной технической информации в инфраструктуру банка установить наиболее точно те требования, что предъявляются к данным решениям, и наиболее тщательно организовать архитектуру системы информбезопасности компании.

Обычно при создании системы для обеспечения информационной безопасности в финансовой организации очень большое внимание уделяется как защите корпоративной сети от различных внешних угроз, так и защите от внутренних опасностей. Под последними, внутренними, подразумеваются те угрозы, что могут исходить от действующих сотрудников фирмы. Такие угрозы заключены, прежде всего, в утечках конфиденциальных данных за пределы компании. Они могут происходить по халатности сотрудников, или же благодаря целенаправленной организации таких утечек. И как раз борьба с инсайдерами – теми сотрудниками, которые способствуют утечкам конфиденциальных данных – вызывает самые большие трудности по причине необходимости сохранения во время такой борьбы непрерывности бизнес-процессов.

В чём же заключаются трудности? Для ответа на данный вопрос потребуется предварительно рассмотреть наиболее распространённые сегодня методы борьбы с инсайдерами. Благодаря автоматизации банков и очень широкого применения компьютеров самыми предпочтительными для обеспечения информбезопасности сегодня можно назвать специальные комплексы программ, именуемые DLP-системами (с англ. Data Leak Prevention – предотвращение утечек информации). Как основное средства защиты от утечек такие системы чаще всего используют блокировку передачи тех данных, которые опознаются как конфиденциальные. Именно эта мера защиты и вызывает в итоге осложнения в том, что касается сохранения непрерывности бизнес-процессов. Ведь многие из таких процессов сопряжены с передачей данных по e-mail и по другим каналам. Ложные срабатывания, которые характерны для любой серьезной системы, обычно без каких-либо оснований мешают исполнению сотрудниками банка их служебных обязанностей, тем не менее, и отказ от фильтрации данных тоже часто не устраивает глав служб информационной безопасности. Однако при соблюдении определенных условий можно легко достигнуть компромисса, обеспечив как защищённость организации, так и гибкость системы защиты данных, которая не станет создавать помехи для непрерывности бизнес-процессов в компании.

При принятии решения об установке DLP-системы в компании сразу нужно определить те виды документов, которые являются конфиденциальными. В нынешних системах защиты от утечек данных применяется технология организации «цифровых отпечатков» документов, которая позволяет найти в перехваченных системой данных конфиденциальную информацию по ее «отпечаткам», сделанным заранее. Серьезный отбор документов, для коих будут организованы цифровые отпечатки, позволяет сильно уменьшить количество предполагаемых «остановок» бизнес-процессов. Не стоит жалеть время на организацию максимально длинного перечня документов, которые подлежат «отлову» среди трафика. В итоге исполненная работа окупится многократно, позволяя службе безопасности спокойно работать в критических ситуациях. Подбор данных также позволяет решить другую важную задачу: максимально хорошо оптимизировать финансовые траты на информационную безопасность. Ведь меньшее число инцидентов, которые связаны с утечками, потребует и меньшего количество ресурсов для разбора таких инцидентов.