Несмотря на то что на тему внутренних угроз сказано уже довольно много, руководители подавляющего большинства некрупных компаний имеют оторванное от реальности представление о защите от утечек в их компаниях. Попробуем разрушить стереотипы о том, что защита от утечек — затея не для малого бизнеса.
Миф 1. Для защиты от утечек достаточно файрвола, антивируса и других стандартных средств.
В отчете об утечках Аналитический центр SECURIT отмечал, что в 2010 г. большинство утечек произошло не в результате вторжения извне (23%), а по вине сотрудников, т. е. инсайдеров (почти 40% случаев).
Какая бы мощная антивирусная защита ни стояла на предприятии, она не способна уберечь от угроз, исходящих изнутри. Даже если информация компании надежно защищена от атаки хакера, виновником утечки может стать рядовой сотрудник, имеющий легальный доступ к конфиденциальным данным. Поэтому для минимизации рисков утечек нужно использовать не только средства внешней защиты, но и специальные системы защиты от внутренних угроз (Data Loss Prevention — DLP).
Миф 2. В небольших компаниях нечему “утекать”, так как нет конфиденциальных данных.
Львиную долю инцидентов составляют утечки персональных данных (ПД) — по подсчетам SECURIT Analytics, 64% в 2010 г. Такую информацию хранят компании любых размеров, работающие в сфере обслуживания: автомастерские, стоматологические кабинеты, клиники красоты и здоровья, финансовые учреждения и т. д. К категории ПД могут относиться не только данные о клиентах, но и личная информация сотрудников, которая, как правило, хранится в отделе кадров.
Хотя компрометация данных о клиентах на первый взгляд кажется не такой опасной, как, например, утечка финансового отчета транснациональной корпорации, она может иметь далеко идущие последствия как репутационного, так и финансового характера. Ведь злоумышленник может не только использовать адреса e-mail клиентов для спама или фишинга, но и буквально обокрасть их, заполучив информацию об их кредитных картах.
Высокую ценность также представляет финансовая информация (12% инцидентов в 2010 г.), которой могут воспользоваться злоумышленники. Едва ли найдется компания со штатом более 10 человек, в которой не водится ни бухгалтерских документов, ни договоров, ни банковских счетов.
Миф 3. Компании сектора СМБ имеют меньший штат сотрудников, поэтому вероятность утечки ниже.
Разумеется, вероятность утечки прямо пропорциональна количеству сотрудников, однако это не единственный и не главный фактор риска. Для совершения фатальной утечки достаточно одного сотрудника или одного неосторожного действия. Например, случайно выбрать не тот файл на рабочем столе и отправить проект нового продукта по электронной почте или взять с собой флешку с финансовым отчетом, чтобы доделать его дома, и случайно обронить накопитель в супермаркете.
При отсутствии системы защиты от утечек фактически все сотрудники являются потенциальными инсайдерами. Стоит помнить, что, согласно статистике, какими бы лояльными ни были служащие, большинство утечек происходит из-за небрежности.
Миф 4. Ущерб от утечек в СМБ значительно ниже, чем в крупном бизнесе.
Потеря одного ноутбука с конфиденциальными данными в среднем обходится американской компании в 46 тыс. долл. (исследование Ponemon Institute). Разумеется, размер ущерба связан не со стоимостью самого ноутбука. Такие суммы являются следствием компрометации сотен тысяч учетных записей и, казалось бы, не имеют ничего общего с малым бизнесом. Действительно, утечка конфиденциальных данных в СМБ ведет к меньшим финансовым убыткам в абсолютном выражении. Однако стоит помнить, что чем меньше фирма, тем она более уязвима. Один и тот же ущерб, нанесенной утечкой, может не слишком ощутимо ударить по резервному фонду крупной корпорации, но привести к полному банкротству компанию малого бизнеса.
Помимо прямых и косвенных финансовых убытков одним из фатальных последствий для небольшой фирмы может оказаться потеря клиентов вследствие ухудшения ее репутации. Для большой компании незначительное сокращение клиентской базы не будет иметь значения, чего нельзя сказать о небольших фирмах, особенно о тех, что действуют в высококонкурентной среде.
Миф 5. Систем защиты от утечек для небольших компаний не существует.
Сценарии утечек на крупных предприятиях и в небольших фирмах одни и те же — последние в этом плане не имеют каких-либо уникальных особенностей. Поэтому некоторые DLP-системы, отвечающие по функциональности требованиям крупного бизнеса, могут с таким же успехом использоваться в компаниях любого размера, включая сектор СМБ.
Кроме того, многие вендоры уже осознали привлекательность сектора СМБ и его неосвоенность и стали разрабатывать продукты специально для среднего и малого бизнеса. В настоящее время на рынке существует уже как минимум несколько решений, предназначенных для защиты от утечек в небольших фирмах, штат которых не превышает десятков и сотен человек.
Миф 6. DLP-системы требуют в обслуживании огромного числа специалистов.
Исторически сложилось представление, что система защиты от внутренних угроз — крайне сложное техническое решение, для эксплуатации которого необходимо иметь если не целый отдел в структуре ИТ-департамента, то как минимум несколько специально обученных человек.
Размер службы безопасности напрямую зависит от числа работающих в компании людей. Но соответственно на обслуживание небольшого числа рабочих станций требуется меньше специалистов по информационной безопасности. К тому же многие разработки DLP-решений от версии к версии становятся все более простыми в установке и управлении. На практике нередко задачу по обслуживанию всех рабочих станций в небольшой фирме с успехом решает один специалист по информационной безопасности, зачастую выполняющий по совместительству и другие задачи по ИТ.
Миф 7. DLP-системы — это очень дорого.
Считается, что внедрение системы защиты от внутренних угроз — исключительная привилегия больших и очень больших корпораций, обусловленная невероятной сложностью и высокой стоимостью таких систем. Корни этого отношения произрастают из того, что первоначально DLP-системы начали внедрять именно в крупных компаниях.
Некоторые вендоры уже приступили к выпуску решений, ориентированных на средний и малый бизнес. Они отличаются сравнительно невысокой стоимостью и гибкой ценовой политикой. Кроме того, расходы на DLP-системы в небольших компаниях оказываются значительно ниже хотя бы потому, что нет необходимости закупать лицензии на многотысячный парк рабочих станций.
Также облегчить финансовое бремя может поэтапное или помодульное внедрение DLP-системы. Например, программное обеспечение для шифрования данных и контроля сменных носителей стоит относительно недорого по сравнению с сетевыми решениями. Со временем можно наращивать систему безопасности, постепенно закрывая все потенциальные каналы утечки. Разумеется, такой сценарий возможен только в двух вариантах: либо это DLP-система, разделенная разработчиком на относительно самостоятельные модули, либо это “лоскутная” система, состоящая из предназначенных для решения узких задач продуктов разных вендоров.
Автор статьи — директор по маркетингу SECURIT.