Менеджеры подвели

Убытки мировых компаний от утечек информации выросли за год почти на четверть и составили свыше 25 млрд долларов. И большинство фиксируемых утечек (36,9%) является следствием человеческих ошибок или халатности. К такому выводу пришли аналитики компании Zecurion в ежегодном исследовании "Утечки конфиденциальной информации".

В среднем организации теряют 31,23 млн долларов от каждой крупной утечки. В России убытки меньше: максимальные потери от одного инцидента составили около 4 млрд руб. Доля российских утечек в мировой статистике - 6%. Это на треть больше, чем год назад.

Несмотря на то что многие компании при приеме на работу обязывают сотрудников подписывать соглашения о неразглашении конфиденциальных сведений, утечка информации все же происходит. "По данным исследований Forrester, большинство утечек происходит именно по вине сотрудников: 31% - вследствие кражи или утери устройств, содержащих корпоративную информацию, 27% вызваны халатным обращением с корпоративным устройством, - рассказал заместитель генерального директора SAP СНГ Дмитрий Шепелявый. - Утрата конфиденциальных данных может стоить крупным компаниям репутации. Выход из ситуации мы видим в использовании технологичных решений. Надо в первую очередь снизить влияние человеческого фактора (а именно лишить людей технической возможности совершить ошибку или реализовать злой умысел). Это достигается четким разделением полномочий, аудитом действий пользователя и выявлением мошеннических моделей поведения на ранних стадиях (с помощью инструментария BigData). Отдельные технологии существуют для обеспечения безопасности корпоративной информации, хранящейся на мобильных устройствах".

По мнению генерального директора IBS DataFort Евгения Николаева, чтобы максимально снизить человеческий фактор в сфере защиты информации, нужно выносить управление инфраструктурой на аутсорсинг: "В этом случае любая утечка, если таковая случится, будет финансово защищена, так как компания-аутсорсер несет финансовую ответственность за сохранность информации. Сегодня существует много средств, с помощью которых компании могут выявить сотрудников, допускающих утечки информации: технические и политические (регламентные), но использовать их нужно в комплексе. К первым относятся системы контроля физического доступа СКД, системы журналирования и логирования и другие. Как решение, также можно рассматривать вынос инфраструктуры в частные облака, управляемые внешней компанией". Но все это не отменяет внутри компании различных политик и регламентов в сфере информационной безопасности. В серьезных компаниях проводятся постоянные обучающие тренинги по темам обращения с критически важной информацией. "Но в большинстве случаев при расследовании выясняется, что в процесс хищения были преднамеренно или случайно вовлечены сотрудники организации. Это происходит не только в России - по всему миру. 98% всех утечек происходит с участием человеческого фактора, из них 57% с мобильных устройств. В этих условиях от корпораций требуется постоянная работа с человеческим фактором, повышение информированности сотрудников об угрозах в области информационной безопасности. При этом надо учесть, что злоумышленники постоянно проводят социальный инжиниринг, вербуя сторонников в организациях, которые они выбирают в качестве цели", - отметил управляющий директор Optima Infosecurity (Группа Optima) Неманья Никитович.

Аналитики Zecurion считают, что в этом году увеличится число краж инсайдерской информации из банков. Мошеннические схемы, связанные с эмиссией и эквайрингом пластиковых карт, а также удаленным банковским обслуживанием, оказываются чрезвычайно эффективными. Они позволяют быстро монетизировать полученную информацию, а цепочки исполнителей, каждый из которых выполняет свою функцию, - замести следы и минимизировать собственные риски, когда несанкционированные списания со своих счетов обнаружат клиенты.