Конфиденциальная информация утекает через сотрудников

Самое слабое звено в информационной безопасности компаний – их сотрудники. Большинство утечек данных происходят по вине работников, часто тех, кто чем-то недоволен или собирается увольняться, пришли к выводу участники "круглого стола" "Конфиденциальность, публичность и диффамация в XXI веке", который прошел на IPQuorum 2019.

Также компании часто сами не понимают, как им защищать интеллектуальную собственность. Например, оформлять как ноу-хау или подавать заявку на патент, с последующим раскрытием информации о разработке.

Во второй половине 2018 года, по данным FjM International Solicitors & Lawyers, зафиксировано 2,39 миллиарда утечек конфиденциальной информации. В 64 процентах виноваты были сотрудники компании. Большая часть утекшей информации – это персональные данные (69 процентов), 21,3 процента – платежная информация, 5,3 процента – информация, относящая к гостайне, 4,4 процента – к коммерческой тайне.

-Чаще всего информация выносится на бумажных носителях, – рассказала патентный поверенный Камилла Благополучная. – Во многих компаниях любой сотрудник может распечатать любую информацию. Куда он ее уносит и какая будет ответственность за это – отдельный вопрос.

Информация утекает также через электронную почту, переписку в мессенджерах и соцсетях. При этом "вынести" ее из компании не так сложно. В большинстве компаний режим коммерческой тайны формальный с юридической точки зрения, говорят эксперты. Никакие регламенты сохранения информации внутри компании не прописаны.

Часто компания несет репутационные и финансовые издержки не из-за намеренных действий своих сотрудников, а из-за их технической безграмотности и неосмотрительности. Профессионалы в сфере информационной безопасности рекомендуют каждому "включить паранойю".

- Вы все работаете в каких-то компаниях. И если вы оставляете много данных о себе в сети, это средство и способ осуществить целевую атаку на вашего работодателя, – подчеркнул руководитель департамента инновационной защиты бренда и интеллектуальной собственности Group-IB Андрей Бусаргин.

Эксперт привел в качестве примера криптовалютную биржу, три основателя которой – маркетинговый директор, технический директор и главный исполнительный директор – были очень подкованными с точки зрения киберзащиты. Их пытались взломать разными способами, долгое время ничего не получалось, целевой фишинг злоумышленникам не удавался. Но сработала социальная инженирия: технического директора все-таки взломали, а через него – всю инфраструктуру биржи. Увели крупную сумму денег. Человек оставлял о себе очень много данных, в частности, в сети была информация о том, какую панк-группу он любил в молодости.

Злоумышленники креативно подошли к вопросу. Они составили письмо, что эта группа воссоединилась, а технического директора приглашают на их концерт в вип-ложу. Он открыл это приглашение на своем компьютере, и злоумышленники получили доступ к криптобирже. По словам Андрея Бусаргина, таких случаев очень много: компании могут тратить огромные бюджеты на информационную безопасность и быть уверенными в том, что надежно защищены. Но на самом деле никто из сотрудников не защищен на сто процентов, а многие ничего не знают о цифровой гигиене.

Базы данных по разным аккаунтам пользователей – это отдельный бизнес, рассказывают эксперты. Кусок хакерской экономики, которая действует точно так же, как и рыночная. Их можно даже назвать стартапами, которые занимаются продажей утекших баз данных. При этом даже крупнейшие мировые компании не застрахованы от масштабных утечек, с 2012 года их произошло сразу несколько. Например, "утекли" данные 50 миллионов пользователей Facebook и 98 миллионов аккаунтов Rambler.

- Наши расследования строятся на том, что однажды хакер ошибется, и мы его найдем. На это может уйти год или два, – рассказал Бусаргин. Точно так же действуют и злоумышленники, ждут, когда какой-нибудь сотрудник компании ошибется.

Эксперты обратили внимание, что в интернете находится большое количество информации о каждом человеке. А любые персональные данные (номера паспортов, машин, страховые свидетельства, электронные и домашние адреса) могут быть скомпроментированы. Есть достаточно страшные сценарии использования этой информации, пугают аналитики: например, если кто-то украдет данные вашей электронной почты, то может найти в ней скан паспорта (и взять по нему кредит, например) или личные переписки, которыми потом можно шантажировать человека.

Украсть электронную почту не так сложно: до сих пор остаются проблемой слабые парольные защиты, а пользователи совершенно не заботятся о том, чтобы за этим следить, регулярно обновлять пароли и не использовать в качестве них "12345" или "qwerty".

Впрочем, некоторые эксперты полагают, что в информационной открытости нет ничего страшного, потому что по этому пути развивается вся современная экономика, а особенно ее креативные сегменты.

- Мы сейчас живем в период, когда мы вынуждены делиться информацией для того, чтобы сохранить долю на рынке, – отметил коммерческий директор n RIS Григорий Туринцев. – Поэтому, говоря о современных бизнес-моделях, с одной стороны, есть огромный кусок информации, которая должна быть максимально защищенной и оставаться приватной, с другой – для нормальной экономической деятельности и сохранения лояльной аудитории данные необходимо раскрывать. Потребитель должен понимать, где он эти данные может проверить.

Излишняя приватность сегодня настораживает, полагает Туринцев. Он привел в пример продажу машины: раньше вряд ли кто-то мог себе представить, что при продаже автомобиля нужно будет указывать его VIN, госзнак и номер свидетельства о госрегистрации. Люди замазывали номера в объявлениях. Сейчас раскрытие данных считается нормой, и без этого по сути невозможно продать машину, потому что люди не будут реагировать на такое объявление.

-Тот же самый вектор взяли и все остальные, – добавил Григорий Туринцев. – Необходимо принимать меры, чтобы исключить недобросовестное поведение на рынке. Поставить во главу угла репутацию. Максимально раскрыть информацию о себе, подтвердив, что вы надежный контрагент. Раскрытие баз данных, открытый реестр – то, куда мы сейчас двигаемся.

Юристы отмечают, что нужна защита не самой информации, а защита от использования ее против конкретных людей. Есть достаточно эффективные методы защиты от причинения вреда чести, достоинству, деловой репутации.

- Диффамация – это распространение порочащих сведений, которые причиняют ущерб физическому или юридическому лицу, – рассказала управляющий директор Ayrapetova&Partners Каринэ Айрапетова. – Практика защиты уже сформирована и применяется в России. Такие дела рассматриваются с точки зрения баланса интереса сторон. Чтобы выиграть дело в суде, нужно соблюдать три условия: сведения должны носить порочащий характер, они должны не соответствовать действительности и распространяться в отношении конкретного лица.

Также юристы призвали не ставить знак равенства между приватностью и анонимностью. Последняя способствует созданию огромного количества противоправного контента в сети. Он опирается на три "ножки": помимо анонимности, это выгода и техническая возможность. Как полагают эксперты, чтобы бороться с этим, нужно передать инициативу пострадавшей стороне. В случае распространения пиратского контента или контрафакта это правообладатели. А если речь идет об оскорблениях, то те лица, чья деловая репутация пострадала.