Germany | Finland | Saint Petersburg | Drive

Причина утечки информации

Причина утечки информации или как поймать шпиона.

 

Аудиторские проверки сторонними организациями с моей точки зрения могут стать самой большой причиной утечки конфиденциальной информации. Аудиторы могут стать причиной утечки инсайдерской информации, в следствии чего фирма потерпит колоссальные потери.

Вся сложность заключается в том, что Вы не можете предварительно проверить человека, который пришёл проводить аудит в вашей фирме. Невозможно предвидеть его мотивацию, кто стоит за данным человеком.

Как-же максимально обезопасить свой бизнес от утечки информации от внешних аудиторов?

У меня есть несколько рецептов, которые я сам применяю у себя в фирме. Это не панацея но поможет обезопасить данные от утечки третьим лицам.

Для начала необходима отдельная рабочая станция(станции) для внешнего аудитора, лучше всего чтобы место было удалено от основного персонала, переговорная комната, либо отдельный кабинет. В данном решении есть плюсы и минусы.

Плюсы:

  • Аудитор не сможет получить информацию от сотрудников, работающих в фирме.
  • Аудитор не сможет установить какое-либо устройство\ проинсталировать программный код для негласного получения информации.
  • Получить информацию о внутренних взаимоотношениях в коллективе.
  • Аудитора не будет отвлекаться на внешние факторы, что ускорит время проверки.

Минусы:

  • Вы лишаетесь возможности контролировать работу внешнего сотрудника.

Отделение внешних сотрудников от основных поможет избежать возможных попыток применить методы социальной инженерии для получения более расширенных прав, либо получению дополнительной информации.Как видно плюсы перевешивают минусы.

 

Когда мы определились с рабочим местом аудитора необходимо обезопасить внутреннюю сеть от нелегального подключения сторонних устройств. LAN розетки отключаются от сетевого оборудования, программная блокировка, либо настроить оповещение о подключении новых устройств к сетевому оборудованию, также можно оклеить саморазрушающимися пломбами lan порты розеток, но это чрезмерно.

Теперь можно быть уверенным, что стороннее оборудование не попадёт в вашу сеть без вашего ведома.

 

Подготовка ПК аудитора к работе.

 

Важной частью при контроле работы внешних аудиторов является подготовка выделенного для их работы персонального компьютера(ПК). Не в коем случае не соглашайтесь на использование их ПК либо ноутбуков в своей сети. На них могут содержаться вирусы и хитрые макропрограммы.

Настройка ПК сводится к нескольким пунктам:

  • Отключение портов передачи информации
  • Опломбировка стенок ПК
  • Предоставление прав доступа минимально необходимые (пользователь) НЕ ПРЕДОСТАВЛЯТЬ ПРАВА АДМИНИСТРАТОРА.

Также стоит отделить ПК в отдельный VLAN и запретить передачу информации в другие подсети. ПК не должен иметь доступ к сети Интернет. Не в коем случае не предоставляйте доступ к почте либо интернету даже под предлогом необходимости специальных выгрузок для 1С. Все сторонние выгрузки для 1С должны проходить проверку службой информационной безопасности, либо программиста 1С, которые должны подтвердить безопасность выгрузок перед её проведением.

 

Продолжаем затягивать гаечки.

 

Аудиторы не должны работать с “живыми” базами. Делаем бэкапы данных перед выходом аудиторов и предоставляем доступ только к ним. Аудиторам создаются отдельные учётные записи без возможности самостоятельно ввода новых выгрузок (минимально необходимые права).

По возможности вести запись видеонаблюдением за действиями аудиторов. Это предотвратит возможные попытки предоставить более расширенные права на ПК, либо предоставления доступа не согласованного со службой безопасности. По возможности вести логирование всех действий за ПК на время проверки. Иногда фирмы, проводящие аудит, просят передать базы данных(БД) либо их содержание, экспортированный в другой формат, но это прямая утечка конфиденциальной и инсайдерской информации.

 

Передача информации.

 

Когда наступит момент и вся информация будет выгружена, необходимо грамотно её передать для дальнейшего аудита. Но перед передачей необходимо убедиться не захватили ли чего лишнего. Для этого информация к передаче должна быть проверена ответственным сотрудником им может быть специалист Экономической безопасности, Информационной безопасности если таких сотрудников нет, то проверку должен провести главный бухгалтер. При анализе, стоит обращать внимание на необходимость данных для проверки если данные избыточны необходимо задать вопрос для каких целей необходима данная информация. Если не получен аргументированный ответ, то информация не передаётся либо передаётся в сокращённом виде.

Сама передача информации может осуществляться через различные методы:

  • Передача информации на внешнем носители. Не рекомендую данный метод, так как ваша информация в лучшем случае может кочевать от одной фирмы в другую и быть доступна вашим конкурентам и вследствие, пользователям сети Интернет. Если было принято решение использовать этот метод, то необходимо принять меры защиты.
    • Данные пакуются в архив с паролем, пароль должен быть сложным (24 символа, спец. Знаки, цифры, разный регистр) Минус данного метода в том, что данные извлекаются и далее становятся доступны на носители всем подряд.
    • Создаётся крипто контейнер и в него записывается информация. Имеет тот-же минус, но при этом говорит о серьёзности ваших намерений защитить информацию.

Стоит отметить, что запись должен производить ответственный за безопасность сотрудник, чтобы не допустить записи излишней информации.

  • Передача информации, через сеть Интерне. В этом пункте включены все возможные варианты передача через FTP, почту, файлообменнй ресурс и т.д. стоить отметить, что эти ресурсы должны принадлежать либо вам или фирме аудитору. Не в коем случае не используем бесплатные файлообменники, бесплатные почтовики, либо сторонние FTP сервисы. Информация перед отправкой должна быть обязательно заархивирована с паролем, пароль должен быть сложным.

Очевидные плюсы данного способ передачи информации в том, что Вы уверены, что передача идёт фирме, проводящей аудит. Исключает утерю физического носителя, либо копирование информации с целью передачи её третьим лицам.

Разделите передаваемую информацию и пароль. Используйте только стойкие протоколы передачи информации для файлообленников только https, для sftp либо pftp. Для передачи через почту используйте GPG либо подпишите письмо сертификатом. После передачи информации её необходимо удалить с внешних ресурсов.

Не забудьте, что перед началом работы с фирмой аудитором должен быть заключён договор на оказание услуг и NDA (Non-disclosure agreement) - соглашение о неразглашении конфиденциальной информации.

Данные методы я использую у себя в фирме при проведении проверок. Надеюсь мой опыт поможет Вам защитить свою фирму от утечки конфиденциальной и инсайдерской информации.