Материалите вече не са класифицирани

информация

Кой изнася мръсното бельо от колибата?

Днес организацията сама определя какво се счита за поверителна информация. На първо място, това са лични данни на физически лица (служители, клиенти, партньори и т.н.), а след това вътрешна корпоративна информация: затворени данни за сливания и придобивания, финансови отчети - всичко, което конкурентите не трябва да виждат. Интелектуалната собственост се откроява като отделен слой: чертежи, дизайнерски проекти, формули, изходни кодове.

Законът за личните данни задължава всички организации, независимо от размера и формата на собственост, да защитават този тип информация, но не предвижда средствата, с които това да става.

Олег Головенко сподели резултатите от изследването на Symantec „Как изтичат секретни мегабайти“, в което са участвали български компании. „Получените данни като цяло корелират със световната статистика. Въпреки че някои западни проучвания ни предоставят допълнителна информация, преди това се смяташе, че финансовите организации се интересуват предимно от защитата на корпоративната информация. Но днес банките са на второ място. На първия - сравнително малки компании, занимаващи се с продажби на дребно. Но като цяло всеки има свои собствени причини да обърне внимание на този проблем.

Подобно проучване е направено и в САЩ, където общата картина на изтичане на данни наподобява тази в България. Като цяло причините за загубата на поверителна информация са едни и същи – небрежност и злонамереност на служителите на компанията. „Фактът, че изнасят корпоративни данни извън офисите, е признат от 70% от анкетираните, както българи, така иАмериканец, - казва Олег Головенко. „Но реалната цифра определено е по-висока: мнозина все още се страхуват да разкрият информация за участието си в изтичане на информация.“

Небрежните служители ще подлежат на административни наказания. Олег Головенко: „Никой няма да вземе пари от хората. По-скоро ще се прилага административният или трудовият кодекс, а в някои случаи и наказателният кодекс. Въпреки че сега правоприлагащата практика в България в тази област е доста лоша и е трудно да се каже какво застрашава едно лице, например премахването на информация от предприятие.

Но Роскомнадзор, който е длъжен да проверява инфраструктурата на българските организации за защита на системата за съхранение на данни, може да изсипе фирми на първо число. И ако изискванията не са взети предвид, организацията получава препоръки и очаква повторна проверка. И тогава има глоби. За да не се случи това, компанията трябва да помисли за ефективната защита на поверителната информация. Но няма гаранция за ефективност.

Олег Головенко: „Важно е да се отбележи, че нито една система за сигурност не може да даде 100% гаранция, но значително ще намали риска от течове. 95% от нарушенията на данните са неумишлени, а само 5% са злонамерени кражби на информация. И двата вида течове могат да бъдат спрени от DLP (Data Loss Prevention) системи. DLP системата следи и блокира опитите за прехвърляне на поверителна информация извън организацията през почти всички известни канали (запис на флаш памети, печат, изпращане по пощата и т.н.).“

За момента, за момента

Много български мениджъри са сигурни, че в техните компании няма течове на корпоративна информация. Това е заблуда. Олег Головенко: „Въз основа на нашия опит мога да кажа: или те не знаят това,или по някаква причина го крият - неприятно е да се признават такива неща.

40% от българските фирми идват на идеята за въвеждане на DLP системи след сериозни инциденти – както се казва, докато не изсвирна ракът в планината. За да защити данните, една компания трябва не само да определи какво се счита за поверителна информация, но и да знае къде се съхранява. Истинските DLP системи позволяват автоматично намиране на такава информация в предприятието.

Трудно е да се предвиди коя ще е най-тежката загуба за компанията - умишлено изтичане или случайна загуба. В Съединените щати компания, която загуби лични данни на потребители, е длъжна да уведоми всеки клиент за това, както и да информира медиите за изтичането. В България обаче организациите предпочитат да не съобщават за загуба на данни от страх да не загубят клиенти.

Олег Головенко: „Преките загуби са това, което води до парични разходи веднага след инцидента: преиздаване на карти в банки, обаждане на клиенти, уволнение на служители и т.н. Но според световната статистика непреките щети не са по-ниски от преките. Това е намаляване на лоялността на клиентите или техния отлив, намаляване на стойността на марките, цените на акциите.

Всяка година броят на течовете в света се увеличава с 1,5 пъти. Поради слабото проникване на DLP системите, количеството загубени данни в България също нараства. В бъдеще ще има нови канали за предаване на поверителни данни и нови възможности за заобикаляне на системите за защита на информацията. Постепенно процентът на течове ще намалява, но никога няма да стигне до нула.