Самым слабым звеном безопасности в компании стали ее сотрудники

Самое слабое звено в информационной безопасности компаний - их сотрудники. Большинство утечек данных происходят по вине работников, часто тех, кто чем-то недоволен или собирается увольняться, пришли к выводу участники "круглого стола" "Конфиденциальность, публичность и диффамация в XXI веке", который прошел на IPQuorum 2019.
iStock

Также компании часто сами не понимают, как им защищать интеллектуальную собственность. Например, оформлять как ноу-хау или подавать заявку на патент, с последующим раскрытием информации о разработке.

Во второй половине 2018 года, по данным FjM International Solicitors & Lawyers, зафиксировано 2,39 миллиарда утечек конфиденциальной информации. В 64 процентах виноваты были сотрудники компании. Большая часть утекшей информации - это персональные данные (69 процентов), 21,3 процента - платежная информация, 5,3 процента - информация, относящая к гостайне, 4,4 процента - к коммерческой тайне.

-Чаще всего информация выносится на бумажных носителях, - рассказала патентный поверенный Камилла Благополучная. - Во многих компаниях любой сотрудник может распечатать любую информацию. Куда он ее уносит и какая будет ответственность за это - отдельный вопрос.

Информация утекает также через электронную почту, переписку в мессенджерах и соцсетях. При этом "вынести" ее из компании не так сложно. В большинстве компаний режим коммерческой тайны формальный с юридической точки зрения, говорят эксперты. Никакие регламенты сохранения информации внутри компании не прописаны.

Часто компания несет репутационные и финансовые издержки не из-за намеренных действий своих сотрудников, а из-за их технической безграмотности и неосмотрительности. Профессионалы в сфере информационной безопасности рекомендуют каждому "включить паранойю".

- Вы все работаете в каких-то компаниях. И если вы оставляете много данных о себе в сети, это средство и способ осуществить целевую атаку на вашего работодателя, - подчеркнул руководитель департамента инновационной защиты бренда и интеллектуальной собственности Group-IB Андрей Бусаргин.

Эксперт привел в качестве примера криптовалютную биржу, три основателя которой - маркетинговый директор, технический директор и главный исполнительный директор - были очень подкованными с точки зрения киберзащиты. Их пытались взломать разными способами, долгое время ничего не получалось, целевой фишинг злоумышленникам не удавался. Но сработала социальная инженирия: технического директора все-таки взломали, а через него - всю инфраструктуру биржи. Увели крупную сумму денег. Человек оставлял о себе очень много данных, в частности, в сети была информация о том, какую панк-группу он любил в молодости.

В информационной открытости нет ничего страшного - по этому пути развивается вся современная экономика, особенно ее  креативные сегменты

Злоумышленники креативно подошли к вопросу. Они составили письмо, что эта группа воссоединилась, а технического директора приглашают на их концерт в вип-ложу. Он открыл это приглашение на своем компьютере, и злоумышленники получили доступ к криптобирже. По словам Андрея Бусаргина, таких случаев очень много: компании могут тратить огромные бюджеты на информационную безопасность и быть уверенными в том, что надежно защищены. Но на самом деле никто из сотрудников не защищен на сто процентов, а многие ничего не знают о цифровой гигиене.

Базы данных по разным аккаунтам пользователей - это отдельный бизнес, рассказывают эксперты. Кусок хакерской экономики, которая действует точно так же, как и рыночная. Их можно даже назвать стартапами, которые занимаются продажей утекших баз данных. При этом даже крупнейшие мировые компании не застрахованы от масштабных утечек, с 2012 года их произошло сразу несколько. Например, "утекли" данные 50 миллионов пользователей Facebook и 98 миллионов аккаунтов Rambler.

- Наши расследования строятся на том, что однажды хакер ошибется, и мы его найдем. На это может уйти год или два, - рассказал Бусаргин. Точно так же действуют и злоумышленники, ждут, когда какой-нибудь сотрудник компании ошибется.

Эксперты обратили внимание, что в интернете находится большое количество информации о каждом человеке. А любые персональные данные (номера паспортов, машин, страховые свидетельства, электронные и домашние адреса) могут быть скомпроментированы. Есть достаточно страшные сценарии использования этой информации, пугают аналитики: например, если кто-то украдет данные вашей электронной почты, то может найти в ней скан паспорта (и взять по нему кредит, например) или личные переписки, которыми потом можно шантажировать человека.

Украсть электронную почту не так сложно: до сих пор остаются проблемой слабые парольные защиты, а пользователи совершенно не заботятся о том, чтобы за этим следить, регулярно обновлять пароли и не использовать в качестве них "12345" или "qwerty".

Впрочем, некоторые эксперты полагают, что в информационной открытости нет ничего страшного, потому что по этому пути развивается вся современная экономика, а особенно ее креативные сегменты.

- Мы сейчас живем в период, когда мы вынуждены делиться информацией для того, чтобы сохранить долю на рынке, - отметил коммерческий директор n RIS Григорий Туринцев. - Поэтому, говоря о современных бизнес-моделях, с одной стороны, есть огромный кусок информации, которая должна быть максимально защищенной и оставаться приватной, с другой - для нормальной экономической деятельности и сохранения лояльной аудитории данные необходимо раскрывать. Потребитель должен понимать, где он эти данные может проверить.

Юристы призвали не ставить знак равенства между приватностью и анонимностью, которая способствует созданию противоправного контента в сети

Излишняя приватность сегодня настораживает, полагает Туринцев. Он привел в пример продажу машины: раньше вряд ли кто-то мог себе представить, что при продаже автомобиля нужно будет указывать его VIN, госзнак и номер свидетельства о госрегистрации. Люди замазывали номера в объявлениях. Сейчас раскрытие данных считается нормой, и без этого по сути невозможно продать машину, потому что люди не будут реагировать на такое объявление.

-Тот же самый вектор взяли и все остальные, - добавил Григорий Туринцев. - Необходимо принимать меры, чтобы исключить недобросовестное поведение на рынке. Поставить во главу угла репутацию. Максимально раскрыть информацию о себе, подтвердив, что вы надежный контрагент. Раскрытие баз данных, открытый реестр - то, куда мы сейчас двигаемся.

Юристы отмечают, что нужна защита не самой информации, а защита от использования ее против конкретных людей. Есть достаточно эффективные методы защиты от причинения вреда чести, достоинству, деловой репутации.

- Диффамация - это распространение порочащих сведений, которые причиняют ущерб физическому или юридическому лицу, - рассказала управляющий директор Ayrapetova&Partners Каринэ Айрапетова. - Практика защиты уже сформирована и применяется в России. Такие дела рассматриваются с точки зрения баланса интереса сторон. Чтобы выиграть дело в суде, нужно соблюдать три условия: сведения должны носить порочащий характер, они должны не соответствовать действительности и распространяться в отношении конкретного лица.

Также юристы призвали не ставить знак равенства между приватностью и анонимностью. Последняя способствует созданию огромного количества противоправного контента в сети. Он опирается на три "ножки": помимо анонимности, это выгода и техническая возможность. Как полагают эксперты, чтобы бороться с этим, нужно передать инициативу пострадавшей стороне. В случае распространения пиратского контента или контрафакта это правообладатели. А если речь идет об оскорблениях, то те лица, чья деловая репутация пострадала.