Как эффективно ликвидировать последствия утечки информации

Недовольный работник решил отомстить начальству, уволенный прихватил с собой базу данных, IT-специалист сливает конкурентам ценные документы — с каждым годом всё больше компаний в России и мире сталкиваются с утечками информации.

Если вам есть что скрывать, работайте с сотрудниками, ставьте защитные решения, ограничивайте доступ к важной информации, но всё равно будьте готовы, что в один прекрасный день злоумышленники найдут какую-нибудь брешь. Что делать, если, несмотря на все усилия, утечка всё же произошла?

Без паники

Всё действительно плохо, если вы обнаружили утечку случайно — например, узнали о ней от лояльных клиентов, из интернета или от сотрудников, которым рассказали знакомые. Слив мог произойти давно, а следы злоумышленник замёл. Получается, ваша система защиты информации не работает. Минимизировать ущерб и тихо замять историю уже не получится.

Если у вас есть возможность расследовать слив по горячим следам (например, если ваша DLP-система быстро обнаружила, что в трафике содержатся конфиденциальные сведения), ещё не всё потеряно. Встаёт, конечно, вопрос, почему ценные сведения в принципе уходят за периметр, но это уже другая история.

Первое, что вам нужно сделать при обнаружении утечки, — перезапустить, ускорить, изменить или даже отменить решения и бизнес-процессы, которые связаны с украденной информацией. Эти меры сохранят деньги компании и позволят вам перейти к дальнейшим действиям: расследованию и ликвидации последствий.

Определите виновника утечки

Этот шаг необходим, даже если вы обнаружили проблему постфактум, — он поможет предупредить аналогичные инциденты в будущем.

Если организация крупная, без поисковых алгоритмов DLP-системы не обойтись. В повседневной работе современная компания оперирует таким количеством информации, что проанализировать её вручную определённо не получится. Кроме DLP в расследовании помогут СКУД, SIEM, системы видеонаблюдения — всё, что может прояснить ситуацию и доказать вину нарушителя.

В небольшой компании можно заставить айтишников прошерстить корпоративную почту, изучить логи прокси-сервера и т. д. Но здесь велика вероятность, что сотрудник использовал для передачи информации мессенджер, соцсеть или личный почтовый ящик. Вывод? Без соответствующего инструментария — никуда.

Выходим на заказчика

Когда злоумышленник внутри компании найден, найти заказчика — дело техники. Как правило, виновник утечки после серьёзного разговора сам раскрывает карты. Если нет, придётся использовать технические инструменты.

Когда мы нашли канал передачи информации и определили её адресата, можно начинать ликвидировать последствия. С конкурентами, журналистами, профессиональными торговцами информацией лучше договариваться полюбовно. Если нет доказательств, выкупайте информацию. Если есть неопровержимые улики, не стесняйтесь пугать злоумышленников обращением в органы.

Определяем масштаб трагедии

Что именно украл сотрудник? Коммерческие предложения, финансовый план, клиентскую базу? Или пару документов с пометкой «особо секретно»? Определить границы и значимость проблемы на этом этапе очень важно. Это послужит отправной точкой для дальнейших действий.

Справиться своими силами или лучше подключить органы? Если информация ушла действительно важная, а у вас из средств защиты информации только пароль на ПК сотрудников, лучше не рисковать и подключать любую возможную помощь. Если в отделе информационной безопасности компании работают опытные профессионалы, лучше не поднимать лишнего шума и попробовать справиться самостоятельно.

Ликвидируем последствия

Волшебной таблетки, которая разрешит проблемы, связанные с потерей данных, в этом пункте не будет. Утечки индивидуальны, работа с последствиями — тоже. Дам лишь несколько общих рекомендаций.

— Разберитесь, какая ещё информация могла быть скомпрометирована — помимо тех данных, которые уже украдены.

— Сообщите об утечке пострадавшим. В России пока нет закона, который обязывает компанию сообщать об утечке информации заинтересованным лицам. Но если есть высокая вероятность, что люди узнают об утечке самостоятельно, лучше не молчать. Кроме того, если пострадавшие могут предпринять какие-то действия по защите своих данных, обязательно им об этом расскажите.

— Если информация об утечке стала общедоступной, подключайте пиарщиков — если нет своих, наймите агентство. Будьте открыты со СМИ и расскажите о мерах, которые примете, чтобы не допустить повторения такой ситуации в будущем. Это покажет клиентам, что вы действительно о них заботитесь — даже в ущерб собственной репутации и имиджу.

— Предъявите виновника утечки пострадавшим и обществу — наказанного и переданного правоохранительным органам.

Фотография на обложке: Paul Tessier / Shutterstock