- PVSM.RU - https://www.pvsm.ru -
Банально писать, что данные компании и клиентская база — актив любого бизнеса в XXI веке. А вот относятся к этому активу по-прежнему наплевательски: даже менеджер по продажам может легко увести часть базы и выгодно её продать, опционально вместе с собой. Безопасность в корпоративной сфере хромает на обе ноги, и можно бы всё свалить на русский авось, но не тут-то было — такое творится во всём мире, от Москвы до Сиднея. Сотрудники и инсайдеры мстят, зарабатывают на чужих данных, просто вредят компании из своих соображений. Конечно, не все и не всегда, но частота событий заставляет остановиться на проблеме и набросать план Б.
К сожалению, мы не можем рассказать о многочисленных проблемах безопасности, с которыми в течение последних почти 17-ти лет встречались у наших клиентов — такая информация относится к NDA, и возможность нарушения обязательств даже не обсуждается. Наша команда RegionSoft Developer Studio [2] решила пойти другим путём: мы проанализировали многочисленные источники и исследования, обобщили наш опыт без названий конкретных компаний, обработали информацию и оформили её в пост. Потому что тенденции, инциденты, тренды и направления угроз — это та база, на которой нам всем нужно учиться. В конце концов, умный учится на чужих ошибках.
Сколько стоят ваши данные? «Я ИП, кому нужны мои данные!», «Да у нас в базе всего 2000 клиентов, какая ценность!», «Да кому это всё надо, перестаньте», — довольно распространённые ответы на этот вопрос. А давайте посчитаем на примере 2000 клиентов компании, продающей канцтовары для офисов. Затраты по минимуму и грубо: 4 менеджера по продажам — по 50 000, онлайн-реклама — 20 000 в месяц (пусть клиенты были привлечены за год), буклеты — каждый когда-то получил 1 буклет стоимостью изготовления 120 рублей. Итак, компания затратила по 1440 на привлечение 1 клиента, то есть 2 880 000 рублей. Почти три миллиона было вложено только в привлечение, а ведь есть и обслуживание, и удержание. А потом менеджер компании уволился и унёс клиентскую базу к конкурентам — ведь они искали продажника с «деловыми контактами». Просто за зарплату получили готовую тёплую базу, которой достаточно сделать крохотную скидку или бонус, чтобы получить лояльность. Кто виноват? Продажник? Сисадмин? Нет, виноват руководитель, который не вложился в защиту самого ценного актива своего бизнеса — клиентской базы. (Или второго по значимости актива, ведь кто-то скажет, что самый ценный актив — это люди. Да, это конечно так, но только не те, кто готов продать своего босса, если за это предложат приемлемое вознаграждение.)
А теперь представьте, что происходит с крупными компаниями, они ведь гораздо более уязвимы в силу более острой конкуренции, более профессиональных сотрудников и более «лакомых» данных. Компании разных масштабов тратят миллионы на внешнюю безопасность и защиту ИТ-инфраструктуры, но при этом упускают из виду одну из самых коварных угроз — опасность кражи внутренней и ценной коммерческой информации сотрудниками.
Кража данных и коррупция со стороны корпоративных инсайдеров — большая проблема, к которой нужно быть готовым. Biscom установил, что 85% сотрудников допущены к документам и информации, которую они сами создавали, 30% допущены к тем данным, которые они непосредственно не создавали. В стартапах, особенно чувствительных к безопасности идей и первых ценных клиентов, данные свидетельствуют о большой степени попустительства: 25% сотрудников имеют доступ к исходному коду и патентным заявкам, 35% сотрудников имеют данные об именах, номерах телефонов и e-mail, 85% — имеют доступ и сохраняют себе стратегические документы и ключевые бизнес-презентации. При этом 20% сотрудников открыто заявили, что с большой вероятностью заберут данные и передадут их конкурентам в случае негативных обстоятельств увольнения, а 90% отметили, что основная причина кражи данных при увольнении — отсутствие политики и технологий защиты информации. Кроме того, практически в любой компании есть сисадмин (штатный или на аутсорсе), который имеет полный доступ абсолютно ко всем корпоративным данным. А как пик безбашенности можно рассматривать ведение корпоративной базы в облаке, когда практически никто не имеет возможности контролировать территориальность распространения пользователей и правомерность доступа к данным.
Итак, кто они, расхитители корпоративных данных? В принципе, кто угодно: хакеры, злоумышленники, конкуренты… Но, конечно, главную роль в хищении корпоративной информации играют инсайдеры. В комментариях к одной из наших статей шла горячая битва, в которой доказывалось, что во всём виноваты системные администраторы, которые могут навредить. Но тут есть одно но: да, сисадмин может нанести самый тяжёлый технический урон и сработать самым изощрённым образом, но вот продаст данные конкурентам или вообще на открытом рынке скорее коммерсант. Просто потому что он знает, что и кому продать, какие данные интересны внешним агентам, а какие — пустой набор цифр. Так что в конечном итоге финансовый ущерб от обиженного админа не столь велик (особенно, если у вас были защищённые от всех бэкапы, сделанные, например, другим админом, компанией на аутсорсе, вендором или самим руководителем).
Инсайдеры — это не обязательно существующие работники, которые сегодня в 9 утра пришли на работу. Это и бывшие сотрудники, и родственники существующих, и партнёры, и работники филиалов, и клиенты с доступом к информации, и подрядчики, и поставщики, и консультанты, и тренеры. Причём это могут быть сотрудники абсолютно любого уровня — от топ-менеджера до младшего специалиста тех. поддержки. В общем, тот, кто опосредованно или непосредственно имеет доступ к клиентской базе, отчётам, финансовой информации и персональным данным, — ваш инсайдер.
Гарольд Томас Мартин похитил шесть ценных документов и компьютерный код из Агентства национальной безопасности (АНБ) США. Мартин работал в консалтинговой фирме, сопровождающей и поддерживающей инфраструктуру АНБ, — Booz Allen Hamilton. К слову, в ней же когда-то работал и Эдвард Сноуден.
Отчёт Verizon 2017 Data Breach Investigations Report раскрывает интересную статистику по правонарушениям относительно компаний. Этот же отчёт показал, что кроме супер-кибер-хакер-вторжений и старых недобрых DDoS-атак никуда не исчезли проблемы с паролями, подозрительными вложениями в письмах, неосторожность и физическая кража. Кстати, 61% всех зафиксированных нарушений пришлись на компании с численностью персонала до 1000 человек. Да это и логично — взломать или подкупить кого-то из малого бизнеса в десять раз проще, чем кого-то, например, из крупного ритейла. При этом клиентскую базу можно довольно выгодно продать.
Verizon 2017 Data Breach Investigations Report
Есть набор признаков, которые чаще всего свидетельствуют о том, что что-то пошло не так. Как правило, первичные маркеры совершенно незаметны и понимание приходит уже на постфактум, однако несколько типичных моделей поведения выделить можно.
Базовая гигиена в сфере корпоративной безопасности — научиться распознавать опасность на самых ранних стадиях. При этом не нужно думать, что малый или средний бизнес вне угрозы — такие компании в силу многих факторов, от зарплатного до юридического, особенно подвержены провокациям изнутри.
Не всегда данные утекают злонамеренно, однако чаще всего приходится думать о худшем. Вот три основных пути данных вне серверов компании.
Это наш директор по информационным технологиям. В целях безопасности он зашифрован.
Итак, дело запахло керосином, уходящими деньгами и корвалолом. Самое время начинать принимать меры. Итак, что делать, если утечка произошла? Главное — быть сдержанным, обоснованным и максимально оперативным.
В деле корпоративной безопасности лучше не допустить, чем потом предотвращать. Честно говоря, 100% защиты не даст ничего, всегда найдётся ненадёжная технология или продажный человек, было бы желание получить вашу информацию. Но это не значит, что нужно махнуть рукой, решить «будь, что будет» и пустить контроль безопасности на самотёк. Малейшая мера профилактики уменьшает риски, а значит, нужно работать над обеспечением безопасности.
Вот небольшой чек-лист мер, которые позволят вам защитить корпоративную информацию.
Компания Uber для целей развития бизнеса беспилотных автомобилей приобрела стартап Otto с основателем Энтони Левандовски во главе. К концу 2017 года Uber стал вырываться в лидеры беспилотных разработок, но в это же время конкурент Uber, Waymo, подал в суд на компанию за хищение корпоративной тайны. Оказалось, что разработчик Левандовски, бывший сотрудник Waymo, перед увольнением из компании украл свыше 14 000 конфиденциальных технических документов, чертежей и прочих файлов, чтобы использовать их в том самом стартапе, который приобрёл Uber. Компания столкнулась с юридическим преследованием за использование чужой технологии при разработке беспилотных автомобилей и за активное покрывательство кражи коммерческой тайны. Суд несколько раз переносился, пока идут общественные слушания, но многое говорит о том, что борьба идёт далеко не за 14 000 файлов, а за право развивать технологию, которая по оценкам экспертов будет такой же значимой для мирового автомобилестроения, как изобретение самого автомобиля.
Ещё одна история связана с элитной клиникой пластической хирургии в Беверли-Хиллз. Знаменитый хирург Заин Кадри нанял сотрудницу, которая сперва работала водителем и переводчиком, а затем перешла к работе с данными и телефонными звонками. Девушка занималась тем, что снимала на корпоративный смартфон медицинские карты пациентов и информацию об их кредитных картах (вы же помните ещё, что речь идёт о Беверли-Хиллз?). Кроме этого, она делала неэтичные фотографии пациентов до и во время операций. Дело находится на этапе расследования, бывшая уже сотрудница заявляет, что ею двигала месть, но есть версия, что дело в проплаченной недобросовестной конкурентной борьбе.
После увольнения сотрудников удаляйте их учётные записи, архивируйте почту (не удаляйте — она может пригодиться как в рабочих целях, так и в возможных разбирательствах), отключайте от мессенджеров и групповых чатов. Известны примеры, когда даже спустя 3 года после увольнения из компаний сотрудники сохраняют доступ и к корпоративному порталу, и к CRM, и к многочисленным рабочим сервисам.
Банальный и простой совет — информируйте сотрудников о возможностях утечек и взломов. Увы, по незнанию утечек происходит не меньше, чем из-за злого умысла.
Как видите, советы весьма простые, но патологическая жадность и безалаберность руководителей компании продолжают приносить бизнесу ощутимые неприятности.
Я уверен, что есть лучшие пути защитить важную информацию, но мы не располагаем большим бюджетом
В этой статье мы уделяем отдельное внимание CRM-системе не только потому что являемся разработчиком RegionSoft CRM [2] и знаем о значении CRM в безопасности, но и потому что сегодня каждая компания рано или поздно приходит к внедрению CRM. А это значит, что важно правильно использовать программу, чтобы она не стала оружием против вас.
Современные CRM-системы включают в себя ценные данные: саму клиентскую базу, воронку продаж, наименования продукции и услуг, условия договоров, документы и многое другое, включая финансовую информацию. Представляете, насколько бесценно конкуренту получить всех ваших клиентов, которые находятся на этапе принятия решения? Получил базу, сделал отстройку, добавил скидку и собрал выручку. То есть каждая запись о клиенте в CRM имеет сверхценность, поскольку содержит всю значимую конфиденциальную информацию. А значит, CRM нужно по возможности максимально защитить от жадных до наживы инсайдеров.
CRM-система — сейф вашей корпоративной информации, связанной с клиентами и сделками. В ваших силах не оставлять этот сейф открытым настежь. Помните: любая проблема с утечкой данных из CRM-системы — прямая угроза не только вам, но и вашим партнёрам и клиентам.
Таким образом, я не вынужден тратить все эти деньги на прихоти кибербезопасности
Говорить о безопасности в компании можно бесконечно — у каждого из нас есть история провала и история успеха. Мы учимся доверять сотрудникам, но вынуждены ограничивать их. Безопасность сопряжена с множеством материальных, финансовых, моральных факторов и не всегда комфортна всем участникам процесса. Но если ты соблюдаешь скоростной режим за рулём, какая разница, сколько камер и радаров снимут твой автомобиль? Наверное, над этим стоит задуматься всем: и руководителям, и сотрудникам.
А мы уже активно раскачиваем свой канал в Telegram [3], в котором без рекламы пишем не совсем формальные вещи о CRM и бизнесе. Заходите, иногда там огонёк.
Автор: Axelus
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/bezopasnost/275321
Ссылки в тексте:
[1] Image: https://habrahabr.ru/company/regionsoft/blog/351196/
[2] RegionSoft Developer Studio: http://www.regionsoft.ru/
[3] свой канал в Telegram: https://t.me/bizbreeze
[4] Источник: https://habrahabr.ru/post/351196/?utm_campaign=351196
Нажмите здесь для печати.