Топ-3 ошибок компаний, которые приводят к утечке данных

В современном мире, где данные — новая нефть, кибербезопасность становится не просто приоритетом, а жизненной необходимостью для любой компании. Утечки информации, DDoS-атаки, вирусы-вымогатели — все это реалии, с которыми приходится сталкиваться бизнесу ежедневно. Алексей Ахмеев, начальник управления информационной безопасности АО «Свой Банк», рассказал о ключевых рисках и мерах, которые помогут бизнесу защитить данные.

Руководство любой компании, взаимодействующей с клиентами, должно осознавать, что необходимо выделять необходимые ресурсы на обеспечение защиты полученных от своих клиентов данных. Если касаться самых распространенных ошибок, которые приводят к утечке данных, то тройку «лидеров» можно описать так:

1. Использование «теневого ИТ», когда сотрудники подразделений компании, которые работают с данными, без ведома ИТ-отдела размещают их на внешних хранилищах — потому что так быстрее и не нужно ждать согласования. Публикуют данные в облачных документах, например, в Google Docs, потому что так удобнее работать совместно. Но это становится причиной уязвимостей, которыми могут воспользоваться злоумышленники.
2. Использование незащищенных каналов передачи данных между внутренней инфраструктурой компании и инфраструктурой партнера, оказывающего те или иные услуги. Например, передача данных о клиентах партнеру, оказывающему рекламные услуги по почте, в файлах Excel, без пароля. Или создание канала связи между инфраструктурами без шифрования. В результате данные становятся легкой добычей для хакеров.
3. Недостаточная защищенность или изолированность внутренней инфраструктуры компании от интернета. Например, нет настроенного межсетевого экрана между внутренней сетью и интернетом, который не позволил бы подключиться к внутренней инфраструктуре снаружи или заблокировал бы доступы к интернету изнутри.

Существуют и другие ошибки или недостатки, которые могут повлечь за собой серьезные последствия для компании, и речь не только про кражу данных. Очень часто злоумышленники применяют шифровальщики, чтобы вывести инфраструктуру компании из строя и таким образом остановить бизнес.

Чтобы избежать подобных проблем, следует:

• Серьезно подойти к вопросу повышения уровня знаний работников в сфере обеспечения информационной безопасности. Это поможет избежать самых простых ошибок, связанных с человеческим фактором, которые могут привести к серьезным последствиям.
• Уделить особое внимание процессам взаимодействия с ИТ-подразделением компании. Это поможет сформировать культуру взаимодействия между подразделениями компании и ИТ-отдела, чтобы все знали, что любую проблему, связанную с автоматизацией работы, нужно организовывать через ИТ-специалистов.
• Сформировать в компании перечень внутренних документов, регламентирующих требования ИТ и ИБ в компании, чтобы все сотрудники точно знали, что разрешено, а что категорически запрещено, а сотрудники ИТ-отдела знали, как правильно настроить ИТ-инфраструктуру, чтобы минимизировать риски информационной безопасности.