Об утечках информации говорят, что их проще предупредить, чем потом расхлебывать последствия. Тем не менее, сделать это удаётся далеко не всегда. Как же быть, если утечка информации всё-таки уже произошла?

Материал подготовлен специально для UBR.UA ведущим аналитиком компании SearchInform Романом Идовым.

Первое и главное: ищем источник утечки

Самое главное в этом случае – не паниковать. Утечка информации – это действительно опасный для любой допустившей её организации инцидент, который ни в коем случае нельзя игнорировать. Но если подойти к устранению её последствий с трезвой головой, то избежать большого ущерба будет куда проще, чем в том случае, когда справиться с последствиями утечки мешает страх перед ними.

Первое, что следует сделать при утечке информации – это установить, кто стал источником утечки, чтобы избежать её повторения. К сожалению, сделать это после того, как утечка уже произошла, достаточно трудно даже опытному специалисту по расследованию подобного рода инцидентов, поэтому компании пользуются специальными средствами для того, чтобы при расследовании иметь достаточно информации о действиях сотрудников. Системы, которые позволяют собирать и накапливать данную информацию, предназначены также и для предотвращения утечек данных, и называются DLP-системами (от английского Data Leak Prevention).

Современные DLP-системы позволяют анализировать активность сотрудников организаций по всем возможным каналам передачи конфиденциальной информации, а также фиксируют факты доступа к находящимся в корпоративной сети конфиденциальным документам, которые сотруднику не могут быть нужны в силу служебной необходимости. Все действия работников и переданные ими документы записываются в специальные архивы, которые затем легко "поднять" при проведении расследований инцидентов информационной безопасности. Таким образом, DLP-система – это "глаза и уши" отдела информационной безопасности любой компании, необходимая не только для предотвращения утечек информации, но и для расследования их постфактум.

DLP-система способна сигнализировать о наличии в трафике конфиденциальных сведений, то есть, утечки можно начинать расследовать буквально через пару минут после того, как они произошли. Определение степени конфиденциальности документа, обнаруженного в перехваченном трафике, может вестись двумя способами: путём анализа специальных маркеров документа (естественно, документ должен быть помечен таким маркером заранее), либо путём анализа содержимого документа. Второй вариант в настоящее время более широко распространён, поскольку добавление специальных маркеров не решает проблем, связанных с переводом информации в другой формат, и т.п.

Вообще, аналитические возможности DLP-системы играют исключительную роль в определении того, кто из работников виноват в утечке информации. Любая современная компания сталкивается в своей повседневной работе с таким количеством информации, что просмотреть её вручную нет никакой возможности, и поэтому приходится полагаться на поисковые алгоритмы.

Источник найден, что дальше?

Что ж, источник утечки найден. Следующий шаг – это установить, кому могла стать известна конфиденциальная информация. Иногда, если её переслали конкурентам или журналистам, будет проще с ними договориться и заплатить им денег, чтобы замять инцидент. В любом случае, определение круга лиц, которые стали возможными обладателями утекших конфиденциальных данных, является необходимым этапом любой кампании по устранению последствий утечки. Как и в случае определения виновного, поможет нам всё та же DLP-система, которая позволит установить круг адресатов распространителя закрытых сведений как внутри организации, так и за её пределами. И даже нарисует красивую и удобную схему связей между отправителем и адресатами, которую специалисты называют графом – с её помощью очень удобно анализировать распространенность данных.

Не менее важной, хотя технически и менее сложной, задачей становится определение того, какая именно информация оказалась скомпрометированной в результате произошедшего инцидента. Это позволит точнее определить масштабы утечки информации и её возможные последствия, а также выявить тех, кто кроме самой компании, допустившей утечку, мог от неё пострадать.

Гласность? Как ни странно, да

Всех потенциальных пострадавших необходимо оперативно известить о случившейся утечке, поскольку они также должны предпринять адекватные меры, чтобы минимизировать её последствия. Зачастую организации предпочитают этого не делать, чтобы не раскрывать факта самой утечки данных нигде за пределами компании – "не выносить сор из избы". К сожалению, подобного рода риторика настолько распространена в российских компаниях, что ни пострадавшие клиенты, ни партнеры компании не получают сведений и не могут предпринять никаких действий по защите собственных конфиденциальных данных. В то время как компания, которая предоставила бы своим клиентам и партнерам сведения о произошедшей утечке, могла бы тем самым показать свою заботу и приверженность к долгосрочному взаимовыгодному сотрудничеству.

Сообщение об утечке всем заинтересованным лицам, на самом деле, ставит собой цель подстраховать компанию в отношении дальнейших неприятностей, поскольку в том случае, если утечка станет достоянием общественности (не обязательно об этом будут писать в газетах – достаточно узкой известности в профессиональном кругу), реакция со стороны пострадавших будет стократ хуже, и тогда уже не удастся даже минимально обелить свой имидж рассказами о понимании и заботе.

После сообщения всем, кто пострадал, об инциденте, можно заняться наказанием виновного. В случае, если утечка стала достоянием широкой общественности, виновного также стоит предъявить ей. Можно даже выпустить специальный пресс-релиз с рассказом о том, как именно его удалось поймать и какое наказание он понёс. Здесь можно даже немного сгустить краски, рассказав о том, что найти его было трудно – как правило, если в компании применяется DLP-система, это не так.

Нужна ли помощь органов?

Обращаться или нет в правоохранительные органы, каждый решает для себя сам. Практика показывает, что большинство компаний предпочитает вести расследование собственными силами, и затем также самостоятельно наказывать виноватого. Немногочисленные исключения, как правило, касаются достаточно крупных компаний, которые вынуждены соблюдать "честь мундира", прежде всего, перед западными контрагентами, которые просто не поймут, как в случае утечки информации можно не обратиться в полицию.

Ну, а на самом деле, самый главный урок, который компания может извлечь из не фатальной для неё утечки информации (если утечка фатальная, то уроки бесполезны), состоит в том, что нельзя закрывать глаза на вопросы обеспечения информационной безопасности, потому что это может вылиться не только в долгие поиски виноватых, но и в значительные убытки, связанные как со стоимостью утекшей информации, так и с репутационными потерями. Поэтому лучше использовать DLP-систему для того, чтобы предотвращать утечки информации, а не расхлебывать потом их последствия – в конце концов, она именно для этого и была придумана. Поэтому если утечка информации уже произошла, нужно понять с её помощью, что именно нужно сделать, чтобы избежать подобных инцидентов в дальнейшем.