Журнал "Директор по безопасности" Май 2020

4. Слабая политика безопасности в се- вероамериканской Fresenius Medical Care. Fresenius Medical Care, которая за- нимается поставками продуктов и ока- занием услуг пациентам с хронической почечной недостаточностью в Северной Америке, пострадала от серии точечных утечек информации, связанных с прене- брежением инструкциями по информа- ционной безопасности. Пострадавших в данном примере не- много, всего 521 клиент, показательно другое: в течение 2012 года утечки обна- руживали пять раз. Fresenius Medical Care не справились с внедрением и примене- нием политики защиты персональных данных и информационной безопасности. Данные пользователей хранились на компьютерах в незашифрованном виде, переносились на личные носители: лич- ный ноутбук с персональными данными клиентов пропал из автомобиля одно- го из сотрудников, у другого работника компании украли флеш-карту, на кото- рой хранилась информация по 254 клиен- там. Третья кража произошла во время технического обслуживания – пропал жесткий диск с данными 35 клиентов. Информация об этих кражах была обнародована только в 2018 году. Причины утечки. Возможность копирования незашиф- рованных личных данных клиентов на персональные компьютеры и ноутбуки сотрудников делала кражу информации практически неизбежной. Последствия для Fresenius Medical Care. Компании пришлось выплатить по- страдавшим 3,5 млн долларов. Репута- ция Fresenius Medical Care серьезно по- страдала. Как можно было избежать утечки? Обязательных требований по шифро- ванию данных клиента в российском за- конодательстве нет, однако снизить ри- ски утечки можно и другими способами. Например, управляя правами сотрудни- ков на доступ к информации, копирова- ние и сохранение данных на внешних носителях. Создав «белый список» USB-устройств и настроив категории документов с огра- ниченным доступом, можно выдать пра- ва на доступ к информации только тем ответственным сотрудникам, которым она необходима для работы. StaffCop позволяет реализовать по- литику безопасности: настроить «белый список» устройств для копирования или вообще запретить копирование данных на внешние носители. В модуле «Метки и контроль досту- па» можно создать отдельные категории для конфиденциальных документов с разными ограничениями доступа. После группировки документов по спискам ограниченного доступа можно получить полный контроль над исполь- зованием данных, минимизировать ри- ски утечки информации и своевремен- но среагировать, если кража данных все-таки произойдет. 5. Китайские конкуренты AMSC. Данный пример отлично иллюстри- рует тенденцию китайских компаний к присвоению разработок и достижений европейских коллег. Часто кража техно- логий поддерживается правительством Китая, и потому потери для пострадав- шей компании могут быть весьма значи- тельными. Деян Карабасевич, бывший глава инженерно-технического отдела AMSC, часто летал в Китай по делам службы. В Китае он принял предложение от од- ного из конкурентов компании, фирмы Sinovel, и передал исходные коды про- граммного обеспечения турбин AMSC. Сделка принесла ему 20 тыс. долларов, а также обещание шестилетнего контрак- та на сумму 1,7 млн долларов. Карабасевич подал заявление на увольнение в марте 2011 года, однако доступ к серверам AMSC сохранялся у него на протяжении нескольких месяцев после ухода. Расследование также уста- новило, что он вел переписку с китай- скими конкурентами по e-mail, обсуж- дая исходные коды. Расследование было инициировано после того, как Sinovel, собрав турби- ны на основании исходных кодов AMSC, продал продукт в Массачусетс, где ком- пания, собирающая турбины, заметила идентичность кодов Sinovel и AMSC, о чем и сообщила пострадавшей стороне. Причины утечки. Карабасевич был главой отдела и имел привилегированный доступ к информа- ции, а частые командировки в Китай по- могли ему установить отношения с конку- рентами. К тому же злоумышленник мог бесконтрольно переписываться с покупа- телями конфиденциальных данных. Последствия для AMSC и Sinovel. После передачи кодов AMSC лиши- лась основного клиента – Sinovel Wind Group просто отказалась от поставок компонентов AMSC. За несколько меся- цев акции пострадавшей компании об- валились на 84 %, а потери составили более 1 млрд долларов. Судебное разбирательство дли- лось шесть лет, и в 2018 году суд обя- зал Sinovel выплатить 1,5 млн долларов штрафа, а также компенсацию AMSC в размере 57,5 млн долларов и 850 тыс. долларов всем косвенно пострадавшим от утечки информации. Как можно было избежать утечки данных? Одним из ключевых моментов в ра- боте службы безопасности является контроль за перепиской пользователей, особенно ведущих переговоры с конку- рирующими компаниями. Наилучшим образом с проблемой утечки данных справляется мониторинг почты и мессенджеров сотрудников по ключевым словам, связанным с интел- лектуальной собственностью компании. Резюме Утечка данных через инсайдера может произойти в любой компании, однако комплексная система защиты информа- ции и использование знаний о произо- шедших ранее утечках помогут миними- зировать риски кражи информации. Максимальную безопасность обе- спечивает постоянный мониторинг прав сотрудников и сторонних поль- зователей на доступ к информации. Необходимо своевременно закрывать доступ к информации всем уволенным сотрудникам и ограничивать круг лиц, которым закрытые данные необходимы для работы. Для гибкой настройки по- дойдет StaffCop – удобная система мо- ниторинга с широким набором инстру- ментов для контроля за возможными нарушителями. Также необходима готовность прове- сти расследование при подозрениях на угрозу нарушения информационной без- опасности и регламент действий при об- наружении утечки информации через со- трудника или стороннего пользователя. Наилучшим образом с проблемой утечки данных справляется мониторинг почты и мессенджеров сотрудников по ключевым словам, связанным с интеллектуальной собственностью

Журнал "Директор по безопасности" Май 2020 | Page 8