К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

По следам Google Docs: как избежать утечки корпоративных документов

Фото Yui Mok / PA Images via Getty Images
Фото Yui Mok / PA Images via Getty Images
Инцидент с утечкой документов с хранилища Google заставит компании пересмотреть подходы к использованию публичных сервисов

На пленарной сессии Международного конгресса по кибербезопасности 6 июля Герман Греф предложил экспертному сообществу ответить на вопрос, от кого, по их мнению, исходит наибольшая киберугроза. Самым популярным стал ответ: «От хранителей персональной информации»,: так считают 44,3% респондентов. Гораздо меньше специалисты по информационной безопасности боятся хакеров и мошенников (27,2%), правительства (19,0%) и других людей (9,5%). История с утечкой Google Docs отлично показывает, насколько правы эти 44,3%.

Вечером 4 июля 2018 года поисковик «Яндекс» проиндексировал документы Google Docs, не защищенные настройками приватности. Утечки различного рода случались и раньше, но эта получила широкий резонанс: в сеть попало много чувствительной корпоративной информации, включая списки сотрудников с их персональными данными и пароли от корпоративных ресурсов. Многие из попавших в открытый доступ документов оказались доступными для редактирования и подверглись вандализму.

Почему это произошло? Статистика утечек конфиденциальной информации показывает, что большая часть подобных инцидентов связана не со злым умыслом, а с элементарным человеческим фактором. Современный пользователь привык к удобству, а рынок корпоративного программного обеспечения не успевает за стремительным развитием технологий и не может оперативно предоставлять для работы дружелюбные интерфейсы.

 

Уровень грамотности в области информационной безопасности у рядовых пользователей достаточно низкий. И если в корпоративной среде данную проблему понимают и пытаются дополнительно повышать уровень грамотности сотрудников, то в обычной жизни люди идут по пути наименьшего сопротивления (слабые пароли, настройки доступа по-умолчанию, хранение конфиденциальной информации в общедоступных файлах и т. д.) Это приводит к тому, что многие переносят свои личные привычки использования публичных сервисов в корпоративную среду и выкладывают в сеть не только личные, но и конфиденциальные корпоративные файлы, таким образом усиливая синергетический эффект от угроз информационной безопасности, понижая уровень защищенности корпоративных процессов и подвергая свои личные данные угрозе компрометации.

Что это означает для пользователей? Если сотрудники компании используют публичные сервисы для хранения корпоративных документов и совместной работы с ними, ответственность за контроль распространения информации лежит на них. Сотрудникам государственных ведомств в России в принципе запрещено использование публичных сервисов для хранения служебных материалов.

 

Но действия сотрудников вовсе не снимают ответственности с профильных подразделений компании. Когда предприятие начинает внедрять облачные сервисы, ему становится гораздо сложнее контролировать распространение служебной информации, осуществлять мониторинг нестандартного поведения пользователей и интегрировать используемые во внешнем облачном сервисе подходы в свою корпоративную систему информационной безопасности.

По нашему опыту, многие компании даже при наличии корпоративной подписки на публичные офисные сервисы предпочитают хранить и обрабатывать документы в собственной корпоративной сети. Сегодня на рынке представлены различные программные продукты, позволяющие создавать удобное пользователям защищенное корпоративное пространство с собственным хранилищем. Отечественные системы безопасности для частного облака контролируют доступ к данным, проверяют надежность паролей, управляют пользователями и могут быть развернуты даже в системах самого высокого класса защиты. Использование этих систем в комплексе исключает возможность массового ошибочного распространения служебной информации вне компании.

Главная рекомендация для организаций, которым необходима работа с файлами в любое время суток из любого места, — избегать хранения и обработки служебных документов в публичных облаках. Использование публичных сервисов — это прямой путь к увеличению неуправляемых рисков утечки, которые могут свести на нет все преимущества.

 

Искренне надеюсь, что данный инцидент заставит компании, пострадавшие в рамках последних событий, сделать выводы — оптимизировать свои процессы, обеспечить контроль использования корпоративных сервисов и программного обеспечения, а также пересмотреть подходы к использованию публичных сервисов.

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+