Проблема хищения клиентских баз данных на предприятии и меры по ее предупреждению

Размещено на http://www.allbest.ru/

проблема хищения клиентских баз данных на предприятии и меры по ее предупреждению

С.В. Марданова

(Науч. руководитель к.ф.н., доцент Воеводкин Н.Ю.)

ПГНИУ, г. Пермь

В 2013 году самым распространенным видом утечки информации стало хищение клиентских баз данных. По результатам проведенного опроса АЦ Zecurion Analytics в 2013 году среди руководителей крупных коммерческих предприятий, можно сделать вывод о том, что в 54,1 % случаев утечки конфиденциальной информации происходили по вине сотрудников, как работающих в компании, так и уволенных.

Цель исследования - анализ современных технологий и методов защиты конфиденциальной информации предприятия, а именно базы данных клиентов.

Объектом исследования является система защиты информации в коммерческих предприятиях.

Предмет исследования - сохранность базы данных клиентов на предприятии.

Методы, используемые в статье: методы эмпирического исследования (наблюдение, описание) и общелогические методы и приёмы исследования (анализ, обобщение).

Прежде чем анализировать проблему хищения клиентских баз данных необходимо определиться с понятиями «конфиденциальность» и «информационная безопасность».

Конфиденциальность - защита от несанкционированного доступа или обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. [1]

Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования предприятия и в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, базам данных.[2]

Условия, при которых информация может быть отнесена к конфиденциальной:

-действительная или потенциальная коммерческая ценность информации в силу ее не известности третьим лицам;

-отсутствие свободного доступа к этой информации на законном основании;

-принятие обладателем информации не обходимых мер к охране ее конфиденциальности. [2] Таким образом, обеспечение конфиденциальности информации содержит 2 аспекта:

1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной;

2. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;

Если эти условия не будут выполняться, у предприятия не будет оснований для привлечения сотрудников к ответственности за разглашение конфиденциальной информации.

Согласно аналитике наблюдается рост утечек конфиденциальной информации за период 2006-2013 гг.

Рис. 1. Количество утечек в динамике

В 2013 году зарегистрировано 1143 случая утечки конфиденциальной информации, в том числе 708 случаев утечки клиентских баз данных.[5] Это на 22,3% больше, чем в 2012 году (934 утечки, клиентских БД - 579) и на 82,7 % больше чем в 2006 году (198 утечек, в том числе клиентских БД - 118).

Рис. 2. Анализ инцидентов по отраслям на 2013 год, доли

безопасность информационный разглашение конфиденциальный

Согласно диаграмме 2 можно сделать вывод о том, что большую часть в структуре инцидентов, составляет утечка персональных данных клиентов [5], что также подтверждает существование вышеуказанной проблемы.

Основная проблема защиты информации в России заключается в том, что если потери не выражены в конкретных цифрах, то сохранение клиентской базы данных перестает быть неотъемлемой частью основного бизнес - процесса.

Провести точную оценку ущерба от хищения баз данных крайне сложно. Если сотрудник «вынес» информацию о клиентах, то предприятие претерпевает как прямой, так и косвенный ущерб.[4]

Прямой ущерб складывается из следующих затрат:

- Проведение расследования и выявление причины инцидента;

- Оплата услуг консультантов по безопасности;

- Закупка и внедрение решений для минимизации риска аналогичных инцидентов;

-Оплата услуг юристов в случае судебных разбирательств;

Косвенный ущерб:

- Падение престижа и репутации фирмы в глазах существующих и потенциальных клиентов;

- Потеря ряда существующих клиентов;

- Затруднение в привлечении новых клиентов.

Сложнее оценить косвенный ущерб, который позиционируется как упущенная выгода.

Также создает проблему в борьбе с хищением клиентских баз данных то, что на рынке существует спрос на базы данных. Многие компании предлагают купить базы данных с несколькими тысячами записей по привлекательной цене. Купленные базы данных позволяют незамедлительно осуществлять коммуникации с клиентами, предлагая свои услуги и продукцию с помощью рассылки и «холодных звонков», что и создает интерес у компаний, приобретающих такие базы данных, особенно начинающих.

Осложняет решение проблемы и ситуация в российской корпоративной среде, которая складывается таким образом, что сотрудники компаний, непосредственно работающие с клиентами, считают, что клиентская база является их личной собственностью, а не собственностью компании. И на этом основании считают, что могут "своих" клиентов увести из компании к компании-конкуренту.

Рис. 3. Характер утечек на 2013 г.

На данный момент не существует панацеи от утечки информации, однако существует ряд мер по её предотвращению.

Первостепенными мероприятиями будут обязательное включение в трудовой договор пункта о неразглашении конфиденциальной информации и коммерческой тайне и проведения беседы-инструктажа по работе с информацией, содержащей данные о клиентах.

Принимая во внимание распространенность злонамеренных утечек, при приёме на работу с сотрудником может иметь место договоренность о том, что он при уходе оставляет компании «своих» клиентов на определенный срок, получая оплату, близкую по размерам к зарплате. За этот срок новый сотрудник войдет в доверие к клиентам, что затруднит возможность увести их из компании.

А при необходимости в увольнении сотрудника, данная процедура должна проходить максимально дружественно. Кроме выплат согласно ТК РФ, работодатель может осуществить помощь в поиске новой работы, написании рекомендательного письма.

В случае установления фактов невыполнения сотрудниками требований по защите информации к ним должны в обязательном порядке и своевременно применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка: объявление выговора, понижение в должности, лишение премии, отстранение от работы с конфиденциальной информацией, увольнение. Важно, чтобы наказание было неотвратимым и своевременным, невзирая на статус и должность сотрудника.

Кроме того, нужно учитывать, что сотрудники фирмы, работающие с персональными данными клиентов, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Ограничение свободы человека может приводить к стрессам, нервным срывам. А здоровый психологический климат в коллективе компании создает условия, позволяющие снизить вероятность возникновения инцидентов с хищением баз данных клиентов.

Для сотрудника фирмы часто важно не столько денежное вознаграждение, которое он получает за труд, сколько та доброжелательная обстановка, которая существует в коллективе, уверенность в том, что его уважают как специалиста, ценят его упорный труд, и он может надеяться на продвижение по службе.

Здоровый психологический климат должен включать в себя следующие основные элементы:

- постоянное изучение и анализ комплекса качеств каждого сотрудника фирмы, т. е. знание каждого сотрудника в отдельности;

- создание реальных условий для продвижения сотрудников по службе или повышение оклада с учетом их трудовых достижений;

- оплата фирмой обучения или переподготовки способных и ценных для фирмы сотрудников;

- формирование отношения к сотрудникам как самостоятельным членам коллектива, участие персонала в выработке решений;

- реализация на практике гибкой, не травмируемой системы увольнений;

- строгое выполнение работодателем норм по технике безопасности и охране труда, создание наилучших условий для работы сотрудников и их отдыха;

- организация благоприятных условий для проведения отпусков и выходных дней сотрудников;

- своевременное выявление и сотрудничество с неформальными лидерами в коллективе;

- заинтересованное соучастие руководства компании в решении сотрудниками своих личных и бытовых затруднений;

- охрана персонала, гарантия юридической и физической защиты в случае попыток криминальных действий злоумышленника по отношению к ним, их родственникам и близким людям. [3]

При хорошем психологическом климате сотрудники доброжелательно относятся к любым ограничениям, связанным с функционированием системы защиты информации, добровольно, с пониманием важности выполняют все требования этой системы.

В связи с этим психологический настрой коллектива и отдельных сотрудников всегда должен находиться в центре внимания руководства компании.

К техническим мерам контроля можно отнести применение DLP-систем, например InfoWatch Traffic Monitor Enterprise.

Такие системы позволяют осуществлять мониторинг данных, отправляемых за пределы корпоративной сети по электронной почте, через Интернет и системы обмена сообщениями, проводить анализ перехваченных данных с целью выявления информации, нелегитимно покидающей пределы сети компании, организовать хранение проанализированных данных для проведения расследований и создания подробных отчетов. [6] А также позволяют обнаружить повышенную активность по отношению к информации, содержащей данные клиентов, контроль использования USB-устройств, контроль пребывания на рабочем месте во внерабочее время.

Учитывая наличие проблем, препятствующих предотвращению хищения баз данных клиентов и темп роста подобных инцидентов, реализация вышеуказанных мер должна носить постоянный и комплексный характер.

Список литературы

1. Российская Федерация. Законы. О коммерческой тайне от 29 июля 2004 № 98 - ФЗ: информация, составляющая коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющей коммерческую тайну // Собрание актов Президента и Правительства РФ. - № 7. - С.5.

2. Российская Федерация. Законы. Об утверждении Перечня сведений конфиденциального характера от 06.03.97 № 188: указ Президента РФ // Собрание актов Президента и Правительства РФ. - 1993. - № 23. С.12 - 14.

3. Базаров, Т. Ю. Управление персоналом / Т. Ю. Базаров, Б. Л. Еремин. - М.: Знание, 2005. - 369 с.

4. Защита информации на уровне баз данных как компонент системы безопасности корпоративных информационных систем / Л.А. Сысоева // Секретарское дело. - 2005. - № 3. - С.29 - 34.

5. Отчёт об утечках конфиденциальной информации в 2013 году http://www.zecurion.ru/press/analytics/

6. Современное DLP-решение для защиты данных InfoWatch Traffic Monitor Enterprise http://www.infowatch.ru/products/traffic_monitor_enterprise

Размещено на Allbest.ru