Как защитить данные юридической фирмы: 6 практических советов

Каждая сфера бизнеса имеет свои специфические риски в области информационной безопасности. Эта специфика зависит от видов информации, которую организация хранит и обрабатывает, от количества допущенных к ней людей и, конечно же, от технологий, используемых для работы с данными.

Например, в организациях, работающих в области здравоохранения, главным риском информационной безопасности является утечка медицинских сведений о пациентах, в финансовых организациях - данные банковских счетов клиентов, и так далее.

В юридических фирмах особую опасность несет, помимо прочего, намеренное или случайное разглашение коммерческой тайны клиентов, информации о патентах и объектах авторского права, а также переписка между адвокатами и их доверителями. Как показывает практика, утечки информации случаются тогда и там, где их меньше всего можно ожидать.

Ведь если речь идет о намеренном разглашении или краже конфиденциальной информации, то злоумышленники используют передовые технические методы и приемы социальной инженерии, что делает противостояние такими атакам довольно сложной задачей.

Если же говорить о ситуациях, когда утечка происходит по небрежности сотрудников, то здесь самым слабым звеном традиционно являются недостаточно обученные (в плане ИБ) сотрудники, пренебрегающие элементарной осторожностью при обращении с конфиденциальной информацией.

Здесь можно привести самые различные примеры. Сотрудник может перейти на сайт злоумышленников, в результате его компьютер будет заражен, и внедрившийся в систему "троян" отправит своим разработчикам файлы с компьютера. Или отправить конфиденциальный документ по электронной почте, не убедившись, что адресат является именно тем, кем он представился. Вариантов очень много.

Однако давайте перейдем от общих рассуждений к конкретным рекомендациям.

1. Привлекайте юристов среднего и верхнего звена к формированию политики информационной безопасности вашей фирмы.

Именно они лучше всего представляют себе общий рабочий процесс и могут дать конкретные рекомендации (что считать конфиденциальной информацией, а что нет, какие сведения можно или нельзя пересылать, кто из персонала должен иметь допуск к определенным сведениям, а кому лучше его ограничить, и так далее). Хорошо, если в фирме есть юрист, специализирующийся на законодательстве, относящемся к защите информации. А если нет - может, есть смысл его нанять?

2. Обеспечивайте всестороннюю защиту вашей сети

Речь идет о правильном использовании всех возможных средств защиты ваших электронных носителей и коммуникаций: следите за тем, чтобы антивирус, антиспам и фаервол и другое защитное ПО на ваших компьютерах и серверах работало и было в актуальном состоянии. Однако защита не исчерпывается техническими методами. Необходимо также объяснять сотрудникам (и регулярно напоминать им) что такое социальная инженерия, какие угрозы могут нести в себе мошеннические или зараженные сайты, как распознавать эти угрозы и противостоять им.

3. Контролируйте съемные носители

Около 65% сотрудников носят конфиденциальные данные своего работодателя на съемных носителях (флэшках и других). К такому выводу пришли специалисты компании CoSoSys в ходе испледования, проведенного во время конференции InfoSec Europe 2016. Разумеется, для юридической фирмы такая практика представляет значительную угрозу. Не обязстельно представлять себе ситуацию, когда инсайдер намеренно копирует рабочие сведения на флэшку с целью похищения. Это может быть добросовестный сотрудник, который носит на флэшке информацию, с которой работает, и в один "прекрасный" день потеряет эту флэшку на улице или в транспорте, или у него ее украдут.

Как с этим быть? Основных метода защиты три: разрешения использования только определенного списка "флэшек" в вашей фирме, а не всех подряд; шифрование всех данных, переносимых на эти флэшки, чтобы их можно было открыть только на определенных компьютерах; ведение журнала файлов, копируемых с компьютеров на флэшки и наоборот. Все три функции, как правило, предоставляются специализированным программным обеспечением для шифрования и контроля съемных носителей. У компании CoSoSys есть такое ПО, оно называется DriveLock.

4. Внимательно следите за тем, какие данные отправляются сотрудниками за пределы сети организации

Речь идет не только об электронной почте.В последнее время широкое распространение получили также сервисы хранения и совместной работы с файлами в интернете (например Dropbox, Google Drive, Yandex.Диск и тому подобные). Опасность состоит в том, что сотрудник отправит конфиденциальные данные не тому адресату или загрузит на не заслуживающий доверия сервис. Для предотвращения таких ситуаций и были созданы DLP-решения. Это специализированное ПО, позволяющее отслеживать информацию, отправляемую в интернет по различным каналам и, опционально, блокировать ее отправку. Внедрение DLP-системы в юридической фирме - важнейший и необходимый шаг, позволяющий обеспечить безопасность ее информации.

5. Защищайте конфиденциальную информацию на мобильных устройствах

Многие сотрудники используют для работы свои собственные портативные компьютеры, планшеты и даже смартфоны. При этом конфиденциальные данные фирмы оказываются на этих устройствах. Это создает целый список существенных рисков: устройство может быть утеряно или похищено вместе с информацией; данные могут быть украдены вредоносным ПО (так как безопасность устройства, как правило, в руках самого пользователя, который может оказаться некомпетентным или небрежным в вопросах ее обеспечения). Что же делать? Таким сотрудникам необходимо установить специальное программное обеспечение - MDM-модуль (Mobile Device Management - управление мобильными устройствами). MDM обеспечивает выполнение политик безопасности на мобильном устрйстве, снимая эту необходимость с пользователя. Например, при краже или утере устройства можно удаленно стереть находящиеся на нем данные; проверять, насколько надежные пароли стоят на аккаунтах пользователя; и даже применять разные политики безопасности в зависимости от местонахождения устройства - допустим, запрещать использование фотокамеры смартфона, если он находится на территории фирмы.

6. Контролируйте носимые устройства сотрудников.

Под "носимыми устройствами" подразумеваются не упомянутые в предыдущем пункте ноутбуки и смартфоны, а относительно новый вид "умных" устройств, которые уже получили распространение в зарубежных странах, и только начинают появляться у нас. Речь идет о различной мелкой портативной электронике вроде плееров с расширенными функциями и выходом в сеть, "умных" наручных часов, работающих под управлением Android, фитнес-трекерах и тому подобном. Хотя эти устройства и не задействованы в работе, но их функциональность позволяет, например, дистанционно включать прослушку происходящего в помещении, делать снимки, отслеживать местонахождение - и это далеко не всё. Можно легко представить себе ситуацию, когда взломанные "умные часы" на руке сотрудника превращаются в микрофон, прослушивающий Ваш офис, даже без ведома владельца устройства! Поэтому на подобных носимых устройтствах также необходимо устанавливать программное обеспечение MDM и применять политики безопасности. Таким образом вы устраните еще одно "слабое звено" в защите конфиденциальных данных вашей фирмы.

Угрозы информационной безопасности становятся всё многочисленнее и разнообразнее. Часто бывает так, что ИТ-служба организации закрывает одни угрозы, но забывает о других (или вовсе не знает о них). Существенно повысить уровень защиты корпоративных данных позволяет внедрение комплексного DLP и MDM решения, разработанного с учетом всех известных угроз ИБ и предоставляющих удобные инструменты централизованного контроля и предотвращения утечек. Одним из лучших решений в этом классе является продукт компании CoSoSys - Endpoint Protector 4.