САМАЯ СЛАБАЯ БРЕШЬ В КОНФИДЕНЦИАЛЬНОСТИ — ЭТО ЛЮДИ

Одним из моих давних профессиональных интересов являются вопросы, связанные с соблюдением конфиденциальности, методами её обхода и способами защиты.

Статистика — дама упрямая: в 8 из 10 случаев к нарушению режима конфиденциальности причастны именно сотрудники. Чаще всего это внутренняя утечка, а не филигранная внешняя атака (об этих угрозах мы как-нибудь поговорим отдельно).

Внутренние утечки можно условно разделить на две категории: Злонамеренные: когда цель — осознанно переслать, скопировать или продать данные конкурентам.

Случайные: когда из-за легкомыслия, небрежности, «кривых» бизнес-процессов или обычной неосведомленности сотрудник рассылает секреты компании направо и налево.

На этом фоне вспомнился один показательный случай, доказывающий: даже в самой строгой организации ошибка линейного исполнителя может обнулить любую систему безопасности.

Вели мы как-то переговоры с одним крупным банком. Естественно, их финмониторингу нужно всё: учредительные документы, протоколы, балансы, породы собак бенефициаров, предпочтения по фильмам и образцы крови каждого участника сделки.

Заполняя очередную бесконечную анкету, я зацепился за один пункт в перечне документов.

Пишу менеджеру банка: — У нас такого документа нет. Мне отвечают: — Да точно есть, вы посмотрите внимательнее, он такой красивый и блестящий. — Да нет же! Мы таких не держим и никогда не оформляли. В ответ мне прилетает письмо: — Ну как нет? Он вот так должен выглядеть! И во вложении, «в качестве примера», мне скидывают скан реального, весьма занимательного корпоративного документа другого клиента их отдела. С «живыми» печатями, подписями и очень интересными суммами.

Следующим моим письмом было жесткое требование подписать NDA (соглашение о неразглашении), без которого мы работать не будем. Видимо, сообразив, что она только что «слила» банковскую тайну посторонним людям, менеджер начала слать панические сообщения с просьбами «не смотреть, немедленно удалить и забыть».

Увы, память у нас хорошая, а руки длинные. С данным банком мы работать не стали. От греха подальше.

В качестве итога: Компания может тратить миллионы на кибербезопасность, покупать дорогущие фаерволы и внедрять DLP-системы. Но пока рядовой сотрудник может просто нажать кнопку «Переслать» или прикрепить файл, не глядя во вложение, — все ваши тайны под угрозой.

Человеческий фактор — это та самая уязвимость, которую невозможно «запатчить» обновлением софта. Только обучение, дисциплина и жесткие регламенты.

#ИнформационнаяБезопасность #УтечкаДанных #ЧеловеческийФактор #БанковскаяТайна #Коммерческаятайна #Переговоры #NDA #Конфиденциальность #Кибербезопасность