Промышленный шпионаж остается одним из самых распространенных способов кражи данных в различных сферах бизнеса. Не смотря на катастрофические темпы роста случаев утечки информации, многие владельцы компаний все еще не рассматривают эту проблему, как потенциальную угрозу, и, естественно не предпринимают никаких шагов для снижения рисков. Чаще всего это связанно с мифами о корпоративном шпионаже, получившими широкое распространение. И сегодня мы поговорим именно о них.
Миф 1: промышленный шпионаж меня не касается
Это самый распространенный миф. Большинство топ-менеджеров искренне полагает, что корпоративный шпионаж угрожает только очень узкому кругу компаний, связанных с обороной, разработкой сверхсовременных технологий и промышленным гигантам. В реальности под прицелом оказывается гораздо больший спектр целей.
По данным статистики ежегодно в США компании теряют около 300 миллиардов долларов из-за краж интеллектуальной собственности. В мировом масштабе эта цифра составляет около 1,7 триллиона. Генерал Кейт Александер, бывший директор Агентства Национальной Безопасности, считает, что хищение данных – один из наиболее прибыльных способов мошенничества, и его распространение набирает обороты с каждым днем.
По данным исследований подразделения по противодействию шпионажу при Федеральном Бюро Расследований, за прошедший год количество случаев промышленного шпионажа выросло на 53%. Угроза настолько серьезна, что ФБР проспонсировало социальную рекламу, снятую на одной из Голливудских студий. Ролик призван предупредить владельцев бизнеса о серьезности угрозы и простимулировать сделать ревизию систем защиты информации.
Миф 2: мы слишком маленькие, чтобы стать целью
В случаях кражи интеллектуальной собственности – размер не имеет значения. В большинстве случаев злоумышленники совершают атаки именно на маленькие компании, так как их системы безопасности находятся на самом примитивном уровне. На арене киберпреступлений около 30% жертв это компании с менее чем 150 сотрудниками. Не стоит также забывать о еще одной привлекательной черте маленьких целей – они часто сотрудничают с крупными организациями. Поэтому атака на местную фирму может стать всего лишь первым этапом в ловле большой рыбы — проникновении в информационный периметр «старшего» партнера. При этом катастрофический финансовый ущерб понесут абсолютно все и в равной степени.
Чтобы стать жертвой злоумышленников не обязательно быть транснациональной корпорацией, а хакерская атака – далеко не единственная угроза. Представители американских служб разведки провели тщательный анализ краж интеллектуальной собственности за последние 50 лет, и выяснили, что причиной утечки в 85% является инсайдер. Именно сотрудники компании, бизнес-партнеры или даже руководители «сливают» информацию конкурентам.
Недооценка опасности – первый шаг на пути к роли жертвы. Если компании есть, что продавать, значит, у нее есть то, что можно украсть.
Миф 3: защита цифровой информации – гарантированный щит от злоумышленников
Очень многие стратегии проникновения внутрь информационного периметра компании не связаны с прямыми хакерскими атаками. Использование инсайдеров уже стало классикой шпионажа. Кроме того в последние годы взошла звезда новой угрозы – социальной инженерии. Объединяет обе стратегии два фактора: программные средства проникновения играют всего лишь роль второй скрипки, а успех достигается за счет использования человеческого фактора.
В 2012 году одно из крупных аэрокосмических агентств потеряло сверхважную коммерческую информацию, из-за того, что один из сотрудников «продался» конкурентам из Китая. Процесс кражи был предельно прост. Работник распечатал секретные данные на принтере и отправил их по факсу. DLP-системы компании были рассчитаны на противодействие кражам электронных данных, и никто не озаботился мониторингом принтеров и отслеживанием перемещений печатной документации. К моменту обнаружения утечки инсайдер благополучно покинул страну.
Миф 4: утечка данных – не причина для банкротства
Если ценная информация попадет в чужие руки – бизнес все еще будет прибыльным? К сожалению, в большинстве случаев ответ – нет.
В 2014 один из крупных поставщиков специального оборудования для правительства США подвергся атаке хакеров, результатом которой стала крупная утечка информации. Правительство США, сделавшее за год до этого заказов на сумму в 340 миллионов долларов, моментально прекратило сотрудничество с компанией. Буквально в течение 3х месяцев фирма потеряла абсолютно всех заказчиков и обанкротилась. Вот так легко утечка данных может убить компанию с многомиллионным оборотом.
Защита от корпоративного шпионажа требует постоянной бдительности, совершенствования систем безопасности и всестороннего наблюдения. Необходима комплексная стратегия, включающая использования систем, позволяющих вести борьбу с программным вторжением, мониторингом перемещения цифровых данных и наблюдением за персоналом. Ведь «человеческий фактор» был, есть и будет основной угрозой безопасности организации. Развитие собственного бизнеса или возможность получения дополнительного заработка от конкурентов может подтолкнуть к совершению преступления даже самого лояльного работника.
Не стоит также забывать о том, что в век интернета и цифровых носителей, электронные каналы коммуникации не единственный способ похитить ценную коммерческую информацию. Старая добрая бумага – вот один из основных источников утечек. Вы знаете, что распечатал сотрудник на принтере? В лучшем случае книгу или интересную статью. А в худшем – список клиентов или чертежи и схемы новых разработок.
Вместо заключения — несколько интересных фактов, собранных различными специалистами в области информационной безопасности.
- Зарегистрированные атаки с использованием инсайдеров составили 47% от общего количества утечек информации. Онлайн атаки – 33,8%.
- В среднем, за одну утечку информации компании теряют от 2400 до 8350 персональных данных (данные о клиентах, партнерах, медицинские карточки и т.д.).
- В 70% случаев атакам подвергаются учреждения здравоохранения, образования и правительственные организации. Медицина в течении последних лет остается печальным рекордсменом по количеству утерянных данных.
- Январь – наиболее популярный период для хищения информации — до 24 миллионов персональных данных. В остальные месяцы эта цифра колеблется на уровне 12 миллионов.
- В 66% случаев утечка информации остается необнаруженной в течение месяца или больше.
- Более 46% украденных корпоративных ноутбуков содержат ценную коммерческую информацию.
- Средняя стоимость похищенного ноутбука составляет 49 246 долларов. 2% — стоимость замены ноутбука, остальное — цена похищенной информации.
- К 2020 75% коммерческих или правительственных данных будут похищены.
- В 70% случаев коммерческую информацию похищал инсайдер, собиравшийся уволиться в течение 30 дней.
- Около 50% утечек данных саботаж бывших работников IT-отдела, сохранивших доступы.
- Большую часть хищений интеллектуальной собственности совершили мужчины в возрасте около 37 лет, занимающие должности инженеров, программистов, менеджеров.
- 65% сотрудников, укравших информацию, на момент преступления уже получили предложение о работе у конкурента или начали свой бизнес. 20% — получили предложение после хищения данных.
- 75% инсайдеров украли информацию, к которой у них было право доступа. В 52% данные были проданы конкурентам.
- 54% инсайдеров использовали электрону почту, облачные сервера и фалообменники для передачи украденных данных. Остальные предположительно передавали распечатанную документацию.
