Журнал "Директор по безопасности" Май 2020 | Page 8
4. Слабая политика безопасности в се-
вероамериканской Fresenius Medical Care.
Fresenius Medical Care, которая за-
нимается поставками продуктов и ока-
занием услуг пациентам с хронической
почечной недостаточностью в Северной
Америке, пострадала от серии точечных
утечек информации, связанных с прене-
брежением инструкциями по информа-
ционной безопасности.
Пострадавших в данном примере не-
много, всего 521 клиент, показательно
другое: в течение 2012 года утечки обна-
руживали пять раз. Fresenius Medical Care
не справились с внедрением и примене-
нием политики защиты персональных
данных и информационной безопасности.
Данные пользователей хранились на
компьютерах в незашифрованном виде,
переносились на личные носители: лич-
ный ноутбук с персональными данными
клиентов пропал из автомобиля одно-
го из сотрудников, у другого работника
компании украли флеш-карту, на кото-
рой хранилась информация по 254 клиен-
там. Третья кража произошла во время
технического обслуживания – пропал
жесткий диск с данными 35 клиентов.
Информация об этих кражах была
обнародована только в 2018 году.
Причины утечки.
Возможность копирования незашиф-
рованных личных данных клиентов на
персональные компьютеры и ноутбуки
сотрудников делала кражу информации
практически неизбежной.
Последствия для Fresenius Medical Care.
Компании пришлось выплатить по-
страдавшим 3,5 млн долларов. Репута-
ция Fresenius Medical Care серьезно по-
страдала.
Как можно было избежать утечки?
Обязательных требований по шифро-
ванию данных клиента в российском за-
конодательстве нет, однако снизить ри-
ски утечки можно и другими способами.
Например, управляя правами сотрудни-
ков на доступ к информации, копирова-
ние и сохранение данных на внешних
носителях.
Создав «белый список» USB-устройств
и настроив категории документов с огра-
ниченным доступом, можно выдать пра-
ва на доступ к информации только тем
ответственным сотрудникам, которым
она необходима для работы.
StaffCop позволяет реализовать по-
литику безопасности: настроить «белый
список» устройств для копирования или
вообще запретить копирование данных
на внешние носители.
В модуле «Метки и контроль досту-
па» можно создать отдельные категории
для конфиденциальных документов с
разными ограничениями доступа.
После группировки документов по
спискам ограниченного доступа можно
получить полный контроль над исполь-
зованием данных, минимизировать ри-
ски утечки информации и своевремен-
но среагировать, если кража данных
все-таки произойдет.
5. Китайские конкуренты AMSC.
Данный пример отлично иллюстри-
рует тенденцию китайских компаний к
присвоению разработок и достижений
европейских коллег. Часто кража техно-
логий поддерживается правительством
Китая, и потому потери для пострадав-
шей компании могут быть весьма значи-
тельными.
Деян Карабасевич, бывший глава
инженерно-технического отдела AMSC,
часто летал в Китай по делам службы.
В Китае он принял предложение от од-
ного из конкурентов компании, фирмы
Sinovel, и передал исходные коды про-
граммного обеспечения турбин AMSC.
Сделка принесла ему 20 тыс. долларов, а
также обещание шестилетнего контрак-
та на сумму 1,7 млн долларов.
Карабасевич подал заявление на
увольнение в марте 2011 года, однако
доступ к серверам AMSC сохранялся у
него на протяжении нескольких месяцев
после ухода. Расследование также уста-
новило, что он вел переписку с китай-
скими конкурентами по e-mail, обсуж-
дая исходные коды.
Расследование было инициировано
после того, как Sinovel, собрав турби-
ны на основании исходных кодов AMSC,
продал продукт в Массачусетс, где ком-
пания, собирающая турбины, заметила
идентичность кодов Sinovel и AMSC, о
чем и сообщила пострадавшей стороне.
Причины утечки.
Карабасевич был главой отдела и имел
привилегированный доступ к информа-
ции, а частые командировки в Китай по-
могли ему установить отношения с конку-
рентами. К тому же злоумышленник мог
бесконтрольно переписываться с покупа-
телями конфиденциальных данных.
Последствия для AMSC и Sinovel.
После передачи кодов AMSC лиши-
лась основного клиента – Sinovel Wind
Group просто отказалась от поставок
компонентов AMSC. За несколько меся-
цев акции пострадавшей компании об-
валились на 84 %, а потери составили
более 1 млрд долларов.
Судебное разбирательство дли-
лось шесть лет, и в 2018 году суд обя-
зал Sinovel выплатить 1,5 млн долларов
штрафа, а также компенсацию AMSC в
размере 57,5 млн долларов и 850 тыс.
долларов всем косвенно пострадавшим
от утечки информации.
Как можно было избежать утечки
данных?
Одним из ключевых моментов в ра-
боте службы безопасности является
контроль за перепиской пользователей,
особенно ведущих переговоры с конку-
рирующими компаниями.
Наилучшим образом с проблемой
утечки данных справляется мониторинг
почты и мессенджеров сотрудников по
ключевым словам, связанным с интел-
лектуальной собственностью компании.
Резюме
Утечка данных через инсайдера может
произойти в любой компании, однако
комплексная система защиты информа-
ции и использование знаний о произо-
шедших ранее утечках помогут миними-
зировать риски кражи информации.
Максимальную безопасность обе-
спечивает постоянный мониторинг
прав сотрудников и сторонних поль-
зователей на доступ к информации.
Необходимо своевременно закрывать
доступ к информации всем уволенным
сотрудникам и ограничивать круг лиц,
которым закрытые данные необходимы
для работы. Для гибкой настройки по-
дойдет StaffCop – удобная система мо-
ниторинга с широким набором инстру-
ментов для контроля за возможными
нарушителями.
Также необходима готовность прове-
сти расследование при подозрениях на
угрозу нарушения информационной без-
опасности и регламент действий при об-
наружении утечки информации через со-
трудника или стороннего пользователя.
Наилучшим образом
с проблемой утечки данных
справляется мониторинг почты
и мессенджеров сотрудников
по ключевым словам,
связанным с интеллектуальной
собственностью