Приземлить облака
Как предотвратить утечку данных через общедоступные сервисы
Google Диск, Dropbox и другие облачные сервисы — удобная вещь для работы. Важные данные всегда под рукой. Но знаете ли вы, ЧТО хранят в общих сервисах ваши сотрудники? Возможно, это информация конфиденциального характера? Или коммерческие секреты компании?
Как проконтролировать использование на работе публичных облачных сервисов, рассказывает Артур Скок, эксперт по внедрению систем защиты проекта «Контур-Безопасность» компании СКБ Контур.
— Насколько велики масштабы использования сотрудниками общедоступных облачных сервисов?
— По оценкам компании Gartner, к 2016 году 50% крупных предприятий столкнутся с хранением данных своими пользователями в публичных ИТ-сервисах. А к 2017 году эти цифры достигнут 90%.
— Какие меры необходимо принять руководителям компании и ИТ-службы, чтобы предотвратить утечку данных через общедоступные сервисы?
— Сначала стоит задуматься, почему сотрудники используют публичные облачные сервисы для работы. Причиной может быть производственная необходимость. Например, регулярно требуется отправлять или получать большие файлы, а в компании для этого нет подходящих инструментов. Или требуется общая система взаимодействия для командной работы. В таком случае пора задуматься о развитии своей информационной системы. Для командной работы выбрать сервисы взаимодействия, например Asana или Trello. Для внешнего файлообмена выбрать сервисы, которые шифруют все хранящиеся в них данные уникальным ключом, например Mega или Trend Micro SecureCloud.
Если сотрудникам требуется мобильность, а все данные необходимо синхронизировать, лучше предоставить им защищенный доступ к сетевой инфраструктуре на ваших правилах безопасности. В противном случае конфиденциальные данные легко могут попасть в общий доступ.
Причиной использования облачных сервисов может быть отсутствие корпоративной ИТ-культуры, когда каждый пользователь применяет удобный для него сервис. Здесь вопрос решается введением политики безопасности, отключением некоторых веб-ресурсов и банальным контролем.
В итоге проблему с облачными сервисами лучше решать в два этапа:
- Модернизация существующей системы с учетом потребностей и некоторая «легализация» использования облачных сервисов и SaaS-систем.
- Отключение всех «нелегализованных» сервисов.
— Во втором случае сотрудники начинают искать обходные пути. Как провести это отключение корректно?
— Нужно подойти к вопросу комплексно: ознакомить под расписку сотрудников со списком разрешенных и запрещенных ресурсов, организацией технического ограничения доступа.
При вводе технических ограничений следует оценить, зачем определенным лицам та или иная информация. После этого разобраться с правами доступа в имеющихся приложениях и файлах. На сетевых фильтрах ограничить работу протоколов, которыми пользуются облачные ресурсы. На рабочих местах отключить возможность установки какого-либо ПО без согласования с руководством. Веб-сервисы так или иначе будут присутствовать в компании как инструменты решения ряда задач. Для того чтобы контролировать циркуляцию данных в сети организации и пресекать попытки вывода за пределы ее периметра, можно установить систему предотвращения утечек информации.
