Проводя пресейл или аудит часто приходится слышать:
- ip телефония нам не нужна, мы работаем 5-10 лет вместе и все друг о друге знаем
- не хотим мы вашу CRM - наши данные уйдут в “облако” и будут доступны всем
- нам не нужно следить за сотрудниками - они обидятся
Развеем эти и другие мифы и покажем вам реальные угрозы для вашего бизнеса.
В этой статье мы не будем говорить о вреде холестерина или опасностях укуса морской гадюки. Мы рассмотрим угрозы, которые несет нарушение правил контроля и информационной безопасности, т.е. потери или воровство информации, денег и деловой репутации.
Если опросить владельцев и руководителей малого и среднего бизнеса, основными угрозами для работы они считают: нестабильность экономической ситуации, пандемию, действия законодательной власти, силовых структур, проверки налоговой службы или трудовой инспекции. В этот хит-парад вряд ли попадут угрозы информационной безопасности. Мы хотим осветить альтернативную сторону вопроса.
Внутренние угрозы экономической безопасности. Суровая статистика.
Традиционно руководители предприятий склонны доверять сотрудникам. Как показывают исследования инцидентов информационной безопасности за 2020 год по странам бывшего СНГ 24% руководителей предприятий отметили рост внутренних инцидентов нарушения информационной безопасности. С утечкой данных столкнулось 55% компаний!
В списке специалистов, которые чаще всего становятся нарушителями, – менеджеры по работе с клиентами, менеджеры снабжения и бухгалтеры. Цифры подтверждают опасную ситуацию, что самые уязвимые участки бизнеса – это отделы, которые распоряжаются деньгами и критичной информацией.
57% опрошенных руководителей отметили, что внутренние инциденты опаснее чем внешние. Инсайдерам не нужно взламывать вашу ИТ-структуру, они имеют доступ к системе по роду своей деятельности.
Соотношение нарушений информационной безопасности со стороны сотрудников показывает, что 33% всех нарушений происходят умышленно, соответственно
67% - это неумышленные действия сотрудников, которые привели к утечке коммерческой информации.
Внешние инциденты практически всегда носят гибридный характер, злоумышленники получают доступ к процессингу или информации через сотрудников компании, используя фишинг или другие приемы социальной инженерии. Неумышленные инциденты происходят по ошибке и предотвратить их можно с помощью своевременного предупреждения сотрудника о вероятности нарушения - например отправка клиентских данных вне корпоративной сети и т.д.
Какие данные утекали из компаний в течении 2020 года?
- Информация о клиентах и сделках -28%
- Финансовая информация - 15%
- Техническая информация -21%
- Персональные данные -21%
Основными каналами утечки информации стали:
- Почта - 40%
- Устройства хранения и мобильные - 35%
- Мессенджеры - 38%
- Облачные хранилища - 21%
- Документы, отправляемые на печать - 17%
Почта и устройства хранения (флешки и смартфоны в качестве жесткого диска) - наиболее вероятные каналы утечки данных. Для их контроля традиционно используются технические средства, в ситуации удаленной работы этого недостаточно, так как данные уже фактически находятся за территорией предприятия.
Почему руководители не придают значение внутренним угрозам утечки информации?
Одной из причин является молчание. Еще в 2017 году 87% предприятий, на которых происходила утечка информации замалчивала эти факты, в 2020 ситуация изменилась и молчит об инцидентах только 57% компаний.
От умышленных действий сотрудников пострадало 88% предприятий! Какие действия были зафиксированы?:
- Взятка или откат -31%
- Организация фирмы-боковика - 8%
- Промышленный шпионаж или работа на конкурентов - 14%
- Саботаж - 18%
Кроме этого компании сталкивались с неэффективным расходованием рабочего времени и корпоративных ресурсов, порчу имущества и данных (в том числе при увольнении), ведение “левых” проектов.
Какой ущерб был нанесен компаниям внутренними инцидентами:
- Имиджевый ущерб - 24%
- Риск или факт наказания от регулятора - 8%
- Крупный финансовый ущерб - 6%
- Мелкий финансовый ущерб - 19%.
Число обращений в суд от компаний для возмещения ущерба составляет только 12-14% и практически не изменяется. Одна из причин - работодателю необходимо доказать связь между действиями сотрудника и причиненным ущербом, а это не всегда просто и очевидно. Для качественного предоставления доказательств необходимо фиксировать нарушения. Доказательствами инцидента могут стать переписка, свидетельские показания, данные отслеживания действий, произведенных с учетной записи конкретного работника. К сожалению, даже при должном сборе доказательств возместить ущерб через суд часто проблематично. А упущенная выгода взысканию с работника не подлежит, при этом за причиненный ущерб работник несет материальную ответственность в пределах своего среднего месячного заработка.
Какие выводы мы можем сделать?
Ваш бизнес постоянно находится под угрозой ущерба со стороны сотрудников предприятия. Ущерб вам могут нанести не только менеджеры, которые уйдут к конкуренту и прихватят вашу базу клиентов, но и закупщики и даже бухгалтер. Каждое предприятие уже научилось охранять товарно-материальные ценности: деньги, складские запасы и т.д. находятся под наблюдением, охраняются собственной или привлеченной охраной, проходят инвентаризацию. А информацию хранят как попало: данные клиентов в экселе, номера телефонов и переписка ведется с личных телефонов менеджеров, базы данных не структурированы и доступны всем от бухгалтера до логиста.
Каждый третий сотрудник при возможности возьмет откат или взятку, каждый четвертый потенциально готов сотрудничать с вашим конкурентом или открыть свою фирму конкурента вашему предприятию.
Потенциальный ущерб от действий ваших сотрудников не соизмерим с возможным возмещением через суд.
Что делать?
Специалисты по экономической безопасности выделяют три составляющие преступлений инсайдеров:
- острая необходимость в деньгах, которая может быть связана с резким изменением жизненных обстоятельств сотрудника: рождение ребенка, болезнь близких, ипотека, кредиты, долги
- доступность совершения преступления, это с одной стороны легкость получения незаконной выгоды (“взять то, что плохо лежит”) и простая конвертация информации в деньги, например сотрудник общается с бывшими коллегами, которые работают в компании конкуренте
- потенциальная выгода оценивается значительно больше, чем возможное наказание
Пункт 1 и 3 - это работа вашей HR-службы и линейных руководителей, их задача быть в курсе дел сотрудников и создавать правильное информационное поле, в котором четко отражены правильные и неправильные действия ваших сотрудников, корпоративные ценности. А второй пункт базируется на внедрении простейших средств:
- CRM - контроль и учет взаимодействия с клиентами
- Корпоративный портал, таск-трекер, тайм-трекер
- IP-телефония
Эти средства совместно с правильной методологией внедрения и использования не только повысят производительность труда сотрудников, но и снизят угрозы от инцидентов, связанных с действиями инсайдеров.