УДК 004.056
УТЕЧКА ИНФОРМАЦИИ КАК УГРОЗА ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ
ПРЕДПРИЯТИЯ
О.Г. Назарова, В.А. Довыденко
ФГБОУ ВО «Брянский государственный университет имени академика
И.Г. Петровского»
В современных реалиях информационно-коммуникационные технологии стали неотъемлемым атрибутом деятельности любого хозяйствующего субъекта. Особое значение ИКТ имеют для информационной системы, все она охватывает все функциональные блоки предприятия. В этих условиях особую актуальность приобретает практика предотвращения несанкционированного доступа и использования конфиденциальной информации для защиты экономической безопасности предприятия. В работе рассмотрены вопросы обеспечения экономической безопасности с точки зрения защиты конфиденциальной информации хозяйствующего субъекта. Произведен анализ утечек конфиденциальной информации из организаций за последние годы на базе отчетов компании InfoWatch, отчетов ACR, Ponemon Institute. Предложены некоторые варианты обеспечения информационной безопасности предприятия.
Ключевые слова: экономическая безопасность, информация, информационно-коммуникационные технологии (ИКТ), утечка, риск, система управления рисками.
Эффективное функционирование хозяйствующих субъектов, их конкурентоспособность и устойчивые позиции на мировых рынках в наибольшей степени зависят от системы обеспечения экономической безопасности. Функционально «обеспечение экономической безопасности» ориентировано за защиту от внешних и внутренних угроз для устойчивого функционирования и развития.
Современные предприятия становятся все более уязвимыми к угрозам потери информации в силу растущей зависимости от средств информационно-коммуникационных технологий. Распространение технологий обеспечивает более широкий несанкционированный доступ к информации организаций, чем когда-либо прежде. Третьи лица все чаще получают информацию через цепочку поставок, клиентов и поставщиков. Этот риск усугубляется тем, что организации все чаще хранят большие объемы личной идентифицируемой информации на внешних облачных провайдерах. Еще одним фактором, который следует учитывать, является увеличение числа устройств, которые всегда подключены к обмену данными. Традиционные средства контроля информационной безопасности постепенно устаревают, возникает явная необходимость в средствах анализа угроз и программах безопасности для снижения кибер-рисков и выделения потенциальных поверхностей атак.
Сегодня утечка, также известная как низкая и медленная кража данных, является серьезной проблемой для экономической безопасности хозяйствующего субъекта. В этих условиях особую актуальность приобретают вопросы обеспечения экономической безопасности с точки зрения защиты конфиденциальной информации, ведь информация - ценнейший актив.
Цель исследования: проанализировать показатели утечек конфиденциальной информации за последние годы и выявить основные причины потери данных, предложить возможные варианты защиты информации на предприятии.
В официальном ежегодном отчете о киберпреступности (ACR) за 2019 год, опубликованном Cybersecurity Ventures [5], говорится о том, что каждые 14 секунд в мире происходит атака хакера. Уже к началу 2022 года данный показатель может достигнуть частоты каждой 11 секунды. За 2019 год в сеть было «слито» более 14 миллиардов конфиденциальных записей, общее число утечек информации увеличилось на 10% в мире и более чем на 40% в России [4].
Разглашение конфиденциальной информации может нанести колоссальный ущерб любому хозяйствующему субъекту: от снижения денежных доходов и «запятнанной» репу-
тации до долгих судебных разбирательств и штрафов. Согласно статистике Ponemon Institute, около 2/3 малых и средних фирм не переживают утечки данных и закрываются в течение следующего полугода. Крупные компании в целом справляются, но все же несут значительные потери.
Угрозы информационной безопасности могут быть представлены различными видами утечек информации (из закрытых источников, техническими путями, несанкционированным вторжением), нарушением целостности модификации данных и правовыми нарушениями. Риск утечки может исходить от «инсайдеров», то есть лиц, находящихся внутри организации, или от «аутсайдеров», находящихся вне организации. Обратим внимание, что утечки по вине сотрудников (внутренних нарушителей) более сложные по своей природе, следовательно, их сложнее предупредить. Мотивы в данном случае бывают разные, но, зачастую, включают в себя такие причины, как корпоративный шпионаж, финансовые выгоды или недовольство работодателем. Если внешние атаки компрометируют набор однородных данных, к примеру, сведения о пользователях интернет-сервиса [4], то есть массив, ограниченный функционалом одной системы. Действия же внутреннего нарушителя могут скомпрометировать любую информацию фирмы в силу достаточной осведомленности о местах хранения и контролируемых каналах передачи. Как правило, внутренние утечки фиксируются не сразу и обнаруживаются уже постфактум. Именно поэтому внутренний злоумышленник более опасен для хозяйствующего субъекта. Низкая лояльность работников, недостаточный уровень осведомленности персонала о мерах информационной безопасности, нарушение элементарных правил работы с коммерчески ценной информацией - все это лишь обостряет проблему утечки информации как угрозы экономической безопасности предприятия.
В последние годы число утечек по вине внутреннего нарушителя увеличивается и в общей сложности составляет более половины от общего числа утечек (рис. 1). Наибольший рост данного вида утечек был отмечен в 2017 году (прирост более 40%). По итогу 2019 года число компрометаций по вине сотрудников достигло уровня 1 348, что составило 53,7% в общей структуре утечек.
Рисунок 1 - Число внутренних утечек информации и доля утечек этого типа от общего числа утечек, 2015 - 2019 гг.[4]
Совокупный объем данных, скомпрометированных в результате внутренних утечек, также имеет тенденцию к росту. В 2019 году было скомпрометировано 9,87 млрд. записей, что в 29,5 раз выше показателя 2015 года (рис. 2).
Рисунок 2 - Объем данных, скомпрометированных в результате внутренних утечек, млн. записей, 2015 - 2019 гг. [4]
Отмечается рост «мощности» утечек: происходит увеличение объема скомпрометированных данных, приходящихся на одну утечку (рис. 3).
Рисунок 3 - Объем данных в расчете на одну утечку, млн. записей, 2015 - 2019 гг. [4]
Согласно данным рисунка 3 средняя «мощность» утечки информации в 2019 году достигла значения 7,3 миллионов записей, что в 12,2 раз превосходит показатель 2015 года.
Рост объема скомпрометированных данных и увеличение «мощности» утечек свидетельствуют о низкой эффективности используемых мер защиты информации. Стремление хозяйствующих субъектов упростить работу с информационными ресурсами становится причиной потери информации в результате непреднамеренных ошибок персонала. Данное утверждение подтверждается тем фактом, что в 2019 году более 58% компрометации данных имели случайный характер [4]. К сожалению, непреднамеренная утечка также может привести к штрафам и «репутационному» ущербу, поскольку данный вид потери не смягчает юридическую ответственность. Наиболее ярким примером являются компании, работающие с пользовательскими данными, по данным InfoWatch, 98,1% общего объема утечек в данном секторе произошло случайно. Так, зачастую в результате внутренних нарушений в открытом доступе оказываются именно пользовательские данные (персональные данные и платежная информация). Наглядно структура внутренних утечек представлена на рисунке 4.
2015 2018 2017 2013 2019
Рисунок 4 - Распределение внутренних утечек по типу данных, 2015 - 2019 гг. [4]
Как упоминалось ранее, компрометация пользовательских данных происходит преимущественно вследствие непреднамеренных ошибок. Остальные утечки информации (государственная тайна, секреты производства, коммерческая тайна) в большинстве случаев имеют умышленный характер.
Снизить риск утечки можно посредством внедрения системы многоступенчатого анализа рисков (рис. 5).
Рисунок 5 - Система анализа угроз информационной безопасности
Этап инициализации анализа предусматривает выявление потенциальных угроз и рисков, а также пересмотр принятых способов обеспечения сохранности данных.
Первоначально целесообразно разработать схему классификации данных: произвести качественную и количественную оценку коммерчески ценной информации с точки зрения ее реальной или потенциальной стоимости (ценности). Затем следует выявить допустимый диапазон значения рисков. После чего происходит разделение обеспечения информационной безопасности на отдельные процессы, закрепляются ответственные лица за каждым участком. Отметим необходимость интеграции разработанных мер в бизнес-модель предприятия,
ведь любой канал передачи информации потенциально опасен и может стать источником утечки данных, как по вине внутреннего нарушителя (сотрудника фирмы), так и по вине внешнего злоумышленника. Именно поэтому важно обеспечить постоянный анализ и контроль реализации всех мероприятий по ликвидации рисков, осуществлять корректировку предпринятых мер и оптимизировать систему. Организациям с ограниченным бюджетом целесообразно рассмотреть возможность использования сторонних служб для защиты данных.
Для обеспечения экономической безопасности предприятия в сфере защиты информации следует работать в направлении формирования культуры информационной безопасности. Учитывая тот факт, что значительная доля утечек происходит по вине внутреннего нарушителя, необходимо обеспечить переподготовку сотрудников всех уровней по работе с конфиденциальными данными, следует также систематически организовывать мероприятия по повышению осведомленности в сфере защиты корпоративной информации. Риск утечки может исходить от любого сотрудника, и это имеет основополагающее значение для безопасности организации. Поэтому все предприятия, независимо от их размера и профиля деятельности, должны гарантировать, что все сотрудники понимают риски информационной безопасности и владеют навыками по защите конфиденциальных данных.
В современном мире информация является одним из основных факторов производства, а ее утечка может нанести непоправимый ущерб предприятию. Сегодня более половины случаев компрометации информационных ресурсов хозяйствующих субъектов происходит по вине внутреннего нарушителя. Основной причиной подавляющего большинства утечек являются низкая лояльность персонала, нарушения правил работы с коммерчески ценной информацией и недостаточный контроль за действиями сотрудников. Хотя внешние злоумышленники составляют меньшинство, их нельзя игнорировать. Очевидно, что существует широкий спектр методов, с помощью которых данные могут ускользнуть от организации. Однако, несмотря на это, не существует абсолютно надежного способа. Именно поэтому организации не должны полагаться только на один метод - необходима глубокая стратегия защиты. Защитные меры должны охватывать все функциональные блоки предприятия для обеспечения предотвращения наиболее распространенных угроз утечки данных. Так, защиту информационной составляющей любого хозяйствующего субъекта необходимо осуществлять комплексно на базе эффективной системы управления рисками и сочетания технических и организационных мер защиты. Внедряя различные методы защиты информации, предприятия могут свести к минимуму риск утечки и, как минимум, затруднить работу злоумышленника.
Таким образом, можно выделить три простых шага, которые позволят повысить информационную безопасность предприятия, снизить риски утечки данных, предотвратить банкротство и обеспечить успешное ведение деятельности. Во-первых, необходимо обучить все уровни организации о нюансах работы с конфиденциальной информацией и возможных рисках. Во-вторых, следует инвестировать в инструменты, ограничивающие потерю сведений. В-третьих, важно обеспечить слаженную и эффективную работу всех подразделений на базе комплексного и системного подхода в рамках защиты коммерчески ценной информации. Эффективная система экономической безопасности должна быть динамична и адаптивна к постоянно изменяющимся условиям внешней и внутренней среды предприятия [2].
Список литературы
1. Глушак Н.В., Муравьева М.А., Назарова О.Г., Ребрина Т.Г., Силаева В.В. Управление инновационными процессами в экономике как мера обеспечения экономической безопасности страны // Казанская наука. 2015. № 2.- С. 61-63
2. Довыденко В.А. Ризоматический подход в экономической безопасности предприятия // Вестник современных исследований. 2018. № 10.6 (25). С. 138-140.
3. Муравьева М.А., Назарова О.Г., Силаева В.В. Обеспечение экономической безопас-
ности в России в условиях геополитической нестабильности. Сборник научных работ Международной научно-практической конференции преподавателей, аспирантов и студентов «Управление социально-экономическими системами и правовые исследования: теория, методология и практика» - Брянск: ИЭиП БГУ, 2017г., С. 340-343
4. Официальный сайт экспертно-аналитического центра «InfoWatch». URL: https://www.infowatch.ru/ (дата обращения: 17.04.2020).
5. Утечки данных 2019: статистика, тенденции кибербезопасности и меры по снижению рисков взлома.ЦЯЬ: https://gorodfinansov.ru/ (дата обращения: 17.04.2020).
Информация об авторах
Назарова Ольга Геннадьевна - к.п.н., доцент кафедры таможенного дела и маркетинга, Брянский государственный университет им. акад. И.Г. Петровского. E-mail: [email protected]
Довыденко Валентина Александровна - студентка 4 курса специальности «Экономическая безопасность», Брянский государственный университет им. акад. И.Г. Петровского. Email: [email protected]
UDK 004.056
INFORMATION LEAKAGE AS A THREAT TO THE ECONOMIC SECURITY OF
AN ENTERPRISE
O.G. Nazarova, V.A. Dovydenko Bryansk State University named after academician I. G. Petrovskii, (Bryansk, Russia)
Annotation. In the modern realities of information and communication technology has become an integral attribute of activity of any managing subject. ICT is particularly important for the information system, since it covers all the functional blocks of the enterprise. In these conditions, the practice of preventing unauthorized access and use of confidential information to protect the economic security of the enterprise becomes particularly relevant. The paper considers the issues of ensuring economic security from the point of view of protecting confidential information of an economic entity. The analysis of leaks of confidential information from organizations in recent years is based on InfoWatch reports, ACR reports, and Ponemon Institute reports. Some variants of ensuring information security of the enterprise are offered.
Keywords: economic security, information, information and communication technologies (ICT), leakage, risk, risk management system.
References
1. Glushak N.V., Murav'eva M.A., Nazarova O.G., Rebrina T.G., Silaeva V.V. Upravlenie innovacionnymi processami v ekonomike kak mera obespecheniya ekonomicheskoj bez-opasnosti strany // Kazanskaya nauka. 2015. № 2.- S. 61-63
2. Dovydenko V.A. Rizomaticheskij podhod v ekonomicheskoj bezopasnosti predpriya-tiya // Vestnik sovremennyh issledovanij. 2018. № 10.6 (25). S. 138-140.
3. Murav'eva M.A., Nazarova O.G., Silaeva V.V. Obespechenie ekonomicheskoj bezopasnosti v Rossii v usloviyah geopoliticheskoj nestabil'nosti. Sbornik nauchnyh rabot Mezh-dunarodnoj nauchno-prakticheskoj konferencii prepodavatelej, aspirantov i studentov «Upravlenie social'no-ekonomicheskimi sistemami i pravovye issledovaniya: teoriya, me-todologiya i praktika»
- Bryansk: IEiP BGU, 2017g., S. 340-343
4. Oficial'nyj sajt ekspertno-analiticheskogo centra «InfoWatch». URL: https://www.infowatch.ru/ (data obrashcheniya: 17.04.2020).
5. Utechki dannyh 2019: statistika, tendencii kiberbezopasnosti i mery po snizhe-niyu riskov vzloma.URL: https://gorodfinansov.ru/ (data obrashcheniya: 17.04.2020).
Information about authors
Nazarova Olga Gennadevna - Candidate of Education Sciences, Associated Professor, Bryansk State University named after academician I.G. Petrovsky, E-mail: [email protected]
Dovydenko Valentina Alexandrovna - 4th year student of the specialty «Economic security», Bryansk State University named after academician I.G. Petrovsky. E-mail: [email protected]