Что случится, если мы будем неосторожно передавать конфиденциальную информацию
Представьте, что вы случайно переслали конфиденциальную информацию человеку, у которого нет разрешения на её просмотр. Возможно, он не злоумышленник и не собирается причинять вам вред. Но тем не менее, он может допустить утечку потому, что:
-
он не понимает ценности переданной ему информации;
-
он не умеет обращаться с такими данными, поскольку его должность не предполагает владения соответствующими навыками.
Человек, запрашивающий у вас конфиденциальные данные, может вообще оказаться мошенником.
Если вы не проверите запрос, переданная вами информация может быть использована в интересах конкурентов или для подготовки кибератаки на вашу компанию. То же самое может случиться, если вы выберете небезопасный способ передачи информации.
А ответственность за компрометацию данных понесете вы. Вас могут лишить премии, оштрафовать, понизить в должности или уволить.
Первое правило передачи конфиденциальных документов
Передавать конфиденциальные документы следует по правилам, оговоренным официальным регламентом компании, в которой вы работаете.
Регламент может включать самые разные способы передачи:
-
пересылка по электронной почте;
-
пересылка с помощью защищённых мессенджеров;
-
пересылка с помощью внутренних коммуникационных систем компании;
-
личная передача на USB-накопителе или в бумажном виде
..и так далее.
Если политика вашей компании не регламентирует передачу конфиденциальной информации, следует руководствоваться действующими в вашей стране законами или нормативно-правовыми актами.
Безопасные способы пересылки
Если регламента на передачу конфиденциальной информации в компании нет, можно использовать следующие способы:
- Корпоративная электронная почта.
Если речь об использовании почтового клиента (например, Outlook), то в подобных программах есть встроенные инструменты шифрования передаваемого сообщения; также они позволяют установить пароль непосредственно на письмо — обязательно пользуйтесь этими возможностями при пересылке конфиденциальных данных.
Если вы не используете почтовый клиент, а интерфейс корпоративной почты не предполагает возможности шифрования письма и установки на него пароля, используйте общие правила безопасности. Ни в коем случае не посылайте конфиденциальные данные непосредственно в теле письма. Документ можно заархивировать, защитить паролем и приложить к письму. Пароль при этом следует пересылать по другому каналу, например, с помощью SMS-сообщения или посредством защищенного мессенджера. - Корпоративное или рекомендованное специалистами по безопасности хранилище файлов.
Доступ к данным можно выдавать только индивидуально, а не с помощью общедоступной ссылки. И при размещении файла в хранилище не забывайте защищать его паролем. - Защищенный мессенджер.
Это может быть корпоративный мессенджер или специальный мессенджер повышенного уровня безопасности, например, Signal. Мессенджеры социальных сетей или рядовые популярные мессенджеры для передачи конфиденциальных данных не подходят.
Пересылайте конфиденциальные документы только безопасными способами
Передача на накопителях
Существуют различные стандарты, описывающие передачу данных через сменные носители (если кратко, то носители должны быть зашифрованы и только авторизованные пользователи могут иметь к ним доступ). На базе этих стандартов компании разрабатывают корпоративные регламенты, где прописывают правила передачи конфиденциальной информации посредством «флешек» и других подобных устройств.
Дело в том, что сменные носители добавляют новый слой опасности — вероятность физической потери устройства с конфиденциальной информацией. При пересылке электронными способами эта опасность отсутствует.
Поэтому обычно специалисты по информационной безопасности считают передачу на USB-накопителях или других портативных устройствах опасной. Пользоваться этим методом следует только в том случае, если он прописан или хотя бы разрешен корпоративным регламентом. Если вам нужно лично передать серьёзный объем информации, то придите к адресату со своим ноутбуком, при нём перенесите информацию на носитель и сразу отдайте ему носитель. Это нивелирует риск потери.
Правило второе: проверка уровня доступа
Каким бы способом передачи конфиденциальных документов вы не пользовались — от пересылки по электронной почте до вручения из рук в руки — главное, чтобы они не попали случайному человеку. Поэтому в первую очередь нужно проверить, тому ли адресату вы отправляете документы, имеет ли адресат соответствующий уровень допуска.
Не проверяя уровень доступа, конфиденциальной информацией можно делиться только с вашим непосредственным начальником, его начальником — и так далее до самого руководителя компании. Их уровень доступа по умолчанию выше вашего, и если вы имеете доступ к данной информации, они его также имеют.
В любом другом случае вы должны до отправки убедиться в том, что адресат имеет право на ознакомление с документами. Например, у него может быть разрешение, подписанное руководителем компании. Или подобное разрешение может быть у всего его департамента. Или, наконец, ваш начальник может подтвердить, что передавать документы можно. Спросить у начальника, — никогда не лишнее.
Если вы отправите конфиденциальные данные человеку, у которого нет права на ознакомление с ними, то именно на вас возложат ответственность за любые вызванные этим проблемы.
Этим человеком может быть просто сотрудник без допуска, а может — мошенник, который притворился сотрудником, чтобы получить именно эти документы.
Перед отправкой конфиденциальной информации обязательно проверяйте, имеет ли получатель соответствующие права доступа
Запрос и его отсутствие
Важно понимать, что есть заметное различие между ситуацией, когда вы сами отправляете конфиденциальные документы знакомому вам человеку, и ситуацией, когда документы у вас запрашивают.
Если адресат вам заведомо известен и вы отправляете ему документы не по запросу, а по штатной технической необходимости (например, вы еженедельно пересылаете бухгалтеру отчет о заказанных у подрядчиков работах), то каждый раз проверять его уровень доступа не нужно.
Но если конфиденциальный документ у вас запрашивает кто-то, даже знакомый человек, которому раньше вы подобные документы не пересылали — обязательно проверьте два условия:
-
запрос подлинный, то есть поступил именно от того человека, которым представляется отправитель;
-
человек имеет право на работу с этими данными.
На какие запросы важно обращать внимание
Пример 1
Вам звонит незнакомый сотрудник из другого подразделения компании и просит переслать данные о крупном контрагенте, поскольку ему надо проверить правильность ведения документации.
На что нужно обратить внимание?
В этой ситуации следует учесть, что о работе позвонившего в вашей компании и о его праве доступа к конфиденциальной информации вы знаете только с его слов. Проверьте информацию, прежде чем делиться данными.
Пример 2
Коллега пишет вам с личного адреса электронной почты и просит переслать ему рабочие документы: он заболел и сегодня планирует работать из дома.
На что нужно обратить внимание?
От имени коллеги может писать злоумышленник, взломавший его личную почту. Кроме того, пересылка конфиденциальной информации на личный почтовый ящик сама по себе небезопасна.
Пример 3
Секретарь просит вас переслать ей финансовую отчетность, чтобы она могла распечатать материалы к предстоящему совещанию у генерального директора. Эта просьба понятна большинству офисных работников.
На что нужно обратить внимание?
Прежде чем выполнить эту просьбу, уточните, имеете ли вы право пересылать секретарю такую информацию. Иначе именно на вас возложат ответственность, если произойдет утечка данных.
Перед отправкой конфиденциальной информации обязательно проверяйте, имеет ли получатель соответствующие права доступа
Правило третье: проверка получателя
Предположим, вы убедились, что допуск у адресата есть. Но далее может возникнуть досадная техническая ошибка: вы случайно отправите документы не ему, а другому человеку. Поэтому нужно тщательно проверять контакты получателя.
Существует множество способов случайно переслать информацию постороннему, например, случайная опечатка в адресе электронной почты, «не то» окно или ошибочный чат в мессенджере, старый адрес, который давно принадлежит другому человеку, нужный и ошибочный получатели являются однофамильцами — и так далее.
Поэтому перед пересылкой трижды проверьте, тому ли человеку вы отправляете документы или информацию. Обращайте внимание на:
-
адрес электронной почты и правильность его написания;
-
правильность чата в защищённом мессенджере;
-
телефонный номер, если вы отправляете данные с помощью, например, SMS-сообщения
и так далее.
От этого может зависеть очень многое.
Случай из жизни
В крупных европейских изданиях появилась информация о том, что фармацевтическая компания подделала результаты лабораторных тестов перспективного препарата. К сообщениям прилагались снимки корпоративной переписки. Публикации вызвали общественный резонанс. Репутация компании оказалась под угрозой.
В ходе служебной проверки выяснилось, что одна из сотрудниц лаборатории отправляла отчёт об исправлении результатов теста руководству. Вместо того, чтобы воспользоваться адресной книгой почтового приложения, она начала вводить первые буквы адреса начальника и выбрала адрес, предложенный системой автоматической подстановки.
В результате конфиденциальный документ отправился к работнику книжного интернет-магазина, клиенткой которого была эта сотрудница. Получатель смог оценить значение документа — и переслал его журналистам.
Итог: виновница происшествия потеряла работу, а компания была вынуждена пересмотреть график выпуска препарата, в разработку которого были вложены сотни миллионов долларов.
Репутационный ущерб, по словам экспертов, не поддаётся оценке.
Когда стоит проявить бдительность при отправке конфиденциальных данных
При отправке электронного письма вам предлагаются возможные получатели после того, как вы ввели в поле «Кому» первые буквы нужного вам адреса.
В такой ситуации вы рискуете выбрать неверный адрес и случайно отправить письмо с конфиденциальной информацией человеку, к которому она не должна попасть.
Как поступать:
— убедитесь в том, что вы правильно ввели адрес получателя;
— не прибегайте к автоматической подстановке;
— воспользуйтесь адресной книгой почтового приложения или скопируйте адрес из письма от вашего адресата.
Вы добавляете в переписку нового участника или пересылаете цепочку писем человеку, которого до этого не было в списке рассылки.
Так вы предоставляете новому адресату возможность доступа к не предназначенной для него информации.
Как поступать:
— удалите из переписки данные, которых не должен видеть новый адресат (в том числе предшествующую историю переписки);
— проанализируйте, не является ли конфиденциальной информацией присутствие кого-то из сотрудников или контрагентов в переписке;
— используйте скрытые копии, чтобы сохранить анонимность этих людей.
На вашем компьютере постоянно открыты несколько окон мессенджера, в том числе не только с рабочей, но и с личной перепиской.
Здесь вы можете случайно отправить или переслать файл не в то окно, и посторонние получат доступ к конфиденциальной информации.
Как поступать:
— прежде чем отправить конфиденциальную информацию с помощью мессенджера, убедитесь, что вы выбрали нужного адресата и прикрепляете файл в нужном окне.
Правило четвёртое: защита паролем
При передаче или пересылке конфиденциальных документов не из рук в руки, например, по электронной почте, посредством курьерской службы или любым иным способом без личного контакта с получателем, информация должна быть зашифрована.
Пароль для расшифровки при этом необходимо передавать получателю по другому каналу. Такая методика позволит избежать в том числе пересылки не тому получателю — даже если вы ошибетесь с адресатом, случайный человек не сможет ознакомиться с информацией.
Случай из жизни
Р., заместитель финансового директора крупной компании по продаже бытовой техники, должен был передать в юридический отдел документы для подготовки судебного иска против известной фирмы-поставщика. Поскольку юридический отдел компании располагался в другом офисе, а рабочий график Р. был очень плотным, он передал флеш-накопитель с помощью внутренней курьерской службы, предназначенной для пересылки конфиденциальных документов.
Сначала флеш-накопитель попал к секретарю офиса, которая ответственно относилась к своим обязанностям и захотела убедиться в том, что передаёт юристам нужные документы, а для этого просмотрела их.
Во время обеда в кафе секретарь поделилась с коллегами интересной новостью. Подготовка иска против крупного контрагента стала предметом обсуждения сотрудников. Информация о готовящемся иске попала в прессу, подготовка к процессу была сорвана, а Р. был вынужден перевестись в другой филиал.
Вы можете спросить: что же Р. сделал не так? Он ведь передал документы через специальную службу, и ошибку совершили курьер и секретарь: первый передал документы не из рук в руки адресату, а вторая ознакомилась с ними, не имея доступа.
Ошибка Р. в том, что он передал конфиденциальные документы через третьи руки, не защитив их паролем. Если бы документы были защищены, ошибка курьера не сыграла бы роли, а секретарь не смогла бы ознакомиться с документами.
Напомним, при защите документов следует придерживаться правил составления сложных паролей.
Пересылка в теле письма
Представим ситуацию. Ваш коллега, имеющий те же права доступа к конфиденциальной информации, что и вы, звонит вам с совещания и просит срочно прислать ему некоторые данные по закупкам.
Коллега подчёркивает, что у него есть с собой только мобильный телефон, с которого гораздо удобнее читать электронную почту, чем открывать защищенные паролем файлы. По этой причине он просит прислать все данные прямо в теле письма.
Как же поступить?
Не делайте так. Удобство чтения не так важно, как сохранность конфиденциальной информации, а пересылать незашифрованные данные в теле письма опасно, поскольку в таком случае их невозможно защитить. Заметим ёще раз, что Outlook и другие почтовые клиенты обычно имеют функционал, позволяющий зашифровать само письмо (то есть защитить данные, отправленные в теле письма). Но в описанной ситуации нет гарантии, что на телефоне у вашего коллеги имеется клиент, с помощью которого письмо можно расшифровать.
Групповые пароли
Пароли могут использоваться не только для защиты конкретного документа, но и для защиты всей схемы передачи информации.
Есть такая сущность, как групповой пароль. Например, есть пять человек, имеющих допуск к конфиденциальным документам. Все эти пять человек знают один общий пароль, которым защищаются любые документы, пересылаемые между ними.
Если вы состоите в такой группе, вы можете отправлять конфиденциальные документы в запароленном виде, например, в архиве, не пересылая пароля по другому каналу. Адресат его знает, а случайный человек открыть не сможет.
Иногда это касается облачных хранилищ: например, группа людей имеет доступ к запароленной папке, куда добавляются конфиденциальные документы.
При использовании групповых паролей также есть свои правила:
-
меняйте пароль, если группу покидает человек, у которого не должно быть доступа к конфиденциальной информации (например, если сотрудник увольняется или ему больше не нужен доступ к этим данным);
-
регулярно, не реже одного раза в три месяца, меняйте групповой пароль на новый;
-
когда вы меняете пароль, не отправляйте его посредством рассылки или группового чата в мессенджере. Передайте новый пароль индивидуально каждому коллеге через защищённый канал связи.
Вывод
- Передавайте конфиденциальную информацию только безопасным способом и только тому, кто имеет право на ознакомление с ней.
Мы надеемся, что вы будете аккуратны и бдительны при передаче конфиденциальной информации.