В нашей первой статье речь шла о том, чем грозит беспечное обращение с флешками. Однако сегодня на смену флешкам приходят облачные хранилища, такие как Dropbox, «Яндекс.Диск» и прочие. С их помощью можно в пару кликов скопировать любые данные в Cеть и сделать их доступными кому угодно.
Облака слишком хороши, чтобы отказываться от них: они удобны, просты в обращении, работают через обычный браузер и на любом смартфоне. Но именно эти особенности таят в себе потенциальную проблему, которую стоит принять во внимание вам лично и вашей компании.
Как не лишиться работы или бизнеса из-за досадной ошибки или злонамеренного слива важной информации? Об этом сегодняшний разговор.
Это и вправду так серьёзно?
Согласно отчёту компании InfoWatch, на Сеть (и облака в том числе) приходится четверть всех утечек информации в мире. Ни один другой канал утечек не может похвастать таким стремительным ростом их количества.
Это не случайно. Есть три ключевых фактора, с которыми необходимо считаться при работе с облачными хранилищами:
1. Технологическая незрелость. Как у всякой новой системы, в облачных сервисах периодически случаются серьёзные косяки:
Сбой системы управления Dropbox привёл к компрометации данных 25 000 000 пользователей. Онлайн-сервис хранения данных без предупреждения и видимых причин отключил парольную защиту доступа к файлам своих пользователей. В результате данные были доступны всем желающим в течение четырёх часов.
2. Новизна, которая влечёт за собой печальный факт: разработчики средств защиты информации и сами безопасники просто не успевают за ними.
Опрос, проведённый институтом Ponemon, показал, что более 80% сотрудников IT-служб даже не осведомлены о том, сколько корпоративной информации хранится в облаке, не говоря уже о том, что это за данные.
3. Массовость в сочетании с простотой использования тоже не добавляет спокойствия. Чем более массовым является сервис, тем больше глупых ошибок допускают его пользователи, да и хакеры на него начинают обращать внимание:
Чего стоит недавняя история с фотографиями голых знаменитостей, похищенных из аккаунтов в iCloud. Да, аккаунты взломали хакеры, но фотографии-то люди туда выложили добровольно. Также не забываем о миллионах почтовых аккаунтов Google, «Яндекс» и Mail.ru, данные о которых были выложены в публичный доступ. Как мы получаем доступ к облаку? Правильно, через почту.
А если в вашем облаке не только личные фотографии? В конец концов, если вы не знаменитость, то ваши фото никому не нужны. Если там какие-то серьёзные финансовые документы с работы или база ваших клиентов? Может, вы вообще решили в своей компании использовать новейшие технологии, и теперь весь ваш бизнес зависит от облачных сервисов?
Тем, кому не хочется платить слишком высокую цену за удобство, мы предлагаем небольшое руководство к действию.
Что делать?
Если вы не владелец бизнеса и не отвечаете за безопасность информации в компании, то вам будет вполне достаточно простейшего «облачного этикета» и чуток здравого смысла:
- Разделяйте рабочее и личное пространство в облачных сервисах. Не храните всё вперемешку и не синхронизируйте папки с вашими личными данными на рабочем компьютере.
- Проводите регулярную чистку рабочих папок от файлов, которые вам больше не нужны в постоянном доступе.
- Если вы всё-таки работаете с серьёзной информацией через облачные хранилища, то используйте доступные средства защиты. Смартфон? Скорее всего, приложение можно защитить паролем. Часто пользуетесь чужими компьютерами или общественным Wi-Fi — погуглите про двухфакторную аутентификацию.
- Контролируйте список устройств, имеющих доступ к вашему облаку. Перестали пользоваться смартфоном, дали во временное пользование кому-то? Отключите устройство от облачного аккаунта.
- И, наконец, не отправляйте в облако действительно важные данные (корпоративные или личные). Конечно, вы очень внимательны и аккуратны, но… просто не делайте этого. А если без этого никак, то используйте дополнительные средства защиты, например зашифруйте их.
Если же вы владеете собственным бизнесом, отвечаете или просто волнуетесь за безопасность информации в компании, то позаботьтесь о том, чтобы в компании было установлено подходящее средство защиты информации, которое позволит:
- Разграничивать доступ к облачным хранилищам с точностью до компьютера и сотрудника. Кому-то по должности необходимо иметь доступ ко всему. Кому-то облака на работе не нужные вообще. Желательно иметь возможность разграничивать права на уровне отдельных компьютеров, отделов и учётных записей.
- Выбрать типы файлов, которые можно загружать в облако. Имеет смысл запретить передачу в облако определённых типов файлов, если заранее известны какие-то специфические форматы, в которых хранится чувствительная информация.
- Разрешить работу только с одним определённым облачным хранилищем, которому вы больше доверяете или на котором у вас есть корпоративный тариф.
- Вести логирование того, что сотрудники отправляют в облако. Если что-то случится, вы сможете выяснить подробности.
- Наконец, шифровать действительно важную информацию перед отправкой в облако. Это один из самых надёжных способов защиты информации. Главное — позаботьтесь о том, чтобы это было легко и прозрачно для ваших сотрудников.
В сочетании со средствами контроля над флешками и облачными хранилищами шифрование гарантирует достаточную для большинства компаний степень защиты информации, а значит, денег и бизнеса.
