Что делать, если ваша клиентская база попала в открытый доступ? И как этого избежать

Когда факт утечки становится достоянием общественности, оправдания никого не интересуют. Заказчикам неважно, кто, как и почему «слил» их данные. Важно, как вы отреагируете на инцидент.

Первый шаг – неприятный, но необходимый – признать проблему и предпринять оперативные меры: связаться с облачным провайдером и сделать запрос на удаление информации. Оперативно приступить к расследованию, чтобы не только найти виновных, но и максимально обезопасить компанию от повторения инцидента. Причины утечки могут быть как технические, так и административные. Нужно понимать, что и те, и другие придется устранять одновременно.

Придется оповестить заказчиков о том, какая именно информация о них утекла в открытый доступ. Возможно, многие захотят сменить номера мобильных и добавочных телефонов, почтовые адреса, чтобы оградить себя от шквала звонков и писем.

Восстановить отношения с клиентами будет непросто, особенно в данном случае. Но лучше предупредить, извиниться и, в крайнем случае, расстаться мирно, чем получить вал заявлений о разглашении персональных данных.

Корпоративным юристам так или иначе придется улаживать формальности. Компания – юридическое лицо – допустила разглашение персональных данных, что попадает под действие 152-ФЗ.

Можно ли было предупредить подобный инцидент?

Первый вывод, который напрашивается, если судить по количеству записей в базе данных (более 5 тысяч строк) – в компании не применяют разграничение прав доступа. Если бы один рассерженный менеджер распространял клиентские данные, количество записей не превысило бы нескольких сотен.

Еще одно правило работы с базой клиентов – доступ к CRM только с авторизированных устройств, с двухступенчатой процедурой авторизации, например, пароль плюс SMS-аутентификация. Все действия в системе должны протоколироваться: кто, когда, откуда заходил и что именно делал. В «СёрчИнформ» рядовые сотрудники не могут скачать большие объемы информации из CRM-системы и политики безопасности настроены таким образом, что ИБ-отдел и топ-менеджеры сразу получают оповещения о таких критичных событиях, как копирование базы контактов. Сообщение об активности пользователя руководители получают и в том случае, если менеджер, например, последовательно просматривает большое количество клиентских карточек.

Если компания не пренебрегает этими правилами безопасности, круг сотрудников, которые могут «слить» базу, сужается до привилегированных пользователей. Однако это не означает, что информация движется по сети бесконтрольно. Грамотно настроенная DLP-система зафиксирует перемещение файла независимо от того, скачал его сотрудник на флешку, отравил на стороннюю почту, «залил» в облачный сервис. При любом отклонении от «нормального» маршрута, срабатывают политики безопасности.

Нашей DLP неважно, как данные покидают пределы компании: по e-mail, через Skype или другой мессенджер, заливается на файлообменник. Важно, что документ содержит большое количество адресов электронной почты и номеров телефонов. Система вычисляет его с помощью регулярных выражений и оповещает ИБ-специалиста.

Безусловно, нужно вести и кадровую работу. Служба безопасности должна понимать, когда сотрудник чем-то недоволен, выявлять негатив к компании, коллективу или руководству. Все это позволяет делать DLP-система практически на автомате – при помощи «графа отношений», контроля корпоративных чатов, мессенджеров, почты.

Это же не происходит за один день, недовольство растет постепенно и его нужно отслеживать. Если попытки нивелировать недовольство не срабатывают, с работником расстаются. Но опять же, если соблюсти нормальные человеческие условия (мы, например, в случае увольнения по инициативе компании, оставляем за работником зарплату за следующий месяц), а также предпринять необходимые ИБ-меры (закрыть доступы к критичным ресурсам, урезать права), можно максимально обезопасить компанию от подобных ситуаций.

Утечку данных InfoWatch официально прокомментировал Лев Матвеев, председатель совета директоров «СёрчИнформ».