ஓரிரு மாதங்களில், ஒரு சிறிய ஆனால் மிகவும் சுறுசுறுப்பான COVID-19 வைரஸ் உலகப் பொருளாதாரத்தை உலுக்கி, நீண்ட காலமாக வணிகம் செய்வதற்கான விதிகளை மாற்றியுள்ளது. இப்போது அலுவலகப் பணியை மிகவும் அர்ப்பணிப்புடன் கடைப்பிடிப்பவர்கள் கூட ஊழியர்களை தொலைதூர வேலைக்கு மாற்ற வேண்டிய நிலை ஏற்பட்டுள்ளது.
பழமைவாத தலைவர்களின் கனவு ஒரு நிஜமாகிவிட்டது: ஆடியோ மாநாடுகள், உடனடி தூதர்களில் நிலையான கடிதங்கள் மற்றும் கட்டுப்பாடு இல்லை!
கார்ப்பரேட் பாதுகாப்புக்கு மிகவும் ஆபத்தான இரண்டு அச்சுறுத்தல்களையும் கொரோனா வைரஸ் செயல்படுத்தியுள்ளது. முதலாவதாக, தொலைதூர வேலைக்கு அவசரகால மாற்றத்தின் சூழ்நிலையில் நிறுவனங்களின் பாதிப்பைப் பயன்படுத்திக் கொள்ளும் ஹேக்கர்கள். இரண்டாவது எங்கள் சொந்த ஊழியர்கள். பணியாளர்கள் எவ்வாறு, ஏன் தரவைத் திருடலாம், மிக முக்கியமாக, அதை எவ்வாறு கையாள்வது என்பதைக் கண்டுபிடிக்க முயற்சிப்போம்.
கார்ப்பரேட் கசிவுக்கான சரியான செய்முறை
2019 ஆம் ஆண்டில் ரஷ்யாவில் உள்ள ஆராய்ச்சியாளர்களின் கூற்றுப்படி, 2018 ஆம் ஆண்டை விட வணிக மற்றும் அரசு நிறுவனங்களில் இருந்து இரகசிய தகவல்களின் பதிவு கசிவுகளின் எண்ணிக்கை 40% அதிகரித்துள்ளது. அதே நேரத்தில், ஹேக்கர்கள் 20% க்கும் குறைவான வழக்குகளில் தரவைத் திருடுகிறார்கள், முக்கிய மீறுபவர்கள் ஊழியர்கள் - அவர்கள் அனைத்து கசிவுகளிலும் தோராயமாக 70% பொறுப்பு.
பணியாளர்கள் நிறுவன தகவல்களையும் வாடிக்கையாளர்களின் தனிப்பட்ட தரவையும் வேண்டுமென்றே திருடலாம் அல்லது தகவல் பாதுகாப்பு விதிகளை மீறுவதால் அவற்றை சமரசம் செய்யலாம். முதல் வழக்கில், தரவு பெரும்பாலும் விற்கப்படும்: கருப்பு சந்தையில் அல்லது போட்டியாளர்களுக்கு. அவற்றின் விலை மதிப்பைப் பொறுத்து சில நூறு முதல் நூறாயிரக்கணக்கான ரூபிள் வரை மாறுபடும். வரவிருக்கும் நெருக்கடியின் பின்னணியில் மற்றும் பணிநீக்க அலைகளை எதிர்பார்த்து, இந்த சூழ்நிலை மிகவும் உண்மையானதாகிறது: பீதி, தெரியாத பயம் மற்றும் வேலை இழப்புக்கு எதிராக காப்பீடு செய்வதற்கான விருப்பம், அத்துடன் கடுமையான அலுவலக கட்டுப்பாடுகள் இல்லாமல் வேலை தகவல்களை அணுகுதல். கார்ப்பரேட் கசிவுக்கான ஆயத்த செய்முறை.
சந்தையில் என்ன தரவு தேவை? டெலிகாம் ஆபரேட்டர்களின் "எண்டர்பிரைசிங்" ஊழியர்கள் மன்றங்களில் "எண் குத்துதல்" சேவையை வழங்குகிறார்கள்: இந்த வழியில் நீங்கள் உரிமையாளரின் பெயர், பதிவு முகவரி மற்றும் அவரது பாஸ்போர்ட் தரவு ஆகியவற்றைப் பெறலாம். நிதி நிறுவனங்களின் ஊழியர்களும் வாடிக்கையாளர் தரவை ஒரு "சூடான பண்டமாக" கருதுகின்றனர்.
கார்ப்பரேட் சூழலில், பணியாளர்கள் வாடிக்கையாளர் தளங்கள், நிதி ஆவணங்கள், ஆராய்ச்சி அறிக்கைகள் மற்றும் திட்டங்களை போட்டியாளர்களுக்கு மாற்றுகிறார்கள். ஏறக்குறைய அனைத்து அலுவலக ஊழியர்களும் தங்கள் செயல்களில் தீங்கிழைக்கும் நோக்கம் இல்லாவிட்டாலும், ஒரு முறையாவது தகவல் பாதுகாப்பு விதிகளை மீறியுள்ளனர். அச்சுப்பொறியிலிருந்து கணக்கியல் அறிக்கை அல்லது மூலோபாயத் திட்டத்தை எடுக்க ஒருவர் மறந்துவிட்டார், மற்றொருவர் குறைந்த அளவிலான ஆவணங்களை அணுகக்கூடிய சக ஊழியருடன் கடவுச்சொல்லைப் பகிர்ந்துள்ளார், மூன்றில் ஒரு பகுதியினர் சமீபத்திய வளர்ச்சியின் புகைப்படங்களை நண்பர்களுக்கு இன்னும் சந்தைப்படுத்தவில்லை. நிறுவனத்தின் அறிவுசார் சொத்தின் ஒரு பகுதி, இது ஒரு வர்த்தக ரகசியமாக இருக்கலாம், வெளியேறும் பெரும்பாலான ஊழியர்களை தன்னுடன் எடுத்துச் செல்கிறது.
கசிவுகளின் மூலத்தை எவ்வாறு கண்டுபிடிப்பது
ஒரு நிறுவனத்திலிருந்து பல வழிகளில் தகவல் கசிகிறது. தரவு அச்சிடப்பட்டு, வெளிப்புற ஊடகங்களுக்கு நகலெடுக்கப்பட்டு, அஞ்சல் மூலமாகவோ அல்லது உடனடி தூதர்கள் மூலமாகவோ அனுப்பப்படுகிறது, கணினித் திரை அல்லது ஆவணங்களில் புகைப்படம் எடுக்கப்படுகிறது, மேலும் ஸ்டெகானோகிராபியைப் பயன்படுத்தி படங்கள், ஆடியோ அல்லது வீடியோ கோப்புகளில் மறைக்கப்படுகிறது. ஆனால் இது மிக உயர்ந்த நிலை, எனவே இது மிகவும் மேம்பட்ட கடத்தல்காரர்களுக்கு மட்டுமே கிடைக்கும். சராசரி அலுவலக ஊழியர் இந்த தொழில்நுட்பத்தைப் பயன்படுத்த வாய்ப்பில்லை.
ஆவணங்களின் பரிமாற்றம் மற்றும் நகலெடுப்பு DLP தீர்வுகளைப் பயன்படுத்தி பாதுகாப்பு சேவைகளால் கண்காணிக்கப்படுகிறது (தரவு கசிவு தடுப்பு - தரவு கசிவைத் தடுப்பதற்கான தீர்வுகள்), அத்தகைய அமைப்புகள் கோப்புகளின் இயக்கத்தையும் அவற்றின் உள்ளடக்கத்தையும் கட்டுப்படுத்துகின்றன. சந்தேகத்திற்கிடமான செயல்பாடு ஏற்பட்டால், கணினி நிர்வாகிக்கு தெரிவிக்கிறது மற்றும் மின்னஞ்சல்களை அனுப்புவது போன்ற தரவு பரிமாற்ற சேனல்களைத் தடுக்கிறது.
ஏன், DLP இன் செயல்திறன் இருந்தபோதிலும், தகவல் ஊடுருவுபவர்களின் கைகளில் தொடர்ந்து விழுகிறது? முதலாவதாக, தொலைதூர பணிச்சூழலில், அனைத்து தகவல்தொடர்பு சேனல்களையும் கட்டுப்படுத்துவது கடினம், குறிப்பாக தனிப்பட்ட சாதனங்களில் வேலைப் பணிகள் செய்யப்பட்டால். இரண்டாவதாக, இதுபோன்ற அமைப்புகள் எவ்வாறு செயல்படுகின்றன என்பதை ஊழியர்கள் அறிந்திருக்கிறார்கள் மற்றும் ஸ்மார்ட்போன்களைப் பயன்படுத்தி அவற்றைத் தவிர்க்கிறார்கள் - அவர்கள் ஸ்கிரீன் ஷாட்கள் அல்லது ஆவணங்களின் நகல்களை எடுக்கிறார்கள். இந்த வழக்கில், கசிவைத் தடுப்பது கிட்டத்தட்ட சாத்தியமற்றது. நிபுணர்களின் கூற்றுப்படி, சுமார் 20% கசிவுகள் புகைப்படங்கள், குறிப்பாக 90% வழக்குகளில் ஆவணங்களின் மதிப்புமிக்க நகல்கள் இந்த வழியில் மாற்றப்படுகின்றன. அத்தகைய சூழ்நிலையில் முக்கிய பணி, உள் நபரைக் கண்டுபிடித்து அவரது மேலும் சட்டவிரோத நடவடிக்கைகளைத் தடுப்பதாகும்.
புகைப்படங்கள் மூலம் கசிவுகள் ஏற்பட்டால் ஊடுருவும் நபரைக் கண்டறிவதற்கான மிகச் சிறந்த வழி, முன் மறைக்கப்பட்ட காட்சி குறிப்பதன் மூலம் தரவைப் பாதுகாக்க ஒரு அமைப்பைப் பயன்படுத்துவதாகும். எடுத்துக்காட்டாக, SafeCopy அமைப்பு ஒவ்வொரு பயனருக்கும் ஒரு ரகசிய ஆவணத்தின் தனிப்பட்ட நகலை உருவாக்குகிறது. கசிவு ஏற்பட்டால், கண்டுபிடிக்கப்பட்ட பகுதியைப் பயன்படுத்தி, ஆவணத்தின் உரிமையாளரை நீங்கள் துல்லியமாக தீர்மானிக்க முடியும், இது பெரும்பாலும் கசிவுக்கான ஆதாரமாக மாறியது.
அத்தகைய அமைப்பு ஆவணங்களைக் குறிப்பது மட்டுமல்லாமல், கசிவின் மூலத்தை அடையாளம் காண்பதற்காக மதிப்பெண்களை அங்கீகரிக்க தயாராக இருக்க வேண்டும். ஆராய்ச்சி நிறுவனமான SOKB இன் அனுபவத்தின்படி, தரவுகளின் ஆதாரம் பெரும்பாலும் ஆவணங்களின் நகல்களின் துண்டுகள் அல்லது தரமற்ற நகல்களால் தீர்மானிக்கப்பட வேண்டும், சில நேரங்களில் உரையை உருவாக்குவது கடினம். அத்தகைய சூழ்நிலையில், கணினியின் செயல்பாடு முதலில் வருகிறது, ஆவணத்தின் மின்னணு மற்றும் கடின நகல்கள் அல்லது ஆவணத்தின் ஏதேனும் பத்தியின் நகல் மூலம் மூலத்தை தீர்மானிக்கும் திறனை வழங்குகிறது. குறைந்த தெளிவுத்திறன் கொண்ட புகைப்படங்களுடன் கணினி வேலை செய்ய முடியுமா என்பதும் முக்கியம், எடுத்துக்காட்டாக, ஒரு கோணத்தில்.
ஆவணங்களின் மறைக்கப்பட்ட குறிக்கும் அமைப்பு, குற்றவாளியைக் கண்டுபிடிப்பதைத் தவிர, மற்றொரு சிக்கலைத் தீர்க்கிறது - ஊழியர்கள் மீதான உளவியல் தாக்கம். ஆவணங்கள் "குறியிடப்பட்டுள்ளன" என்பதை அறிந்தால், ஊழியர்கள் மீறுவதற்கான வாய்ப்புகள் குறைவு, ஏனெனில் ஆவணத்தின் நகல் அதன் கசிவுக்கான மூலத்தைக் குறிக்கும்.
தரவு மீறல்கள் எவ்வாறு தண்டிக்கப்படுகின்றன?
அமெரிக்கா மற்றும் ஐரோப்பிய நாடுகளில், தற்போதைய அல்லது முன்னாள் ஊழியர்களுக்கு எதிராக நிறுவனங்கள் தொடங்கும் உயர்மட்ட வழக்குகள் இனி யாரையும் ஆச்சரியப்படுத்தாது. நிறுவனங்கள் தங்கள் அறிவுசார் சொத்துக்களை தீவிரமாகப் பாதுகாக்கின்றன, மீறுபவர்கள் ஈர்க்கக்கூடிய அபராதம் மற்றும் சிறைத்தண்டனைகளைப் பெறுகிறார்கள்.
ரஷ்யாவில், கசிவை ஏற்படுத்திய ஒரு ஊழியரை தண்டிக்க இன்னும் பல வாய்ப்புகள் இல்லை, குறிப்பாக வேண்டுமென்றே, ஆனால் பாதிக்கப்பட்ட நிறுவனம் மீறுபவர்களை நிர்வாகத்திற்கு மட்டுமல்ல, குற்றவியல் பொறுப்புக்கும் கொண்டு வர முயற்சி செய்யலாம். ரஷ்ய கூட்டமைப்பின் குற்றவியல் கோட் பிரிவு 137 இன் படி "» தனிப்பட்ட வாழ்க்கையைப் பற்றிய தகவல்களை சட்டவிரோதமாக சேகரித்தல் அல்லது பரப்புதல், எடுத்துக்காட்டாக, உத்தியோகபூர்வ பதவியைப் பயன்படுத்தி வாடிக்கையாளர் தரவு, 100 ஆயிரம் ரூபிள் அபராதம் விதிக்கப்படலாம். ரஷ்ய கூட்டமைப்பின் குற்றவியல் கோட் பிரிவு 272 "» 100 முதல் 300 ஆயிரம் ரூபிள் வரை கணினி தகவல்களை சட்டவிரோதமாக நகலெடுப்பதற்கு அபராதம் விதிக்கிறது. இரண்டு குற்றங்களுக்கும் அதிகபட்ச தண்டனையாக கட்டுப்பாடு அல்லது நான்கு ஆண்டுகள் வரை சிறைத்தண்டனை விதிக்கப்படலாம்.
ரஷ்ய நீதித்துறை நடைமுறையில், தரவு திருடுபவர்களுக்கு கடுமையான தண்டனைகள் இன்னும் சில முன்மாதிரிகள் உள்ளன. பெரும்பாலான நிறுவனங்கள் ஒரு பணியாளரை பணிநீக்கம் செய்வதில் தங்களைக் கட்டுப்படுத்திக் கொள்கின்றன, மேலும் அவருக்கு கடுமையான தடைகள் எதுவும் விதிக்கப்படுவதில்லை. ஆவணக் குறிக்கும் அமைப்புகள் தரவு திருடர்களின் தண்டனைக்கு பங்களிக்க முடியும்: அவர்களின் உதவியுடன் மேற்கொள்ளப்பட்ட விசாரணையின் முடிவுகள் சட்ட நடவடிக்கைகளில் பயன்படுத்தப்படலாம். கசிவுகள் பற்றிய விசாரணை மற்றும் இத்தகைய குற்றங்களுக்கு கடுமையான தண்டனை வழங்குவதில் நிறுவனங்களின் தீவிர அணுகுமுறை மட்டுமே அலைகளைத் திருப்பவும், திருடர்கள் மற்றும் தகவல்களை வாங்குபவர்களின் ஆர்வத்தைத் தணிக்கவும் உதவும். இன்று, கசியும் ஆவணங்களை சேமிப்பது ஆவண உரிமையாளர்களின் வேலை.
ஆதாரம்: www.habr.com