కేవలం రెండు నెలల వ్యవధిలో, ఒక చిన్న కానీ చాలా చురుకైన COVID-19 వైరస్ ప్రపంచ ఆర్థిక వ్యవస్థను కుదిపేసింది మరియు వ్యాపారం చేయడంలో దీర్ఘకాలంగా స్థిరపడిన నియమాలను మార్చింది. ఇప్పుడు ఆఫీస్-వర్క్లో అత్యంత అంకితభావంతో పనిచేసేవారు కూడా ఉద్యోగులను రిమోట్ వర్క్కు బదిలీ చేయవలసి వచ్చింది.
సంప్రదాయవాద నాయకుల పీడకల రియాలిటీగా మారింది: ఆడియో సమావేశాలు, తక్షణ మెసెంజర్లలో స్థిరమైన కరస్పాండెన్స్ మరియు నియంత్రణ లేదు!
కరోనావైరస్ కార్పొరేట్ భద్రతకు అత్యంత ప్రమాదకరమైన రెండు బెదిరింపులను కూడా సక్రియం చేసింది. మొదటిది రిమోట్ పనికి అత్యవసర పరివర్తన పరిస్థితిలో కంపెనీల దుర్బలత్వాన్ని సద్వినియోగం చేసుకునే హ్యాకర్లు. రెండవది మా స్వంత ఉద్యోగులు. ఉద్యోగులు డేటాను ఎలా మరియు ఎందుకు దొంగిలించగలరో మరియు ముఖ్యంగా, దానితో ఎలా వ్యవహరించాలో గుర్తించడానికి ప్రయత్నిద్దాం.
కార్పొరేట్ లీక్ కోసం పర్ఫెక్ట్ రెసిపీ
2019 లో రష్యాలోని పరిశోధకుల ప్రకారం, వాణిజ్య మరియు ప్రభుత్వ సంస్థల నుండి వర్గీకృత సమాచారం యొక్క నమోదిత లీక్ల సంఖ్య 2018తో పోలిస్తే 40% పెరిగింది. అదే సమయంలో, హ్యాకర్లు 20% కంటే తక్కువ కేసులలో డేటాను దొంగిలిస్తారు, ప్రధాన ఉల్లంఘించినవారు ఉద్యోగులు - వారు దాదాపు 70% లీక్లకు బాధ్యత వహిస్తారు.
ఉద్యోగులు ఉద్దేశపూర్వకంగా కార్పొరేట్ సమాచారం మరియు ఖాతాదారుల వ్యక్తిగత డేటాను దొంగిలించవచ్చు లేదా సమాచార భద్రతా నియమాలను ఉల్లంఘించిన కారణంగా వాటిని రాజీ చేయవచ్చు. మొదటి సందర్భంలో, డేటా ఎక్కువగా విక్రయించబడుతుంది: బ్లాక్ మార్కెట్లో లేదా పోటీదారులకు. వాటి ధర విలువను బట్టి కొన్ని వందల నుండి వందల వేల రూబిళ్లు వరకు మారవచ్చు. రాబోయే సంక్షోభం నేపథ్యంలో మరియు తొలగింపుల వేవ్ ఎదురుచూస్తూ, ఈ దృశ్యం చాలా వాస్తవమైనది: భయాందోళన, తెలియని భయం మరియు ఉద్యోగ నష్టానికి బీమా చేయాలనే కోరిక, అలాగే కఠినమైన కార్యాలయ పరిమితులు లేకుండా పని సమాచారాన్ని యాక్సెస్ చేయడం. కార్పొరేట్ లీక్ కోసం రెడీమేడ్ రెసిపీ.
మార్కెట్లో ఏ డేటాకు డిమాండ్ ఉంది? టెలికాం ఆపరేటర్ల "ఎంటర్ప్రైజింగ్" ఉద్యోగులు ఫోరమ్లలో "నంబర్ పంచింగ్" సేవను అందిస్తారు: ఈ విధంగా మీరు యజమాని పేరు, రిజిస్ట్రేషన్ చిరునామా మరియు అతని పాస్పోర్ట్ డేటాను పొందవచ్చు. ఆర్థిక సంస్థల ఉద్యోగులు కూడా కస్టమర్ డేటాను "హాట్ కమోడిటీ"గా పరిగణిస్తారు.
కార్పొరేట్ వాతావరణంలో, ఉద్యోగులు కస్టమర్ బేస్లు, ఆర్థిక పత్రాలు, పరిశోధన నివేదికలు మరియు ప్రాజెక్ట్లను పోటీదారులకు బదిలీ చేస్తారు. దాదాపు అన్ని కార్యాలయ ఉద్యోగులు తమ చర్యలలో హానికరమైన ఉద్దేశ్యం లేనప్పటికీ, కనీసం ఒక్కసారైనా సమాచార భద్రతా నియమాలను ఉల్లంఘించారు. ఎవరో ప్రింటర్ నుండి అకౌంటింగ్ రిపోర్ట్ లేదా వ్యూహాత్మక ప్రణాళికను తీయడం మర్చిపోయారు, మరొకరు తక్కువ స్థాయి డాక్యుమెంట్లకు యాక్సెస్ ఉన్న సహోద్యోగితో పాస్వర్డ్ను పంచుకున్నారు, మూడవ వంతు తాజా డెవలప్మెంట్ ఫోటోలను స్నేహితులకు ఇంకా మార్కెట్ చేయబడలేదు. కంపెనీ మేధో సంపత్తిలో కొంత భాగం, ఇది వ్యాపార రహస్యం కావచ్చు, దానితో నిష్క్రమించే ఉద్యోగులలో ఎక్కువ మందిని తీసుకుంటారు.
లీక్ల మూలాన్ని ఎలా కనుగొనాలి
ఒక సంస్థ నుండి అనేక విధాలుగా సమాచారం లీక్ అవుతుంది. డేటా ముద్రించబడుతుంది, బాహ్య మాధ్యమానికి కాపీ చేయబడుతుంది, మెయిల్ ద్వారా లేదా తక్షణ సందేశకుల ద్వారా పంపబడుతుంది, కంప్యూటర్ స్క్రీన్ లేదా డాక్యుమెంట్లపై ఫోటో తీయబడుతుంది మరియు స్టెగానోగ్రఫీని ఉపయోగించి చిత్రాలు, ఆడియో లేదా వీడియో ఫైల్లలో కూడా దాచబడుతుంది. కానీ ఇది అత్యధిక స్థాయి, కాబట్టి ఇది చాలా అధునాతన అపహరణదారులకు మాత్రమే అందుబాటులో ఉంటుంది. సగటు కార్యాలయ ఉద్యోగి ఈ సాంకేతికతను ఉపయోగించే అవకాశం లేదు.
పత్రాల బదిలీ మరియు కాపీ చేయడం DLP సొల్యూషన్స్ (డేటా లీక్ నివారణ - డేటా లీకేజీని నిరోధించే పరిష్కారాలు) ఉపయోగించి భద్రతా సేవల ద్వారా పర్యవేక్షిస్తుంది, అటువంటి వ్యవస్థలు ఫైల్ల కదలికను మరియు వాటి కంటెంట్ను నియంత్రిస్తాయి. అనుమానాస్పద కార్యాచరణ విషయంలో, సిస్టమ్ నిర్వాహకుడికి తెలియజేస్తుంది మరియు ఇమెయిల్లను పంపడం వంటి డేటా ట్రాన్స్మిషన్ ఛానెల్లను బ్లాక్ చేస్తుంది.
DLP యొక్క ప్రభావం ఉన్నప్పటికీ, సమాచారం చొరబాటుదారుల చేతుల్లోకి ఎందుకు వస్తుంది? మొదట, రిమోట్ పని వాతావరణంలో, అన్ని కమ్యూనికేషన్ ఛానెల్లను నియంత్రించడం కష్టం, ప్రత్యేకించి వ్యక్తిగత పరికరాలలో పని పనులు నిర్వహించబడితే. రెండవది, అటువంటి వ్యవస్థలు ఎలా పనిచేస్తాయో ఉద్యోగులకు తెలుసు మరియు స్మార్ట్ఫోన్లను ఉపయోగించి వాటిని దాటవేస్తారు - వారు స్క్రీన్షాట్లు లేదా పత్రాల కాపీలను తీసుకుంటారు. ఈ సందర్భంలో, లీకేజీని నిరోధించడం దాదాపు అసాధ్యం. నిపుణుల అభిప్రాయం ప్రకారం, దాదాపు 20% లీక్లు ఫోటోలు, మరియు ముఖ్యంగా 90% కేసులలో పత్రాల విలువైన కాపీలు ఈ విధంగా బదిలీ చేయబడతాయి. అటువంటి పరిస్థితిలో ప్రధాన పని అంతర్గత వ్యక్తిని కనుగొనడం మరియు అతని తదుపరి చట్టవిరుద్ధ చర్యలను నిరోధించడం.
ఫోటోగ్రాఫ్ల ద్వారా లీక్ల విషయంలో చొరబాటుదారుని కనుగొనడానికి అత్యంత ప్రభావవంతమైన మార్గం ముందుగా దాచిన దృశ్య మార్కింగ్ ద్వారా డేటాను రక్షించడానికి సిస్టమ్ను ఉపయోగించడం. ఉదాహరణకు, సేఫ్కాపీ సిస్టమ్ ప్రతి వినియోగదారు కోసం రహస్య పత్రం యొక్క ప్రత్యేక కాపీని సృష్టిస్తుంది. లీక్ అయినప్పుడు, దొరికిన భాగాన్ని ఉపయోగించి, మీరు పత్రం యొక్క యజమానిని ఖచ్చితంగా గుర్తించవచ్చు, ఇది లీక్ యొక్క మూలంగా మారింది.
ఇటువంటి వ్యవస్థ పత్రాలను గుర్తించడమే కాకుండా, లీక్ యొక్క మూలాన్ని గుర్తించడానికి మార్కులను గుర్తించడానికి సిద్ధంగా ఉండాలి. రీసెర్చ్ ఇన్స్టిట్యూట్ SOKB యొక్క అనుభవం ప్రకారం, డేటా యొక్క మూలం చాలా తరచుగా పత్రాల కాపీల శకలాలు లేదా నాణ్యత లేని కాపీల ద్వారా నిర్ణయించబడాలి, దానిపై వచనాన్ని రూపొందించడం కొన్నిసార్లు కష్టం. అటువంటి పరిస్థితిలో, సిస్టమ్ యొక్క కార్యాచరణ మొదట వస్తుంది, పత్రం యొక్క ఎలక్ట్రానిక్ మరియు హార్డ్ కాపీల ద్వారా లేదా పత్రంలోని ఏదైనా పేరా కాపీ ద్వారా మూలాన్ని గుర్తించే సామర్థ్యాన్ని అందిస్తుంది. తక్కువ రిజల్యూషన్ ఉన్న ఫోటోగ్రాఫ్లతో సిస్టమ్ పని చేయగలదా అనేది కూడా ముఖ్యం, ఉదాహరణకు, ఒక కోణంలో.
పత్రాల దాచిన మార్కింగ్ వ్యవస్థ, అపరాధిని కనుగొనడంతో పాటు, మరొక సమస్యను పరిష్కరిస్తుంది - ఉద్యోగులపై మానసిక ప్రభావం. పత్రాలు “గుర్తించబడ్డాయి” అని తెలుసుకోవడం, ఉద్యోగులు ఉల్లంఘించే అవకాశం తక్కువ, ఎందుకంటే పత్రం యొక్క కాపీ దాని లీకేజీకి మూలాన్ని సూచిస్తుంది.
డేటా ఉల్లంఘనలు ఎలా శిక్షించబడతాయి?
US మరియు యూరోపియన్ దేశాలలో, ప్రస్తుత లేదా మాజీ ఉద్యోగులపై కంపెనీలు ప్రారంభించిన ఉన్నత స్థాయి వ్యాజ్యాలు ఎవరినీ ఆశ్చర్యపరచవు. కార్పొరేషన్లు వారి మేధో సంపత్తిని చురుకుగా పరిరక్షిస్తాయి, ఉల్లంఘించినవారు ఆకట్టుకునే జరిమానాలు మరియు జైలు శిక్షలను కూడా పొందుతారు.
రష్యాలో, లీక్కు కారణమైన ఉద్యోగిని శిక్షించడానికి ఇంకా చాలా అవకాశాలు లేవు, ముఖ్యంగా ఉద్దేశపూర్వకంగా, కానీ ప్రభావిత సంస్థ ఉల్లంఘించిన వ్యక్తిని పరిపాలనాపరంగా మాత్రమే కాకుండా నేర బాధ్యతకు కూడా తీసుకురావడానికి ప్రయత్నించవచ్చు. రష్యన్ ఫెడరేషన్ యొక్క క్రిమినల్ కోడ్ యొక్క ఆర్టికల్ 137 ప్రకారం "» వ్యక్తిగత జీవితం గురించిన సమాచారాన్ని అక్రమంగా సేకరించడం లేదా వ్యాప్తి చేయడం కోసం, ఉదాహరణకు, అధికారిక స్థానం ఉపయోగించి కట్టుబడి ఉన్న కస్టమర్ డేటా, 100 వేల రూబిళ్లు జరిమానా విధించబడుతుంది. రష్యన్ ఫెడరేషన్ యొక్క క్రిమినల్ కోడ్ యొక్క ఆర్టికల్ 272 "» 100 నుండి 300 వేల రూబిళ్లు వరకు కంప్యూటర్ సమాచారాన్ని చట్టవిరుద్ధంగా కాపీ చేయడం కోసం జరిమానా కోసం అందిస్తుంది. రెండు నేరాలకు గరిష్టంగా నాలుగు సంవత్సరాల వరకు పరిమితి లేదా జైలు శిక్ష విధించవచ్చు.
రష్యన్ జ్యుడీషియల్ ప్రాక్టీస్లో, డేటా దొంగల కోసం తీవ్రమైన జరిమానాలతో కొన్ని పూర్వజన్మలు ఇప్పటికీ ఉన్నాయి. చాలా కంపెనీలు ఉద్యోగిని తొలగించడానికి తమను తాము పరిమితం చేసుకుంటాయి మరియు అతనికి ఎటువంటి తీవ్రమైన ఆంక్షలు విధించవు. డాక్యుమెంట్ మార్కింగ్ సిస్టమ్స్ డేటా దొంగల శిక్షకు దోహదపడతాయి: వారి సహాయంతో జరిపిన విచారణ ఫలితాలు చట్టపరమైన చర్యలలో ఉపయోగించబడతాయి. లీక్ల దర్యాప్తు పట్ల కంపెనీల తీవ్రమైన వైఖరి మరియు అటువంటి నేరాలకు కఠినమైన శిక్ష మాత్రమే ఆటుపోట్లను తిప్పడానికి మరియు దొంగలు మరియు సమాచారాన్ని కొనుగోలు చేసేవారి ఉత్సాహాన్ని చల్లబరుస్తుంది. నేడు, లీక్ అవుతున్న పత్రాలను సేవ్ చేయడం అనేది పత్రం యజమానుల పని.
మూలం: www.habr.com