Как браузер помогает ритейлу бороться с утечками данных

Рассказывает Алексей Лиходзиевский, руководитель Яндекс Браузера для организаций.

По подсчётам экспертов, каждая пятая российская компания сталкивается с утечками данных, а средний ущерб от одного инцидента может составить 5,5 млн рублей в виде прямых финансовых потерь – без учёта репутационных издержек и расходов, связанных со штрафами.

С ноября 2024 года повторная утечка персональных данных грозит российским компаниям не только репутационными издержками, потерей контрактов и другими непрямыми финансовыми потерями, но и оборотными штрафами — от 1% до 3% выручки.

В российском ритейле утечки данных, к сожалению, случаются регулярно. Только по открытой информации, в 2024 году произошло не менее 14 утечек из IT-систем различных российских ритейлеров. В каждой — сотни тысяч строк пользовательских данных. 

Кроме персональных данных утечь могут контактные базы клиентов и бизнес-партнеров, интеллектуальная собственность и другая внутренняя информация. Последствия таких инцидентов легко представить: например, недобросовестные конкуренты могут использовать в своих целях базу клиентов или информацию о разработках. 

У утечек обычно две основных причины: успешные атаки злоумышленников на IT-системы организации и действия сотрудников или подрядчиков — умышленные или случайные. И если защита собственной IT-инфраструктуры, а также управление доступом сотрудников к информации, находятся в прямой зоне ответственности ИБ-команды ритейлера, то подрядчики — это почти всегда зона неизвестности.

Почему так происходит и причем тут браузеры

С нашей точки зрения, угроза от работы с подрядчиками возникает в результате четырёх трендов, активно развивающихся в том числе в сфере ритейла в последние годы:

— Передача ряда бизнес-задач на аутсорс;
— Активная оцифровка бизнес-процессов; 
— Переезд в «облака»;
— Использование сотрудниками личных устройств для доступа к внутренним сервисам

Мы видим, что на аутсорс сегодня передаются не только задачи по «непрофильным» для ритейла направлениям, вроде разработки ПО и построения IT-систем, но и бизнес-функции, которые прежде полностью решались силами внутренних команд — в частности, задачи в области подбора персонала (особенно, линейного), маркетинга, логистики, бизнес-аналитики и т.д. 

При этом взаимодействие с такими подрядчиками нередко включает предоставление им доступа к внутренним IT-системам компаний и конфиденциальной информации, которая в них хранится. Нередко она касается бизнес-аналитики, управления складами, персоналом и др.

Сами такие системы всё чаще существуют в формате облачного приложения с доступом через браузер. Для многих ритейлеров, имеющих распределённую сеть офисов и филиалов, а также большой штат сотрудников, облачный формат внутренних сервисов оказывается удобнее, чем развёртывание локальных IT-инфраструктур на местах.

В результате сотрудники, а также подрядчики получают доступ к конфиденциальной информации, пользуясь всего одной программой — браузером. 

Это далеко не всегда происходит с корпоративных ноутбуков, планшетов или смартфонов. По данным нашего недавнего исследования, семь из десяти сотрудников (в том числе компаний-подрядчиков) используют для работы личные устройства. 

То есть сотрудники компании-подрядчика регулярно получает доступ к конфиденциальным сведениям с устройства, на котором не обязательно установлена защита или могут быть программы для похищения данных, а у ИБ-команды ритейлера далеко не всегда есть возможность убедиться, что подрядчик подключается к системам из безопасного окружения.

Для безопасности данных ритейла в этом есть и плохие, и хорошие новости.


@Freepic

Угроза или возможность?

Плохая новость в том, что браузер обычно — слепое пятно для ИБ-служб организаций. Специалисты, как правило, не знают, какую именно информацию сотрудники просматривают через браузер, на какие сайты заходят, какие файлы скачивают, достаточно ли сложный они используют пароль и т.д. Частично бороться с этим позволяют корпоративные средства защиты информации, но далеко не всегда и не в достаточном объеме. 

Хорошие новости в том, что если используется корпоративный браузер, то у ИБ-специалистов, наоборот, возникают дополнительные инструменты для управления доступом к конфиденциальной информации и защиты её от угроз. На примере функций Яндекс Браузера для организаций расскажу, какие именно это инструменты.

● Проверка устройств

Подрядчик может подключиться к системам компании с небезопасного устройства: в нём могут быть уязвимости или может отсутствовать защита от вирусов. Вероятность, что через такое устройство конфиденциальная информация утечёт, гораздо выше, чем если устройство обновлено и защищено. 

Функция «Проверка устройств» позволяет задать требования к устройству и состоянию установленного на нём ПО. Если Браузер или устройство подрядчика не соответствует ожидаемому эталону (например, браузер и операционная система не обновлены до свежей версии, а антивирус отключён), то доступ к внутренним ресурсам будет заблокирован.

● Обязательный браузер

В большинстве случаев контрагенты для подключения к системам компании воспользуются тем браузером, который им удобен. Он может быть заражён вредоносным ПО или из него можно бесконтрольно копировать информацию. 

Функция «Обязательный браузер», при соответствующей настройке сетевой инфраструктуры организации, позволяет сделать Яндекс Браузер для организаций единственным браузером, с помощью которого можно получить доступ к внутренним ресурсам. Использовать свой любимый привычный браузер подрядчик не сможет.

● Защита от утечки

В обычном случае браузер позволяет копировать информацию, которая отображается в нём, безгранично: подрядчик может скачивать любые файлы, копировать текст и изображения в буфер обмена и потом сохранять эту информацию в неподконтрольных ИБ-службе компании местах. 

Это может привести к утечке конфиденциальных данных. Яндекс Браузер для организаций обладает набором функций защиты от случайной или намеренной утечки данных через:

— Функцию «Копировать/Вставить»;
— Перетаскивание; 
— Выгрузку на внешние веб-ресурсы;
— Сохранение на внешние физические носители;
— Печать;
— Захват звука и изображение экрана;
— Скриншоты;
— Фотографии и видео с помощью внешних устройств.

● Защищённое хранилище

Иногда подрядчикам нужен доступ к файлам с конфиденциальной информацией. В большинстве случаев, у компании нет эффективных способов убедиться в том, что такие файлы используются только в рабочих целях и только в безопасной среде — то есть не сохраняются на съемных носителях или в небезопасных облачных хранилищах.

Функция «Защищённое хранилище» в Яндекс Браузере для организаций позволяет настроить работу Браузера так, что вся корпоративная информация, с которой работает подрядчик, будет доступна только с того устройства, которое назначит IT-администратор ритейлера. 

Переслать по почте, выгрузить на облачный сервис или сохранить на другом устройстве в читаемом виде данные из Хранилища у подрядчика не получится. Это защитит информацию от утечки в результате неправомерных действий пользователя или вредоносной атаки.

---

Читайте также: Нейроэксперт Яндекса поможет принять взвешенное решение о покупке

---

Дополнительная защита важных данных

Привлечение подрядчиков к решению бизнес-задач — практика, давно доказавшая свою экономическую эффективность. Однако с ростом степени цифровизации ритейла и ростом ценности данных, которые обрабатываются в IT-системах, растёт важность контроля доступа к этой информации и её защиты. 

Уже сейчас перечисленные выше функции помогают создать на устройстве подрядчика доверенную среду, из которой он сможет подключаться к внутренним ресурсам организации, не создавая серьёзных рисков вредоносной атаки или утечки конфиденциальных сведений. 

Это повышает защищённость ИТ-инфраструктуры и экономит деньги, которые организации пришлось бы потратить на устранение последствий ИБ-инцидентов, связанных с подрядчиками.

Алексей Лиходзиевский, 
руководитель Яндекс Браузера для организаций.

Для NEW RETAIL

РЕКЛАМА. ООО "ЯНДЕКС", ИНН 7736207543
Erid: F7NfYUJCUneRHyQMP1U8