Берегись визуальных хакеров: 5 советов для защиты данных

Важность защиты данных и обеспечения их конфиденциальности признают специалисты в области IT и информационной безопасности по всему миру. Однако существует угроза, которой по-прежнему не уделяется должного внимания, — визуальное хакерство.

Визуальное хакерство (от англ. visual hacking, термин иногда переводят как визуальный взлом или шпионаж) — это сознательный просмотр или перехват личной конфиденциальной информации для несанкционированного использования. К нему относится как обычный поиск и запоминание сведений о компании в сети, так и запись закрытых данных об организациях или клиентах с помощью современных технологий слежения.

Взлом визуальным методом может произойти везде, где отображается важная информация, и в этом состоит главная проблема:

• В офисах хакеры могут считывать данные с экранов компьютеров сотрудников, с напечатанных документов и даже с доски в конференц-зале.
• В финансовых и медицинских учреждениях взломщики добывают персональную, финансовую и медицинскую информацию, которая часто бывает доступна на компьютерах и планшетах сотрудников, на информационных стойках.
• У людей, часто работающих вне офиса, конфиденциальную информацию могут перехватить с экрана ноутбука или планшета во время поездки в транспорте, на конференции, в кафе или любом общественном месте.

Почему это актуально именно сейчас?

Конфиденциальная информация компаний становится более уязвимой для визуального хакерства из-за одновременного развития сразу нескольких трендов.

Во-первых, сейчас подсмотреть информацию на экране стало проще, чем когда-либо. Многие компании выбирают для офисов формат open space: чем меньше стен и больше людей в одном пространстве, тем сложнее сделать так, чтобы информацию никто не увидел. Но ещё более важным является повышение мобильности сотрудников, которые часто предпочитают работать вне офиса. В итоге коммерческие данные теперь могут быть на виду в общественных местах, хотя раньше они были бы доступны только на рабочем месте сотрудника.

Мобильные сотрудники очень уязвимы для визуальных хакеров. Только подумайте об этой цифре: почти 9 из 10 работающих вне офиса сотрудников, опрошенных Ponemon Institute*, сказали, что ловили на своем экране взгляд человека в общественном месте. Ещё большее беспокойство вызывает следующий факт: более половины респондентов заявили, что не предпринимают никаких действий для защиты информации при работе в публичном пространстве.

Во-вторых, инструменты для визуального хакерства продолжают совершенствоваться, и их число растет благодаря развитию потребительских технологий. Сегодня смартфоны с хорошей камерой есть почти у всех, и люди всё чаще приобретают другие устройства с функцией фотосъемки. Не стоит забывать и о дронах с мощной оптикой. Для них даже высотные здания не являются помехой, чтобы считать информацию с экранов.

Наконец, такая угроза может исходить не только извне. Информацию могут специально похитить сотрудники или подрядчики, если они хотят причинить вред компании. Но не меньшую угрозу представляют работники и контрагенты, которые небрежно относятся к хранению и защите данных, имеющих коммерческую ценность.

По данным опроса около 800 специалистов в области ИТ и безопасности, проведенного SANS Institute в 2015 году (SANS Survey Reveals Organizations Lack Insider Defenses, Are Vulnerable to Attack, SpectorSoft, April 9, 2015), 34% респондентов подвергались визуальным атакам с целью коммерческого шпионажа внутри компании, а 74% обеспокоены злонамеренными или небрежными сотрудниками.

Защищаем данные от визуального хакерства: 5 советов

Если вы хотите выстроить эффективный процесс по защите конфиденциальной информации от визуальных хакеров, следуйте пяти правилам.

1. Начните с проверки. Проведите аудит текущего состояния безопасности конфиденциальных данных. Это поможет вам определить зоны риска и оценить существующий уровень защиты информации в организации. Просто пройдите по офису компании и попробуйте заглянуть в чужие мониторы из зон общего доступа — из прохода, от кулера или любого другого места, где сотрудник может остановиться, не привлекая к себе внимания. Проверьте, у кого есть доступ к принтерам, на которых печатаются важные документы. Но и этого недостаточно — вы должны определить, насколько просто считывать информацию с гаджетов и ноутбуков сотрудников, которые работают вне офиса, и узнать, как свои данные защищают подрядчики и партнеры.
2. Примените механические методы защиты. Некоторые простые в применении меры предосторожности могут значительно снизить уязвимость конфиденциальных данных в вашей организации. На экран компьютера можно наклеить специальную пленку защиты информации, которая затемняет экран, если смотреть на него сбоку под углом более 30º. Это позволяет сотрудникам четко видеть экран под прямым углом, в то время как подсматривающий со стороны видит черный фон и не может рассмотреть информацию. Опять же важно, чтобы такая защита использовалась не только на офисных устройствах, но и на мобильных гаджетах — смартфонах, ноутбуках, планшетах. Уничтожители документов и контейнеры для бумаг также должны быть расположены там, где к ним нет свободного доступа.
3. Разработайте политику для сотрудников. Ваши работники могут стать главной защитой от визуальных хакеров, но только если они знают, как это делать. В этом поможет правильное руководство по обеспечению визуальной защиты и обучение персонала. Возьмите за правило придерживаться политики «чистого стола» (от англ. сlean-desk policу), то есть четко обозначить, что можно оставлять сотрудникам компании на своем рабочем месте после окончания дня. Такая политика также требует, чтобы персонал убирал документы и закрывал файлы на компьютере, когда конфиденциальная информация не нужна срочно или работники отходят от своих столов. Должны быть разработаны процедуры, чтобы посетителей компании сопровождали ответственные сотрудники, а также алгоритм действий по отношению к тем, кто ведет себя подозрительно или пытается проникнуть в закрытые зоны офиса.

4. Отслеживайте соблюдение правил сотрудниками. В любой организации сложно подействовать на поведение людей, но изменение отношения к правилам безопасности необходимо. Чтобы сотрудники полностью выполняли положения разработанной политики, используйте набор из нескольких инструментов. Например, тренинги по этичному поведению должны сопровождаться коммуникацией, подчеркивающей важность новых правил. При регулярности таких сообщений соблюдение правил станет нормой и войдет в привычку. Продумайте, как лучше проверить сотрудников. Например, смоделировать ситуацию визуального взлома и посмотреть, насколько работники придерживаются предписанных правил защиты. Не забывайте поощрять тех, кто лучше всего справляется с заданием.

5. Адаптируйтесь и совершенствуйтесь. Визуальные хакеры так же, как любые другие, будут постоянно развиваться и искать способы обхода изменяющихся правил безопасности и конфиденциальности. Если не улучшать инструменты защиты от визуального взлома, ваши процессы морально устареют и перестанут выполнять свои функции. Регулярно проводите проверку текущей безопасности данных от визуального хакерства. Постоянно обновляйте пошаговые руководства, чтобы следить за новыми рисками и определять сотрудников, которые нуждаются в дополнительном обучении. Будьте в курсе технологических тенденций и инструментов визуальных хакеров и постоянно анализируйте работу по развитию у персонала навыков противостоянию данной угрозе. Это поможет наилучшим образом подготовить работников компании.

Визуальное хакерство часто осуществляется с помощью самых простых технологий, но его последствия могут быть столь же серьезными и дорогостоящими, как и любые другие действия хакеров, когда те получают доступ к конфиденциальной информации. И это ежедневная угроза. Поэтому никогда не поздно спросить себя: а делаем ли мы всё возможное, чтобы защитить свои данные?