Utrata elektronicznej kontroli nad istotnymi danymi staje się też coraz bardziej prawdopodobna. Wiele organizacji nie może narzucać takich reguł filtrowania ruchu wychodzącego na zaporach ogniowych, aby nie dopuścić do eksportu poufnych danych.

Dostępność metod kryptograficznych jest częściowym wyjściem z sytuacji: ochrona danych metodą szyfrowania zabezpiecza dane przed nieautoryzowanym ujawnieniem, ale jednocześnie utrudnia ich kontrolę.

Najlepszym sposobem walki z przeciekiem danych jest w takiej sytuacji kompleksowe zastosowanie wszystkich znanych środków ochrony. W uzupełnieniu środków technicznych, odpowiednich do poszczególnych organizacji, należy stosować dodatkową ochronę, opartą na rozsądnych regułach zarządzania personelem i odpowiednich procedurach dla służb ochrony.

Ukryte kanały przecieku informacji

Dochodzimy do bardziej wyrafinowanych sposobów kradzieży informacji niż kopiowanie danych na nośniki wymienne. Specjaliści od spraw bezpieczeństwa od dawna zwracają uwagę na to, że informacje mogą być wynoszone na wiele różnych sposobów, nie tylko przy użyciu papierowych czy elektronicznych kopii.

Programista projektujący aplikacje firmy może nie mieć dostępu do danych produkcyjnych, ale dostęp ten ma napisany przez niego program i umiejętnie przygotowany może je w niekonwencjonalny sposób przekazywać. W programie może być umieszczony kod pozwalający na wyprowadzenie informacji w obszar dostępny dla programisty.

Takie metody ukrywania informacji w nieszkodliwych plikach czy dokumentach noszą nazwę steganografii. Jej popularna forma to wtrącanie pozornie nic nie znaczących bitów do plików graficznych, co pozwala na przenoszenie informacji ukrytej w obrazach.

Alternatywą szyfrowania jest kodowanie, czyli uzgodnienie specjalnego znaczenia poszczególnych danych. Książka kodowa może przekształcać każdą literę, słowo lub frazę na zrozumiałą wiadomość.

Dopóki książka kodowa nie zostanie przejęta, zakodowana wiadomość jest trudna (co nie znaczy niemożliwa) do wykrycia i zablokowania.

Tak więc duża różnorodność ukrytych kanałów komunikacyjnych uniemożliwia w praktyce całkowite zablokowanie wypływu informacji. Ograniczenie prawdopodobieństwa kradzieży danych przez kody projektowane we własnym zakresie można wymuszać, stosując ścisłe procedury zabezpieczające w takich kodach. Gdy za każdy tworzony program jest odpowiedzialny więcej niż jeden programista, działania przestępcze nie są możliwe bez zmowy, a z nią zawsze wiąże się duże ryzyko wpadki. Także losowe audyty mogą zwiększać ryzyko ujawnienia niewłaściwych podprogramów zawartych w projektowanym programie – kontrolujący może zażądać od każdego programisty wyjaśnienia, co dokładnie mają wykonywać nietypowe sekwencje instrukcji.

Zakodowane wiadomości mogą być wysyłane również pocztą elektroniczną i tutaj trudno zaproponować radykalne środki zaradcze, a konwencjonalne filtrowanie poczty nie wystarcza.