Как найти того кто сливает информацию

Перед тем как выявить человека, который сливает информацию конкурентам, необходимо знать, что ни одна компания от этого не застрахована. Согласно исследованию «СёрчИнформ», в 2017 году каждая пятая компания в России пострадала от утечки данных. В 48% случаев слив информации происходил по вине рядовых сотрудников компании.

Способы выявить инсайдера

У каждой компании должны быть средства для защиты информации от ее разглашения посторонним лицам. Также необходимо следить за действиями сотрудников, которые могут вмешаться в защитные механизмы и похитить информацию. Способы выявления возможных шпионов следующие:

• Оценить, кто из сотрудников перерабатывает и берет сверхурочные часы. Если сотрудник на рабочем месте постоянно задерживается, приходит в компанию в нерабочее время, стоит задуматься о причинах такого поведения и проследить за дальнейшей тактикой работника. Важно не спешить с выводами о шпионаже, поскольку сотрудник может оказаться добросовестным человеком, а действия начальства погубят трудолюбие.
• Проверить рабочие компьютеры по общей сети или каждый в отдельности. Это рекомендуется делать в нерабочее время. Если на корпоративном компьютере обнаружено большое количество разной информации о фирме, то стоит заподозрить сотрудника в накоплении лишних данных. Компания должна иметь доступы ко всем носителям, чтобы контролировать рабочую деятельность людей и изучать их действия в случае появления подозрений.
• Узнать, нарушает ли сотрудник корпоративные правила. Для слива информации могут понадобиться секретные файлы, работник может сидеть на несанкционированных сайтах. Способом разоблачения такого поведения становится мониторинг сетевой деятельности. Есть специальное ПО, которое перехватывает сообщения в мессенджерах и социальных сетях, позволяет оценить и проанализировать информационные потоки.
• Выяснить, не замечен ли работник в посторонних связях с фирмами-конкурентами. Такой способ выявления инсайдера может подействовать только с ограниченным количеством людей. Он трудоемкий, а также дорогостоящий. Мониторить на предмет сливания информации можно только приближенных к начальству работников.

Не стоит забывать, что сотрудники могут сливать информацию не по своей вине, а скорее из-за невнимательности, несоблюдения правил техники безопасности, неправильного понимания задач. В таком случае можно сделать выговор сотруднику или обучить его действовать осторожнее. Подобные ситуации чаще всего наблюдаются среди младшего персонала. Поэтому важно проводить разъяснительные беседы с работниками всех рангов в профилактических целях.

Что делать в случае выявления недобросовестного сотрудника?

Как только в компании появляется человек, сливающий информацию, это отражается на экономических показателях работы фирмы. Деятельность становится менее продуктивной, компания теряет прибыль без видимых причин, а конкуренция резко нарастает. После выявления шпиона, следящего за информацией внутри предприятия, необходимо по возможности выполнить следующие шаги:

1. Окончательно прекратить доступ к остаткам информации. Важно следить за пунктом, поскольку случаются ситуации, в которых бывшие сотрудники разглашают после увольнения секретные данные. Общая база документов и сведений должна регулярно обновляться, и доступ к ней должен быть только у работающих сотрудников.
2. Убедиться, что информация, которая поддалась разглашению, была конфиденциальной. Есть случаи, когда работодатели и владельцы забывают установить границы конфиденциальности. Это стоит предварительно обсуждать с сотрудниками при приеме на работу, а также прописывать в договорах, должностных инструкциях. В случае четкой фиксации запрещенной или ограниченной информации у владельца будут законные рычаги давления и возможность наказания после разглашения данных.
3. Проанализировать ущерб от разглашенной информации. Важно оценить примерные потери репутации и материальные убытки. Стоит подумать о целесообразности полномасштабной кампании по защите информации, а также по наказанию виновных. Если потери небольшие, то можно перекрыть канал утечки и уволить сотрудника без привлечения дополнительного внимания к инциденту.
4. Уведомить своих партнеров об утечке и ее возможных последствиях. Делайте это как можно раньше после произошедшего случая.
5. Инициируйте внутреннее расследование. Изначально выявление сотрудника или нескольких работников не должно афишироваться. Можно провести несколько неформальных разговоров, «собрать слухи» по офису. Необходимо услышать мнение большого количества людей, это поможет понять причины поступка и, возможно, укажет на инсайдера.
6. Подключить к расследованию доверенное лицо. Информатор должен быть незаинтересованным и не подчиняющимся ни одной из сторон.
7. Только после выявления сотрудника-шпиона можно дать объективную оценку случившемуся и постараться ее распространить в СМИ или на сайте компании, на YouTube. Компания не должна оправдываться, желательно преподнести сведения максимально нейтрально, а также сообщить о том, что все меры безопасности приняты и усилены. Можно подать информацию, как несанкционированную атаку оппонентов. Если подробности разглашенных данных портят репутацию компании, то рекомендуется обставить дело так, как будто на предприятие была совершена информационная атака по вине конкурентов, а все представленные факты – абсурдная выдумка.
8. Заблокировать источник утечки информации. Например, не рекомендуется работать на компьютере или носителе информации, с которого произошла утечка. Устройство необходимо направить к специалисту для выяснения масштабов разглашения данных, а также для обнаружения уязвимых мест и дальнейшей защиты. Его можно будет предъявить на судебном разбирательстве в качестве вещественного доказательства.
9. Установить систему защиты, например, DLP, анализирующую отправку всех файлов по электронной почте, чтобы никто не узнал.
10. Подписать со всеми работниками фирмы договор NDA, свидетельствующий о сохранении конфиденциальности.
11. Дополнительно делать бумажные копии документов. Программа, которая выдает копии, запоминает время и даты выдачи, после чего можно будет вычислить, кто из сотрудников поделился копией бумаг с конкурентами.

Случаи из практики компаний

Из каждой ситуации слива информации можно найти рациональный выход, как в случае материальных потерь, так и при потере репутации. Например, руководитель онлайн школы английского языка сталкивался со случаями слива данных неоднократно.

Один раз на просторах интернета появилась информация о недоработках и недочетах компании, а также о допущенных ошибках в методиках обучения. Фирма не смогла найти злоумышленника, обнародовавшего данные, но решила узнать мнение обычных пользователей. Компания посоветовалась с народом о том, как можно устранить эти недостатки. Фирма получила большое количество откликов и фидбэков, а также показала людям, что их мнение учитывается. Утечка информации стала полезным толчком к дальнейшему развитию.

Во втором случае фирма занималась разработкой нового вида сервиса. Но в последний момент информация просочилась по вине одного из сотрудников компании к конкурентам, после чего продукт разработчиков был выпущен обеими компаниями одновременно. Поэтому наши организации решили объединить усилия, а не делить рынок потребителей пополам. Иногда с конкурирующими фирмами выгоднее объединиться, чем соперничать.

В большинстве компаний часто против фирмы объединяются бывшие работники. Группа топ-менеджеров, которых уволили на протяжении короткого времени, была собрана в самостоятельную организацию, соперничающую со старым местом работы. А часть сотрудников, которая осталась на старом месте, начала сливать им информацию. После вычисления группы шпионов было решено снабжать их ложными данными. В итоге новая компания обанкротилась и закрылась.

Профилактика инсайдерской деятельности

Заниматься защитой информации необходимо. Проще ограничить доступ к важным сведениям, чем искать сотрудника, который сливает данные конкурентам. В профилактических целях можно воспользоваться такими простыми методами, как:

• регулярная проверка всей корпоративной деятельности за компьютером (электронная почта, мессенджеры);
• контроль установки ПО на все носители информации;
• ограничение или защита использования переносных каналов и накопителей информации;
• слежение за деятельностью копировальной техники;
• разграничение деятельности сотрудников и их доступ к информации.

После выявления человека, сливающего информацию, необходимо применить по отношению к нему рациональную меру наказания. Большинство компаний увольняют такого сотрудника с отрицательными отметками в личных характеристиках. Инсайдеры не только снижают продуктивность работы и прибыльность компании, но и могут привести к банкротству владельца предприятия.

В среду, 14 октября, на телеканале «МИР» стартует показ восьмисерийного телефильма «Отличница». Это захватывающий ретро-детектив, в котором есть все: и элементы мелодрамы, и история взросления героини, и драма, и захватывающие расследования с непредсказуемым финалом.

Действие фильма начинается весной 1958 года. В УГРО центрального районного отдела милиции приходит работать по распределению юная Мария Крапивина. Выпускнице юридического факультета Ленинградского университета, предстоит доказать свою профессиональную состоятельность в коллективе грубоватых и опытных оперативников, прошедших войну.

Кадр из сериал «Отличница»

В первый же день девушка случайно выясняет, что в отделе оперативников работает предатель, связанный с крупной и дерзкой бандой. Она решает раскрыть «крота» и доказать, что она чего-то стоит. Под подозрение попадают все, в том числе начальник отдела, опытный оперативник, в которого Маша неожиданно для себя влюбляется.

Смотрите на телеканале «МИР» 14 октября в 18:10 первую серию увлекательного остросюжетного ретро-детектива «Отличница».

Как выясняется, «крот» в рабочем коллективе бывает не только в детективных сериалах и не только в криминальной сфере. В реальной жизни инсайдер, работающий на конкурентов – это не такой уж редкий случай в бизнесе. О том, как вычислить неблагонадежного сотрудника компании, рассказали в интервью «МИР 24» эксперты в области безопасности и бизнес-разведки.

Кадр из сериал «Отличница»

Идейный предатель или жертва шантажа

«В моей жизни было несколько лет интересной работы оперативным сотрудником, поэтому профессионально отвечу с точки зрения ИТ-специалиста и оперативника, – говорит генеральный директор компании «Corpsoft 24» Константин Рензяев. – Всегда наиболее податливы к предательству люди, которые считают, что их несправедливо обидели, не ценят и т.д. Соглашаясь работать на конкурентов, они искренне считают, что правы и так восстанавливают справедливость. Также податливы для вербовки люди, попавшие в тяжелую жизненную ситуацию, особенно если им отказала в помощи родная компания – это двойной мотив».

«Злоумышленниками, целенаправленно вредящими компании, могут быть сотрудники, решившие отомстить своей фирме, или люди, начавшие развивать собственный бизнес с помощью ресурсов работодателя», – говорит Михаил Яхимович, сооснователь компании «Стахановец» (разработка систем мониторинга поведения пользователей за рабочими компьютерами). – Нередки случаи, когда персонал просто решает подзаработать, продавая информацию конкурентам. Обида на компанию за невыплаченную премию, конфликт с руководителем или коллегами, неудовлетворенность условиями труда. Любой крупный и даже мелкий инцидент может стать поводом, который превращает добросовестного и порядочного сотрудника в «слабое звено», через которое из компании утекают данные».

Есть и еще один тип «кротов»: это сотрудники, которые состоят в дружеских или романтических отношениях с конкурентами. «Они делятся информацией, так как «дружба важнее работы», – говорит коммерческий директор подразделения Корпорации «Технониколь» Сергей Ольницкий. – Чтобы исключить такие ситуации, служба безопасности компании должна проверять кандидатов при приеме на работу, а в корпоративном кодексе должен быть четко прописан порядок действий при возникновении конфликта личных и профессиональных интересов сотрудника».

«Несмотря на то, что деньги – самый часто встречающийся мотиватор, «кроты» бывают и с экзотическими мотивами, – говорит начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд. – Так, в октябре 2019 года Минюст США сообщил об аресте сотрудника Агентства военной разведки за то, что тот «сливал» секретную информацию журналисту (своей девушке) и ее коллеге».

По словам специалиста, часть инсайдеров попадает в поле зрения конкурентов даже не по своей инициативе. Их вербуют не только с помощью гонораров, но и методом шантажа, поэтому важно понимать, кто в вашей компании входит в группу риска: кому можно угрожать раскрытием секретов о зависимостях, компрометирующих отношениях, склонностях.

«Стоит понимать, что в зоне особого риска – линейные руководители, которые владеют информацией и могут влиять на принятие решений. А также привилегированные пользователи, у которых есть доступ к базам данных и возможность менять конфигурацию IT-сервисов. Опасность в том, что сотрудники-шпионы обоих типов могут работать годами, не выдавая себя и получая стабильную «прибавку» к зарплате.

Поэтому их может отличать показная лояльность и удовлетворенность своим положением в компании. Такие сотрудники могут быть профессионалами с потенциалом карьерного роста, но держаться за текущую позицию», – подчеркивает Алексей Дрозд.

«Слив» по неосторожности и подсадная утка

Михаил Яхимович считает, что неосознанно стать виновником утечки информации может в определенный момент времени практически любой сотрудник. «Такие люди действуют бессознательно, под влиянием внешних манипуляций или по причине глупости и невнимательности, – говорит он. – Их могут «втемную» использовать конкуренты, хакеры или другие злоумышленники». Однако, по словам эксперта, чаще всего ценная информация покидает стены компании из-за элементарной безалаберности. Например, в период увольнения абсолютно любой сотрудник может стать инсайдером, просто собирая портфолио. Ведь в него случайно могут попасть новые разработки или важная финансовая документация. В подавляющем большинстве случаев утечки происходят без злого умысла. Сотрудник лишь хочет показать себя с лучшей стороны новому работодателю.

Бывают и сотрудники, которых специально засылают в компанию с задачей шпионить. «Обычно это состоявшиеся профессионалы, у которых нет проблемы с прохождением собеседований, – говорит Алексей Дрозд. – В их трудовой книжке может фигурировать опыт работы на конкурентов. Это для многих работодателей только плюс, ведь человек приходит с наработками от соперника».

«Я бы советовал быть настороже с новым перспективным сотрудником и присматриваться к его потенциально опасной активности, особенно его интересу к деятельности, выходящей за пределы круга прямых задач, – говорит специалист. –Конечно, тут есть риск спутать «разведку» с профессиональным любопытством. Для наших широт промышленный шпионаж до сих пор воспринимается как нечто экзотическое. Причина банальна: в СМИ подобные новости попадают крайне редко. Если же взглянуть на Запад, то мы увидим регулярные публикации. Например, недавно было такое сообщение: 35-летнего гражданина Китая Хунцзинь Тана задержали в США за кражу коммерческих секретов у нефтяной компании, в которой он работал. Сумму ущерба оценили в $1 млрд».

Способы вычисления инсайдера

«Найти инсайдера в коллективе – это целое искусство, – говорит Константин Рензяев. – Чтобы вычислить его, необходимо проанализировать, кто может считать себя обиженным за последний год (дальше во времени искать нет смысла). Далее надо применить технические средства типа DLP (Data Leak Prevention) или контроля утечки документов».

Следует также проанализировать изменение поведения сотрудников, например, кто стал задерживаться подолгу на работе, хотя это было для него раньше не характерно, получать доступ в корпоративные системы, к которым ранее не имел доступа и т.д. Обязательно необходимо проверить помещения и на наличие «жучков». Кстати, проще всего их поставить уборщице.

По словам Михаила Яхимовича, в выигрыше по выявлению «кротов» действительно находятся организации, где поведение сотрудников за рабочими ПК анализируется с помощью специальных систем мониторинга.

«Кроты» обнаруживают себя по атипичному поведению, нехарактерному для общей массы их коллег. Например, участившиеся случаи обращения к базам данных или общим папкам на корпоративных серверах, рост числа распечатанных документов, аномально интенсивное использование съемных носителей и публичных облачных хранилищ, применение чатов и социальных сетей в рамках задач, не связанных с работой – все это сигналы к тому, что в компании орудует «крот».

«У одного из наших клиентов – торговой компании – резко стало снижаться количество совершенных сделок, – рассказывает Михаил Яхимович. – После того как отбросили теорию о влиянии на бизнес коронавируса, вопросы сезонности и возросшей конкуренции, собственник бизнеса решил разобраться в ситуации с помощью обстоятельного анализа.

Оказалось, что бойфренд одной из недавно нанятых сотрудниц учредил компанию с аналогичным профилем. Сотрудница трудоустроилась с единственной целью: привести ему клиентов. Она действовала по простой схеме: как только в ее руки попадал горячий запрос, она тут же пересылала его своему сообщнику. Клиент же получал письмо с просьбой подождать пару дней, пока менеджер не подберет варианты. В итоге конкурент-бойфренд мало того что подбирал нужный товар быстрее, но и давал бóльшую скидку, чем ее компания-работодатель.

Схема была раскрыта буквально за несколько дней. Инструменты – анализ чатов, звонков, анализатор рисков, граф связей, перехват почты, перехват Skype, перехват переписки в социальных сетях».

По словам эксперта, в последнее время похитители данных стали умнее. Они отлично осведомлены о возможностях DLP-систем, поэтому из всех путей утечек они нередко предпочитают фото экрана компьютера. Беглый анализ рынка конфиденциальной информации в Даркнете показал, что порядка 10-15% данных на черном рынке составляют фотографии экранов, сделанные на смартфон. Собственно, для противодействия этим утечкам и была разработана функциональность «Антифото», которая распознает факт фото- или видеосъемки экрана, блокирует компьютер и оповещает об инциденте владельца компании или главу службы безопасности.

По словам Алексея Дрозда, стопроцентных советов, как вычислить предателя в коллективе, не может дать даже самый опытный руководитель или сотрудник службы безопасности. Но есть признаки, которые сужают область поиска:

• Чрезмерное любопытство сотрудника за пределами непосредственных рабочих обязанностей
• Устройство на работу сразу же после увольнения из конкурирующей компании
• Заметная нелюдимость и закрытость человека
• Наоборот – чрезмерная дружелюбность, желание всем понравиться
• Частые задержки на работе

«Понятно, что это не стопроцентные признаки «крота», каждый из признаков может быть совершенно безобидным. Тем не менее такие люди оказываются под более пристальным наблюдением», – говорит специалист.

Службы безопасности применяют всевозможные виды контроля – от просмотра логов, изучения трафика до опросных бесед и проверках на полиграфе. Все методы можно разделить на две группы.

Технические. О них мы уже говорили. Программы мониторинга (DLP-системы) автоматически уведомляют, если сотрудник ведет переписку с конкурентом, пытается отправить документы с коммерческой тайной, ведет переговоры о вознаграждении и т.д. Большое преимущество таких программ в том, что они не тревожат безвинных сотрудников пустыми подозрениями, а в отношении реальных нарушителей позволяют собрать доказательства вины. Системы обнаружения угроз информбезопасности (Security Information and Event Management) собирают сведения из журналов корпоративных систем, системы файлового аудита следят за операциями с документами: копированием, изменением прав доступа и др.

Нетехнические. Служба безопасности или руководитель может временно перевести человека на должность без доступа к конфиденциальным данным и наблюдать за реакцией. Для проверки подозрений используются и другие способы вроде щедрого предложения якобы от конкурента. Что касается полиграфа или опросной беседы, то они применяются в самую последнюю очередь, когда работодатель вынужден раскрыть карты и признать, что у него есть подозрения.

Как предотвратить утечку информации

Эксперты сходятся во мнении, что легче предотвратить утечку информации, чем выявлять «крота» когда он уже появился. Что делать для этого, рассказал корреспонденту «МИР 24» Михаил Яхимович.

«Во-первых, необходимо разграничить доступ, – говорит специалист. – Каждый сотрудник организации должен обращаться только к той информации, которая ему нужна для работы. Если все ценные данные хранятся в одном месте, а скопировать их может кто угодно (от секретаря до топ-менеджера), утечка становится лишь вопросом времени».

Во-вторых, по словам эксперта, следует использовать биометрическую идентификацию. Скажем, современные компьютеры поддерживают вход по отпечатку пальцев. Как альтернативу имеет смысл задействовать функциональность распознавания лиц. Она имеется на современных компьютерах, поддерживается свежими версиями операционных систем и включена в состав специальных комплексов мониторинга.

Сложные пароли и их регулярная смена – полумера. Сотрудники не успевают запоминать комбинации, нередко записывают их на бумажку и приклеивают ее к монитору. Какая уж тут кибербезопасность!

В-третьих – и это самое главное – контроль действий персонала с учетом анализа нетипичного поведения. По мнению Яхимовича, сегодня это ключевой фактор защиты данных. Даже если персонал максимально лоялен, не стоит упускать из виду внешние факторы – такие, как, например, фишинг и социальная инженерия. Из-за них слабым местом в кибербезопасности может стать добросовестный сотрудник, у которого и в мыслях не было ничего похищать.

2021 год стал рекордным по количеству утечек корпоративных данных. Причем в 80 % случаев это произошло по вине рядовых сотрудников (в 2019 году эта доля составляла 38,7 %). В сегодняшних условиях эта цифра растет.

Сервис мониторинга работы персонала и контроля рабочих мест ИНСАЙДЕР составил инструкцию для предпринимателей, как справиться с такой ситуацией и как себя от нее обезопасить.

Как выявить потенциальных инсайдеров

1. Выяснить, кто из сотрудников постоянно берет сверхурочные часы. Систематические задержки и посещения офиса в нерабочее время выглядят подозрительно. Обратите внимание на трудоголиков, изучите, чем они занимаются на работе. Главное — не делайте преждевременных выводов, поскольку причиной задержек может быть действительно ответственное отношение к работе. В таком случае излишняя подозрительность демотивирует подчиненного.

2. Проверить компьютеры персонала — по общей сети или каждое устройство в отдельности, лучше в нерабочее время. Большой объем данных на корпоративном ПК — причина заподозрить сотрудника в сборе лишней информации. Компания должна контролировать действия персонала и пресекать попытки нарушений. Для этого нужен доступ ко всем компьютерам. Кроме того, способ долгий и трудозатратный. Подходит для небольших компаний.

3. Выяснить, нарушает ли работник внутрикорпоративные правила. Инсайдеру могут потребоваться секретные файлы или информация с несанкционированных ресурсов. Мониторинг сетевой активности позволяет выявлять нарушителей. Специализированное ПО перехватывает сообщения в соцсетях и мессенджерах, контролирует запуск программ и помогает анализировать информационные потоки.

3. Фиксировать все действия сотрудников за ПК для того, что понять, нарушают ли они внутрикорпоративные правила. Для этого задействуется специальное ПО, которое может делать скриншоты и записывать видео с экранов в случае срабатывания политики безопасности, фиксирует запущенные сайты и приложения, файловые операции, напечатанные документы, переписки по электронной почте и т.д. Эти данные можно использовать в качестве доказательств в суде или при возбуждении дела в правоохранительных органах. Данный способ — альтернатива способу 2. Подходит для крупных компаний.

4. Проанализировать поведение персонала. Состоявшийся профессионал, у которого не было проблем с прохождением собеседования, может оказаться «засланным казачком». Советуем присмотреться к активности сотрудника, его интересу к деятельности, выходящей за пределы круга задач. Такой человек всем живо интересуется и с большой вероятностью попытается стать душой компании, чтобы «в кулуарах» узнавать интересующие его сведения. Главное — не спутать «разведку» с профессиональным любопытством. Под подозрением также слишком замкнутые люди, которые не проявляют интереса к происходящему внутри коллектива. Как известно, в тихом омуте… Поэтому будет полезно подобрать методики для диагностики морально-психологических качеств сотрудников и использовать их при приеме на работу.

5. Ищите недовольных. Например, если специалист работает несколько лет, но не получает такого признания, на которое рассчитывал, он испытывает недовольство. В какой-то момент он может совершить кражу данных. Эта кража даже не обязательно принесет ему много прибыли. Цель тут не в деньгах. Просто таким образом сотрудник пытается восстановить справедливость. Кроме того, любой сотрудник, находящийся в поиске работы, является потенциальным инсайдером (даже неосознанно). Например, он может использовать свои прошлые разработки или закрытую коммерческую информацию в качестве портфолио для нового места работы. Помните, что краже предшествуют ключевые предпосылки: основные проблемы, связанные с мотивацией инсайдера, возникают еще до того, как он совершает кражу.

Случайные сливы информации

Иногда сотрудники «сливают» информацию не умышленно, а из-за невнимательности, нарушения правил техники безопасности или неверного понимания задач. В таком случае руководство может сделать работнику выговор или научить его осторожнее обращаться с данными. Как правило, подобные ошибки допускает младший персонал, поэтому компании нужно проводить разъяснительные беседы с сотрудниками всех уровней.

Например: Есть младший менеджер Вася. Представим, что в один прекрасный день раздается телефонный звонок. Голос на другом конце провода представляется директором реально существующего филиала компании, рассказывает о появившейся проблеме, которую нужно решить максимально оперативно. Для этого он просит в обход существующей политики безопасности выслать ему на личную почту конфиденциальные документы. Взамен косвенно обещает премию. Даже не задумавшись о возможной угрозе, Василий с благими устремлениями высылает документы прямиком на почту конкуренту. Готово – слив состоялся.

На сегодня 78% российских компаний сталкивались со сливом инсайдерской информации, для 61% из них такие сливы закончились серьезными убытками.

Посмотрите наш кейс, где мы рассказывали об одной из таких историй.

Что делать при обнаружении инсайдера

1. Полностью закрыть нарушителю доступ к любой информации. Известны случаи, когда работники уже после увольнения разглашали секретные сведения. Необходимо регулярно обновлять базы данных и предоставлять к ним доступ только действующим сотрудникам.

2. Убедиться в том, что информация, которая попала к посторонним, была секретной. Иногда компании не устанавливают границы конфиденциальности. Их нужно обсуждать при приеме на работу, а также указывать степень секретности в договорах и должностных инструкциях. Четкие критерии запрета или ограничения информации дают владельцу бизнеса возможность наказывать виновных в разглашении сведений.

3. Оценить ущерб в виде материальных и репутационных потерь. Важно понимать, насколько целесообразна полномасштабная кампания по защите внутрикорпоративной информации и наказанию инсайдеров. При незначительном ущербе можно перекрыть канал утечки и уволить работника, чтобы не акцентировать внимание на инциденте.

4. Предупредить партнеров компании об утечке и возможных последствиях. Сделать это необходимо максимально оперативно.

5. Провести внутреннее расследование. Вначале не нужно афишировать факт утечки. Источником информации могут стать слухи и неформальные беседы. Множество различных мнений позволит понять причину утечки и, возможно, выявить других потенциальных нарушителей.

6. Подключить к расследованию незаинтересованное лицо. Оно не должно подчиняться ни одной из сторон.

7. Вариативно — после обнаружения инсайдера дать объективную оценку происшествия и опубликовать эти материалы в СМИ или на корпоративном сайте. Задача компании — в нейтральном тоне сообщить об утечке и усилении мер безопасности, а не оправдываться. Можно представить инцидент как атаку конкурентов, если разглашенные данные вредят имиджу фирмы. При этом «слитые» сведения лучше назвать ложными.

8. Заблокировать источник утечки. Например, не следует работать на ПК или другом устройстве, с помощью которого инсайдер передавал сведения посторонним. Носитель информации нужно направить к специалисту, чтобы выяснить масштабы разглашения данных, а также обнаружить уязвимые места и выстроить тактику защиты. Устройство можно использовать как вещественное доказательство при судебном разбирательстве.

9. Установить защитную систему, например, DLP. Она будет в фоновом режиме анализировать файлы, которые работники передают по электронной почте.

10. Подписать со всеми сотрудниками договор о сохранении конфиденциальности.

11. Создавать бумажные копии документов с помощью программы, которая фиксирует время и дату их выдачи. В будущем это позволит выяснить, кто из работников поделился дубликатами с конкурентами.

Какие данные пытаются украсть чаще всего

24% — Техническая информация: чертежи и схемы, проектная документация, макеты, данные o сертификации товаров и пр.

19% — Бухгалтерские и финансовые документы: данные о финансовой отчетности, счета, сведения о начислениях зарплаты и бонусов и пр.

6% — Юридические документы: контракты и договоры, уставы, приказы и пр.

6% — Данные о клиентах и сделках: выдержки или полные технические базы, тендерная документация, прайс-листы и пр.

6% — Персональные данные клиентов и сотрудников: списки сотрудников, сканы трудовых книжек, стразовых свидетельств и паспортов, должностные инструкции и пр.

2% — Тендерная документация: технические задания на проведение закупок, списки поставщиков и пр.

Профилактика деятельности инсайдеров

Ограничить доступ к важной информации проще, чем искать нарушителей. Как предотвратить утечки:

После обнаружения инсайдера необходимо наказать его. Как правило, компании увольняют нарушителей с негативными отметками в личных характеристиках. Это оптимальное решение, поскольку инсайдеры снижают продуктивность работы организации, что может привести к банкротству.

В каждой компании есть ценная информация, которая может быть интересна конкурентам или другим заинтересованным в ней лицам. В одной компании это база VIP-клиентов, в другой – чертежи или технологические карты, в третьей – бизнес-стратегия, в четвёртой – важная финансовая информация. И ни одна компания не застрахована от того, что в ней не заведётся шпион, который будет действовать из корысти, мести или других мотивов. О том, как обнаружить шпиона и как его нейтрализовать, порталу Biz360.ru рассказал ведущий аналитик компании «СёрчИнформ» Леонид Чуриков.

Почему сотрудники становятся шпионами

Для начала давайте разберёмся, кто из сотрудников может стать корпоративным шпионом. Есть несколько категорий сотрудников, которые могут представлять потенциальную опасность для компании. 

Первая – «засланный казачок». Чтобы вы его наняли и долго не могли разоблачить, такой сотрудник должен быть квалифицированным специалистом. Он легко проходит собеседование, имеет внушительный опыт работы и вообще выглядит удачным приобретением для работодателя. Поэтому бдительность к новым сотрудникам не будет лишней. Как правило «засланные казачки» устраиваются на должности, у которых есть доступ к коммерческой информации или к базам данных. 

Например, служба информационной безопасности на одном предприятии проявила особое внимание к только устроившемуся менеджеру по работе с торговыми сетями. Бдительность оказалась не напрасной. Выяснилось, что менеджер работал на конкурентов и его главной задачей было получить доступ к системе бухгалтерского учёта предприятия. Утечка собранных сотрудником сведений могла бы привести к потере около 12 млн. рублей и оттоку клиентов. 

Вторая группа шпионов – те, кто на корпоративный шпионаж идёт из нужды. До инцидента такие сотрудники могут быть добропорядочными специалистами и не вызывать подозрений у службы информационной безопасности. А на противоправные действия они пошли из-за финансовых проблем.

Третья категория – это сотрудники группы риска: те, кто имеет нежелательные для огласки тайны и секреты, соответственно, их при желании могут шантажировать и вербовать ваши конкуренты и недоброжелатели.

И последняя категория людей, которые идут на сотрудничество с конкурентами – это обиженные сотрудники. Месть – один из самых распространённых мотивов.

Так, сотрудник одной из крупных компаний решил отомстить руководству, не получив желанную руководящую должность. Обиженный специалист решил «слить» информацию о количестве ценных бумаг в распоряжении акционеров: эти данные раскрывали распределение долей вплоть до второго знака после запятой.

Сотрудник планировал передать информацию в прессу, что создало бы конфликтную ситуацию и пошло на пользу конкурентам. Однако служба информационной безопасности вовремя обнаружила проблему и предотвратила инцидент. Если бы утечка произошла, за год организация могла потерять более 72 млн. рублей.

Как шпионы собирают информацию

Сотрудник может вынести информацию из офиса на бумажных и электронных носителях, сфотографировать на телефон, «слить» в облако, а может передать доступ к базе посторонним людям.

Но есть более типовые каналы, по которым чаще всего утекает информация или ведутся переговоры о её сливе, и они  нуждаются в особом контроле. Согласно данным ежегодного 
исследования «СёрчИнформ», каналом фаворитом для недобросовестных сотрудников является электронная почта – 45% утечек в России в 2021 году происходило именно через email. Таким образом, большинство шпионов идут по пути наименьшего сопротивления и сложных схем для слива не ищут. 

На этот счёт вспоминается любопытный и даже в чём-то забавный случай. Американский производитель AMD подал в суд на четырёх своих бывших высокопоставленных менеджеров, перешедших в компанию Nvidia и заодно прихвативших с собой около 100 тысяч файлов чувствительной информации о деятельности компании бывшего работодателя. Объёмы данных были настолько большие, что на копирование ушло бы слишком много времени. В ходе внутреннего расследования оказалось, что один из сотрудников даже гуглил способы скачивания больших объёмов данных. Делал он это прямо на рабочем месте. 

Но иногда шпионы подходят к воплощению задуманного более творчески.

Так, на один крупный завод конкуренты отправили «засланного казачка». Шпион не нашёл других способов вынести корпоративные секреты, кроме как смастерить небольшой плотик, привязать к нему бумаги и сплавить по реке, которая протекала по территории завода. 

Как обнаружить корпоративных шпионов

Выявить тех шпионов, которые намеренно нанимаются в компанию для слива секретов конкурентам, помогает скрининговая проверка. Проверить соискателя на порядочность можно разными способами:

• по базам на предмет нестыковок в том, что человек про себя рассказывает;

• по рекомендациям с прошлых мест работы;

• по итогам опросной беседы;

• с помощью методов OSINT (разведки по открытым источникам) или полиграфа. 

С другими категориями сотрудников-шпионов сложнее. Даже если специалист работает много лет без нареканий, то обстоятельства, финансовые трудности или чувство мести могут подтолкнуть его перейти на «сторону зла». Поэтому тут важно, чтобы службы безопасности и руководство компании работали в тандеме. Если коллектив небольшой, то заметить неладное проще по косвенным признакам. Например, несоразмерные зарплате траты или резкое изменение поведения – это повод присмотреться к человеку. 

Если коллектив большой, на помощь приходят специальные контролирующие программы – DLP-системы. Они защищают от утечек данных. Их функционал также позволяет отследить подозрительные переписки и другие действия сотрудника, которые могут указывать на его мотив.

Продвинутые DLP-системы, кроме того, обладают функционалом поведенческого анализа (цифровой профайлинг, UEBA и другие инструменты). Преимущество такого «компьютерного психолога» в том, что он отслеживает изменение поведения непрерывно и его невозможно обмануть, контролируя отдельные сообщения или действия. 

Важна и профилактика. Необходимо проводить инструктаж о правилах информационной безопасности и о том, чем может быть чревата утечка корпоративной информации. С новыми сотрудниками нужно подписывать документ о неразглашении информации. Это и формальность на случай обращения в суд, и отрезвляющий инсайдера документ: так он понимает, что к защите информации в компании относятся серьёзно. 

Что делать, если сотрудник заподозрен в работе на конкурента

Если есть подозрения, что сотрудник не чист на руку, проведите служебное расследование, чтобы выяснить: не подставили ли его, действовал ли он один или с сообщниками (внутри и снаружи), какой объём информации пострадал.

Увольнять ли в случае, если есть сомнения в нарушении или даже если вина доказана? Это в каждой компании решают самостоятельно. Мне известны разные случаи. Но чаще всего увольнение, действительно, оказывается лучшим вариантом, который позволяет избежать ещё большего инцидента в будущем. Да и пошатнувшееся доверие – не лучший спутник рабочих отношений. Обычно разговора и самого факта, что человека поймали на шпионаже, бывает достаточно, чтобы он уволился самостоятельно.

На более серьёзные меры – например, на судебный иск против нарушителя – пока компании решаются неохотно. Хотя именно такие прецеденты и меняют отношение к информации как к ценному активу.

Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в «ВКонтакте» и канал на «Яндекс.Дзен».