Три ярких примера кражи данных сотрудниками: чего ждать и как предотвратить
Вопросы информационной безопасности пока мало обсуждаются в России, хотя их актуальность очевидна. По данным института Понемона, в 2023 г. 71% компаний по всему миру столкнулись с проблемой утечки данных, причем 2/3 потерь связаны с действиями сотрудников. Рассказываем, с чем сталкиваются наши клиенты и как избежать проблем.
Кейс 1: несанкционированное копирование данных перед увольнением сотрудника
Что произошло?
Сотрудник одной из компаний решил сменить место работы и забрать с собой важные документы. Он скопировал их в отдельную папку, заархивировал и ждал удобного случая, чтобы вынести за периметр.
Как сработала система защиты данных?
Компания использует ПО Staffcop Enterprise. На каждом рабочем компьютере установлен агент, который собирает данные о действиях работников и передает на сервер – там система анализирует их в соответствии с принятыми политиками безопасности.
Когда сотрудник архивировал данные, сработал фильтр мониторинга активности архиватора. Он отслеживает запуск архивационных программ, создание и редактирование архивных файлов. Система провела контентный анализ и выдала офицеру информационной безопасности сигнал о том, что были скопированы и заархивированы важные документы. Злоумышленник не успел продать информацию как планировал.
Функционал Staffcop позволяет проверить содержимое даже тех архивов, которые защищены паролем. Программный кейлоггер отслеживает ввод символов с клавиатуры, после чего перехваченный пароль используется для анализа заархивированных файлов.
Каких потерь удалось избежать?
Утечка конфиденциальных данных и интеллектуальной собственности, разглашение или продажа информации третьим сторонам – всё это может обернуться для компании серьезными финансовыми потерями. Уже не говоря о том, что сливы конфиденциальной информации могут привести к судебным разбирательствам, штрафам, ущербу для репутации компании.
Что делать, чтобы не допустить подобного?
Необходимо проводить мониторинг активности сотрудников. Особенно это важно для компаний, которые работают в инновационных отраслях, где конфиденциальность играет решающую роль. А также стоит усилить мониторинг за сотрудниками при подозрениях на недобросовестное поведение и перед увольнением. Практика показывает, что сотрудники, которые планируют сменить работу, – отдельная группа риска. Это большая тема, мы подробно разберем ее в одной из публикаций: расскажем, как предугадать действия работника и что с этим делать.
Кейс 2: попытка кражи с помощью USB-устройства
Что произошло?
Один из сотрудников крупной компании решил скинуть важные файлы на флешку и унести с собой. При этом он был в курсе, что в организации действует регламент, определяющий порядок работы с конфиденциальной информацией. Проще говоря, вынос данных на личных устройствах работников был запрещен. Поэтому, чтобы отвести от себя подозрения, он записал информацию с компьютера коллеги.
Staffcop зафиксировал перенос большого объема данных на USB-накопитель. Естественно, вопросы возникли к сотруднику, с чьего компьютера зафиксировали слив. Но внутреннее расследование показало, что пользователь ПК не при чем.
Как это сделали? Система определила, что ранее эта флешка регулярно подключалось к соседнему компьютеру. Сотрудник, который за ним работал, в итоге признался, что подсмотрел пароль учетной записи соседа и записал данные с его компьютера.
Кстати, вынос данных на флешке — один из самых распространенных способов кражи конфиденциальных данных сотрудниками компаний.
Как сработала система защиты данных?
ПО Staffcop не только сообщило о сохранении данных на флешку, но и отследило, где устройство регулярно использовалось раньше. Для этого применили специальные инструменты расследования:
- Настроили фильтры для отслеживания событий записи файлов на USB-устройства.
- В линзе событий выбрали интересующее событие и конкретный USB-накопитель.
- Сняли фильтры по пользователю, по типу устройства и типу события, чтобы просматривать только факты использования конкретной флешки.
- Провели сортировку по количеству событий.
Программное расследование позволило выявить владельца флешки, восстановить репутацию невиновного сотрудника и привлечь к ответственности виновного.
Каких потерь удалось избежать?
Основной риск — финансовые потери в случае продажи информации, а также ее использования конкурентами. К тому же возможны технические уязвимости: если личный USB-накопитель работника заражен вирусами, они могут проникнуть в корпоративную сеть.
Что делать, чтобы не допустить подобного?
Чтобы обеспечить безопасность важных данных и конфиденциальной информации компании, мы рекомендуем:
- Использовать криптографическую защиту. Все важные данные, особенно связанные с интеллектуальной собственностью, должны храниться и передаваться в зашифрованном виде.
- Регулярно проводить аудит системы безопасности для выявления возможных уязвимостей.
- Внедрить систему управления доступом: каждый работник должен иметь доступ только к тем данным, которые нужны для выполнения его обязанностей.
Своим клиентам мы советуем использовать систему мониторинга и расследований совместно с антивирусным ПО и системой контроля и управления доступом (СКУД). Это максимально обеспечит информационную безопасность.
Кейс 3: заказ от старого клиента «ушёл мимо кассы»
Что произошло?
Еще одна тема, актуальная для многих компаний – работа «налево». В нашем случае постоянный клиент организации, которая работает с проектами в CAD-системах, предложил одному из сотрудников сделать для него работу в обход стандартных процедур. Выгода для обоих очевидна: клиент значительно экономит, сотрудник – получает хорошее вознаграждение. Надо понимать, что работа в CAD-системах, таких как Archicad или Revit, сложна и требует специальной подготовки, поэтому стоит дорого. Это объясняет, почему клиенты заинтересованы в поиске возможностей удешевления услуги.
Как сработала система защиты данных?
Проекты компании хранятся в сетевых папках, названия которых содержат год, номер проекта и другую логику. Для использования сетевых папок установлены права доступа, регулярно проводится их резервное копирование.
- Чтобы отслеживать файлы из приложений Archicad и Revit, которые случайно или целенаправленно оказались за пределами сетевой папки, была настроена отдельная политика Staffcop.
- Анализ снимков экрана из рабочего приложения показал, что в то время, когда работник должен был заниматься одним проектом, он работал над другим.
- Дополнительно был настроен мониторинг работы в нерабочее время. Этот фильтр показывает, кто работает в приложении после окончания рабочего дня и в выходные дни.
Офицер информационной безопасности обнаружил неизвестный проект за пределами сетевой папки, установил, что сотрудник в рабочее время отвлекался от основного проекта и использовал приложение Archicad в выходные дни. Такое расследование можно провести буквально за полчаса, если система безопасности отлажена.
Каких потерь удалось избежать?
В первую очередь речь идет о прямых финансовых потерях. Выполнение работниками «подпольных» проектов без официального заказа ведет к потере выручки от постоянных клиентов, для привлечения которых были затрачены внушительные ресурсы.
Также есть потенциальные риски. К ним можно отнести потерю ценной информации, которая хранится вне общей инфраструктуры и сетевой папки. А также снижение производительности и качества работы сотрудника из-за его переработок.
Что делать, чтобы не допустить подобного?
Чтобы избежать работы сотрудников на стороне с использованием корпоративных ресурсов, нужно:
- Разработать и внедрить регламент, который регулирует процессы размещения заказов и выполнения проектов.
- Обеспечить соблюдение этого регламента. Ознакомить сотрудников с процедурами и стандартами компании, с правилам этики и конфиденциальности.
- Мониторить активность пользователей и быстро реагировать на обнаруженные угрозы.
Чтобы избежать утечки данных внутри компании, следует внедрить четкие регламенты по информационной безопасности и обеспечить мониторинг деятельности сотрудников через специализированное ПО. Такие системы, как Staffcop обеспечивают постоянный мониторинг выполнения политики ИБ. Если инцидент произошел – вы сможете отследить его в режиме реального времени, а если пропустили – быстро расследовать.
При этом важно соблюсти баланс между необходимостью защиты информации и сохранением доверительной атмосферы в коллективе. ПО должно работать незаметно, чтобы у персонала не возникало ощущения постоянной слежки, а у сотрудников СИБ были действенные инструменты для контроля безопасности и расследования инцидентов.
С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней – оставляйте заявку на сайте. А также подписывайтесь на соцсети VK и ТГ, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.