Тренинги, юристы и DLP-системы

Как обезопасить компанию от внутренних угроз.

Материал подготовлен при поддержке Falcongaze

Тренинги, юристы и DLP-системы

В марте 2017 года полиция Шанхая арестовала 34-летнего мужчину по фамилии Гу. На тот момент он три года работал в New Oriental — самой крупной частной образовательной компании в Китае. Гу завладел личными делами 20 млн студентов и продавал их образовательным организациям из-за рубежа. Их интересовали студенты, которые после выпуска из New Oriental собирались продолжить обучение за пределами Китая.

Гу успел заработать $1450 — сравнительно немного, учитывая объём данных, которые попали ему в руки. После задержания он признался, что получил неограниченный доступ к личным делам студентов, учащихся в шанхайских школах New Oriental, как только поступил на должность маркетингового менеджера в компании.

В январе того же года из фирмы Avison Young ушли работать в конкурирующую компанию три брокера. Вместе с собой они унесли на флешках 9,7 млн единиц конфиденциальной информации: стратегические планы, исследования рынка, финансовые отчёты и данные о клиентах Avison Young из Торонто.

Инциденты, когда угрозой для компании становятся собственные сотрудники, случаются чаще, чем кажется — последний из подтверждённых произошёл 28 февраля 2018 года. Они особенно опасны, поскольку злоумышленником выступает человек изнутри, знакомый со структурой компании. Ему известно, какие данные наиболее ценны и где они находятся.

Разновидности мошенников

Угрозы для безопасности компаний бывают двух типов: внутренние и внешние. Цели злоумышленников в обоих случаях не особенно отличаются — они действуют ради материальной выгоды. Разница кроется в способах нанесения ущерба и его масштабе.

«Внешние» мошенники пытаются внедрить в сеть компании вредоносные программы. Такие атаки обычно не наносят значительный ущерб — злоумышленники «веерно» атакуют несколько организаций или отдельных пользователей, используя один и тот же алгоритм.

Например, проверяют на наличие уязвимостей все сайты, где используется определенная система управления контентом. Если уязвимость не закрыта, злоумышленники могут внедрить код, перенаправляющий пользователей на вредоносные сайты, или майнить криптовалюты на их компьютерах.

Автор этого видео использует уязвимость системы управления контента, чтобы взломать сайт фирмы Showcase Mode Home — всего за шесть минут

Гораздо опаснее целевые атаки, которые направлены на конкретные компании. В этом случае предварительно собирается максимально возможное количество информации об организации, а все её информационные ресурсы проверяются на наличие уязвимостей.

Внутренним мошенничеством занимаются сами сотрудники компании. Их можно поделить на три типа:

  • «Обиженные». В качестве мести работодателю могут саботировать работу организации. Например, забрать при увольнении базу данных, чтобы потом опубликовать её в открытом доступе.
  • Мошенники, преследующие личную выгоду. Это сотрудники, практикующие «откаты», взятки, работу с аффилированными лицами и другие способы получения личной выгоды в ущерб компании.
  • Внедренные или завербованные инсайдеры. Сотрудники компании, вступившие в сговор с конкурентами. Встречаются не так часто, но могут нанести фатальный ущерб.

К третьей группе можно отнести и сотрудников, которые совершают утечку случайно — прикрепляют к письму не тот файл или отправляют важное письмо не той группе рассылки.

Чаще всего крадут: базы клиентов, внутренние разработки, тендерную информацию, чертежи и части кода.

Инсайдеров или сотрудников, преследующих личную выгоду, можно обнаружить, если внимательно изучить внутреннюю работу компании. Маркерами могут быть странности в бухгалтерских документах: пропажа бумаг, странные скидки, копии вместо оригиналов. Или нетипичное поведение сотрудников — например, необоснованная «любовь» к определенному контрагенту или внезапные траты на предметы роскоши.

Эти признаки могут и не свидетельствовать о мошенничестве, однако провести расследование после их обнаружения необходимо. В ручном режиме контролировать документооборот и наблюдать за поведением сотрудников неудобно — для этого существуют DLP-системы.

DLP-система — продукт для предотвращения утечек информации. Программа анализирует потоки данных в корпоративной сети — если происходит что-то подозрительное, она либо блокирует передачу, либо извещает службу безопасности. Также современные DLP-системы могут вычислять неблагонадёжных сотрудников компании.

Зачастую нарушения вскрываются уже после первичной проверки с помощью DLP. Это бывают договоры об откатах, оформленные прямо на рабочем месте, пересылка конфиденциальной информации конкурентам и использование оборудования компании для майнинга, игр в «танки» и подработок «на стороне».

Профиль сотрудника в DLP-системе SecureTower от Falcongaze
Профиль сотрудника в DLP-системе SecureTower от Falcongaze

Аспекты безопасности

Чем раньше в организации задумываются о безопасности, тем лучше. В совсем небольших компаниях этим вопросом обычно занимается руководитель, а при дальнейшем росте нанимается специалист. Для компаний из разных сфер деятельности этот этап наступает в разное время.

Безопасность компании можно условно разделить на три аспекта, которые работают комплексно: «бумажный», организационный и технический.

В первом активно участвуют юристы: подготавливается политика безопасности и перечень сведений, составляющих коммерческую тайну в соответствии с Федеральным законом №98. В политике указываются основные правила компании — например, там может быть сказано, что рабочий компьютер используется исключительно для выполнения должностных обязанностей.

После формирования перечня конфиденциальных сведений с сотрудниками можно подписывать NDA (соглашение о неразглашении). Оно крайне желательно для компании любого масштаба и формы собственности — это один из инструментов юридического регулирования отношений между работником и работодателем.

Если ведется мониторинг сотрудников, нужны специальные приложения или поправки для трудовых договоров — работники должны согласиться с тем, что за их активностью будут наблюдать.

DLP-система отслеживает даже то, о чём переписываются в коллективе
DLP-система отслеживает даже то, о чём переписываются в коллективе

Организационную работу вместе с «безопасниками» ведут сотрудники отдела кадров. Она начинается с понятных регламентов, в которых говорится, что можно делать на рабочем месте, а что нельзя. Также нужно регулярно анализировать случившиеся инциденты и проводить тренинги — учить людей пользоваться антивирусами и не реагировать на фишинговые сообщения.

Тут очень важна коммуникация: зачастую «безопасников» воспринимают как врагов, которые надоедают своими требованиями и мешают работать. Если не объяснять, зачем вводятся правила, их с большей вероятностью не будут соблюдать.

DLP-система помогает проверить, насколько сотрудники усвоили информацию, и выявить тех, кто продолжает нарушать регламенты. С ними можно проводить дополнительное обучение, а если случай совсем безнадёжный, то стоит задуматься о применении санкций.

Полная сводка по активности сотрудника за день
Полная сводка по активности сотрудника за день

К технологическому аспекту относятся не только файрволы и DLP-системы, но и видеокамеры с антивирусами — DLP при этом упоминаются в государственном стандарте информационной безопасности. Значит, полученные через них данные можно использовать как доказательство в суде.

С помощью этих средств собирается информация для внутренних расследований: из DLP-системы можно извлечь логи и переписки мошенника, а видеонаблюдение покажет, что за компьютером находился именно этот человек.

Кроме того, система работает и в активном режиме. Если кто-то в компании попытается отправить однозначно конфиденциальный документ по почте, DLP заблокирует пересылку и уведомит сотрудника безопасности. Общение с конкурентом может быть обнаружено на основе словарей, по частичному совпадению переданных данных с конфиденциальным документом или «всплеску» переписок в Telegram.

Обнаруженная утечка бухгалтерского баланса
Обнаруженная утечка бухгалтерского баланса

Согласно популярному мифу, работодатель не имеет права читать письма и сообщения сотрудников, потому что это противоречит Конституции и УК РФ. На деле же любая переписка на компьютере компании считается рабочей, поэтому доводы о вмешательстве в частную жизнь не работают. В частности, это подтверждается решением Европейского суда по правам человека.

При этом мониторинг не означает, что начальник вместе со службой безопасности будет читать все сообщения сотрудников — анализом занимается программа, а не человек. Люди вмешиваются только если пользователь начинает вести себя подозрительно. При этом к его переписке есть доступ только у ответственных лиц, работа которых регламентирована. У них просто нет права залезать в личные сообщения, не связанные с вопросами безопасности.

SecureTower от компании Falcongaze — это комплексное DLP-решение для организаций. Система автоматически анализирует все каналы коммуникации на предмет нарушения правил безопасности по множеству параметров — даже документы, которые пересылаются на печать.

SecureTower распознаёт текст, написанный транслитом, и графическую информацию, позволяет следить за активностью сотрудников и хранит всю историю деловых переписок. Для установки системы достаточно нескольких часов — закупать дополнительное оборудование при этом в большинстве случаев не нужно.

6 комментариев

Чисто выглядит интерфейс без чата справа. Я про сайт vc.ru

1
Ответить

хм
ведь по сути агент на десктопе это кейлоггер, перехватчик сообщений, сниффер трафика, анализатор трафика.
классная вещь если надо за кем то проследить, нщё бы доступ к камере( если есть) и экран в реальном времени можно было смотреть и я б купил

Ответить

Покупайте. Все есть)

Ответить

На рынке есть куда более развитые DLP системы, которые включают всё то, что показано в этой рекламной статье плюс ещё многое чего.
Взять хотя бы как пример программу "Гарда Предприятие". Первая строчка в гугле

Ответить

Вообще в заголовке стоит DLP-системЫ, а по сути рекламная статья одной конкретной системы.

Ответить

Электронный концлагерь всё ближе...

Ответить