Три ярких примера кражи данных сотрудниками: чего ждать и как предотвратить

Три ярких примера кражи данных сотрудниками: чего ждать и как предотвратить

Вопросы информационной безопасности пока мало обсуждаются в России, хотя их актуальность очевидна. По данным института Понемона, в 2023 г. 71% компаний по всему миру столкнулись с проблемой утечки данных, причем 2/3 потерь связаны с действиями сотрудников. Рассказываем, с чем сталкиваются наши клиенты и как избежать проблем.

Кейс 1: несанкционированное копирование данных перед увольнением сотрудника

Что произошло?

Сотрудник одной из компаний решил сменить место работы и забрать с собой важные документы. Он скопировал их в отдельную папку, заархивировал и ждал удобного случая, чтобы вынести за периметр.

Как сработала система защиты данных?

Компания использует ПО Staffcop Enterprise. На каждом рабочем компьютере установлен агент, который собирает данные о действиях работников и передает на сервер – там система анализирует их в соответствии с принятыми политиками безопасности.

Когда сотрудник архивировал данные, сработал фильтр мониторинга активности архиватора. Он отслеживает запуск архивационных программ, создание и редактирование архивных файлов. Система провела контентный анализ и выдала офицеру информационной безопасности сигнал о том, что были скопированы и заархивированы важные документы. Злоумышленник не успел продать информацию как планировал.

Функционал Staffcop позволяет проверить содержимое даже тех архивов, которые защищены паролем. Программный кейлоггер отслеживает ввод символов с клавиатуры, после чего перехваченный пароль используется для анализа заархивированных файлов.

Каких потерь удалось избежать?

Утечка конфиденциальных данных и интеллектуальной собственности, разглашение или продажа информации третьим сторонам – всё это может обернуться для компании серьезными финансовыми потерями. Уже не говоря о том, что сливы конфиденциальной информации могут привести к судебным разбирательствам, штрафам, ущербу для репутации компании.

Что делать, чтобы не допустить подобного?

Необходимо проводить мониторинг активности сотрудников. Особенно это важно для компаний, которые работают в инновационных отраслях, где конфиденциальность играет решающую роль. А также стоит усилить мониторинг за сотрудниками при подозрениях на недобросовестное поведение и перед увольнением. Практика показывает, что сотрудники, которые планируют сменить работу, – отдельная группа риска. Это большая тема, мы подробно разберем ее в одной из публикаций: расскажем, как предугадать действия работника и что с этим делать.

Кейс 2: попытка кражи с помощью USB-устройства

Что произошло?

Один из сотрудников крупной компании решил скинуть важные файлы на флешку и унести с собой. При этом он был в курсе, что в организации действует регламент, определяющий порядок работы с конфиденциальной информацией. Проще говоря, вынос данных на личных устройствах работников был запрещен. Поэтому, чтобы отвести от себя подозрения, он записал информацию с компьютера коллеги.

Staffcop зафиксировал перенос большого объема данных на USB-накопитель. Естественно, вопросы возникли к сотруднику, с чьего компьютера зафиксировали слив. Но внутреннее расследование показало, что пользователь ПК не при чем.

Как это сделали? Система определила, что ранее эта флешка регулярно подключалось к соседнему компьютеру. Сотрудник, который за ним работал, в итоге признался, что подсмотрел пароль учетной записи соседа и записал данные с его компьютера.

Кстати, вынос данных на флешке — один из самых распространенных способов кражи конфиденциальных данных сотрудниками компаний.

Как сработала система защиты данных?

ПО Staffcop не только сообщило о сохранении данных на флешку, но и отследило, где устройство регулярно использовалось раньше. Для этого применили специальные инструменты расследования:

  • Настроили фильтры для отслеживания событий записи файлов на USB-устройства.
  • В линзе событий выбрали интересующее событие и конкретный USB-накопитель.
  • Сняли фильтры по пользователю, по типу устройства и типу события, чтобы просматривать только факты использования конкретной флешки.
  • Провели сортировку по количеству событий.

Программное расследование позволило выявить владельца флешки, восстановить репутацию невиновного сотрудника и привлечь к ответственности виновного.

Каких потерь удалось избежать?

Основной риск — финансовые потери в случае продажи информации, а также ее использования конкурентами. К тому же возможны технические уязвимости: если личный USB-накопитель работника заражен вирусами, они могут проникнуть в корпоративную сеть.

Что делать, чтобы не допустить подобного?

Чтобы обеспечить безопасность важных данных и конфиденциальной информации компании, мы рекомендуем:

  • Использовать криптографическую защиту. Все важные данные, особенно связанные с интеллектуальной собственностью, должны храниться и передаваться в зашифрованном виде.
  • Регулярно проводить аудит системы безопасности для выявления возможных уязвимостей.
  • Внедрить систему управления доступом: каждый работник должен иметь доступ только к тем данным, которые нужны для выполнения его обязанностей.

Своим клиентам мы советуем использовать систему мониторинга и расследований совместно с антивирусным ПО и системой контроля и управления доступом (СКУД). Это максимально обеспечит информационную безопасность.

Кейс 3: заказ от старого клиента «ушёл мимо кассы»

Что произошло?

Еще одна тема, актуальная для многих компаний – работа «налево». В нашем случае постоянный клиент организации, которая работает с проектами в CAD-системах, предложил одному из сотрудников сделать для него работу в обход стандартных процедур. Выгода для обоих очевидна: клиент значительно экономит, сотрудник – получает хорошее вознаграждение. Надо понимать, что работа в CAD-системах, таких как Archicad или Revit, сложна и требует специальной подготовки, поэтому стоит дорого. Это объясняет, почему клиенты заинтересованы в поиске возможностей удешевления услуги.

Как сработала система защиты данных?

Проекты компании хранятся в сетевых папках, названия которых содержат год, номер проекта и другую логику. Для использования сетевых папок установлены права доступа, регулярно проводится их резервное копирование.

  • Чтобы отслеживать файлы из приложений Archicad и Revit, которые случайно или целенаправленно оказались за пределами сетевой папки, была настроена отдельная политика Staffcop.
  • Анализ снимков экрана из рабочего приложения показал, что в то время, когда работник должен был заниматься одним проектом, он работал над другим.
  • Дополнительно был настроен мониторинг работы в нерабочее время. Этот фильтр показывает, кто работает в приложении после окончания рабочего дня и в выходные дни.
Офицер информационной безопасности обнаружил неизвестный проект за пределами сетевой папки, установил, что сотрудник в рабочее время отвлекался от основного проекта и использовал приложение Archicad в выходные дни. Такое расследование можно провести буквально за полчаса, если система безопасности отлажена.

Каких потерь удалось избежать?

В первую очередь речь идет о прямых финансовых потерях. Выполнение работниками «подпольных» проектов без официального заказа ведет к потере выручки от постоянных клиентов, для привлечения которых были затрачены внушительные ресурсы.

Также есть потенциальные риски. К ним можно отнести потерю ценной информации, которая хранится вне общей инфраструктуры и сетевой папки. А также снижение производительности и качества работы сотрудника из-за его переработок.

Что делать, чтобы не допустить подобного?

Чтобы избежать работы сотрудников на стороне с использованием корпоративных ресурсов, нужно:

  • Разработать и внедрить регламент, который регулирует процессы размещения заказов и выполнения проектов.
  • Обеспечить соблюдение этого регламента. Ознакомить сотрудников с процедурами и стандартами компании, с правилам этики и конфиденциальности.
  • Мониторить активность пользователей и быстро реагировать на обнаруженные угрозы.

Чтобы избежать утечки данных внутри компании, следует внедрить четкие регламенты по информационной безопасности и обеспечить мониторинг деятельности сотрудников через специализированное ПО. Такие системы, как Staffcop обеспечивают постоянный мониторинг выполнения политики ИБ. Если инцидент произошел – вы сможете отследить его в режиме реального времени, а если пропустили – быстро расследовать.

При этом важно соблюсти баланс между необходимостью защиты информации и сохранением доверительной атмосферы в коллективе. ПО должно работать незаметно, чтобы у персонала не возникало ощущения постоянной слежки, а у сотрудников СИБ были действенные инструменты для контроля безопасности и расследования инцидентов.

С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней – оставляйте заявку на сайте. А также подписывайтесь на соцсети VK и ТГ, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.

22
1 комментарий

"Покемона" 😂