Сотрудник ведет себя странно: угрожает ли это информационной безопасности компании?
Каждый человек во время работы выполняет определенный набор действий. В одно и то же время включает компьютер, открывает нужные папки, погружается в задачи, выполняет их. Иначе говоря, действует по определенному алгоритму. Если сотрудник вдруг начинает вести себя не как обычно, демонстрирует непривычное, аномальное, поведение — стоит присмотреться к нему повнимательнее. Это может говорить о том, что информационная безопасность компании под угрозой. Разберем этот вопрос подробно на примерах из практики Staffcop.
Сотрудник работает в интересах другой организации
Первый признак: неожиданное трудолюбие. Поясним на примере. Сотрудник, который всегда работал с 9 до 18 и не задерживался больше чем на пять минут, начал оставаться, чтобы «доделать дела» после работы, или заходит в корпоративную сеть ночью с домашнего компьютера. Если речь не идет о новом проекте или дополнительной работе, которую ему поручила компания, — велика вероятность, что сотрудник выполняет сторонний проект.
Второй признак: сотрудник перестал справляться с работой. У нас был интересный кейс на эту тему. Руководитель конструкторского бюро, наш клиент, обратил внимание, что один из сотрудников начал срывать дедлайны по проекту. Хотя нагрузки не прибавилось, он, как обычно, приходил в офис и работал полный рабочий день. В такой ситуации у компании мало возможностей предъявить человеку претензии, так как формально он свою работу делает. КБ взяло на тестирование наше ПО, и агент Staffcop показал, что тот самый сотрудник действительно весь день проводит в инженерных программах, но большинство файлов, с которыми он работает, не имеют отношения к КБ. С помощью ПО удалось не только установить сторонние проекты, но и определить заказчиков, которыми оказались бывшие клиенты компании.
Конфиденциальную информацию и наработки компании сотрудник применял для работы на стороннюю организацию. Использовал для этого рабочее оборудование и свое рабочее время, из-за чего снижалось качество выполнения его непосредственных обязанностей.
Сотрудник проводит время на сторонних сайтах
Третий признак: снизилась производительность. У нас в практике был пример, когда у нашего партнера производительность упала по всей компании. В начале сентября сотрудники перестали выполнять план. По нашему ПО руководитель получил данные, проанализировал их и увидел, что работники, у которых есть дети, уже месяц занимаются подготовкой к школе: покупают на маркетплейсах форму и канцелярские принадлежности, общаются в родительских чатах. Сторонние ресурсы на компьютерах сотрудников заблокировали, и продуктивность выросла до прежних объемов и даже превысила их.
Кроме очевидного — недоработок, здесь есть еще и скрытая угроза. Сотрудники неумышленно могут занести вирусы с нерабочих сайтов.
За рабочим компьютером другой человек
Ситуация характерна для дистанционных работников. У нас был кейс, когда двое удаленщиков вступили в сговор и один в течение рабочего дня имитировал деятельность второго через его компьютер. Заметить подмену в этом случае очень сложно. Главный признак — непривычно равномерное распределение рабочего времени. Дело в том, что человек не может 8 часов в день работать непрерывно: активность чередуется с паузами, человек отвлекается на телефонные звонки или пьет чай, например. Продуктивное время без простоев — тревожный сигнал.
Заметить и выявить нарушение удалось с помощью ПО. Staffcop проанализировал отчеты в «Учете рабочего времени», по видеозаписям экрана и данным, полученным с веб-камеры ноутбука работника.
Более сложная ситуация, когда работа не имитируется, а выполняется, но другим человеком. Например, сотрудник перепродал свою задачу. Здесь на аномалию может указывать непривычное форматирование текстов (шрифты, разбивки, абзацы), употребление новых слов и выражений во время переписки. Если у вас появились подозрения, нужно собрать и обработать данные по обоим пользователям минимум за неделю и сравнивать их. Но если установлено специализированное ПО, можно просто просмотреть данные с веб-камер.
В чем опасность таких ситуаций для компании? Если произойдет утечка данных, то найти виновного будет очень сложно. Сотрудник докажет, что не работал в это время за компьютером, и единственное, что ему можно будет вменить, — это халатность. И то только в том случае, если он работал с корпоративного устройства. А к личному ноутбуку работника может иметь доступ кто угодно, компания не вправе регулировать этот вопрос.
Перестраховаться и обезопасить себя можно с помощью различных настроек доступа.
Сотрудник сливает данные
Утечка данных — самая большая угроза для компании. В руки конкурентов может попасть жизненно важная информация.
Признак такой угрозы — участившаяся файловая активность: копирование файлов, отправка файлов через почту и мессенджеры, просмотр файлов, с которыми сотрудник не должен работать. Если у вас установлено специализированное ПО, такое как Staffcop, вы сможете заметить угрозу, отследив утечку в режиме реального времени. Без такой системы о сливе данных вы, скорее всего, узнаете уже после того, как они попадут в сеть или к конкурентам.
Сотрудники из группы риска
Кроме того, нужно обращать внимание на потенциальные группы риска:
Сотрудники, которые собираются уволиться
Если они уверены, что создали на работе что-то полезное, например пополнили базу клиентов, то это является их собственностью, которую можно забрать при увольнении. Определить, что человек планирует уволиться, можно по его интернет-активности. Наша система фиксирует ее по запросам в интернете, характерным для поиска работы, и отсылает уведомление о том, что сотрудник посещает соответствующие сайты. С этого момента особое внимание на подозреваемого должны обратить эйчар и офицер информационной безопасности.
Сочувствующие сотрудники
Большая и актуальная группа риска, особенно для государственных и оборонных учреждений. Из личных политических соображений они могут решиться на передачу важных данных. У нас были и такие кейсы.
Сотрудники, у которых был конфликт на работе
В этом случае стоит сразу проявить внимание и мониторить активность конкретного работника. Как показывает практика, обиженные могут сливать данные конкурентам, чего не сделали бы до конфликта. Важно понимать, что для каждой компании группы риска могут быть индивидуальными и отличаться даже в разных отделах в пределах одной компании.
Кто должен распознавать аномальное поведение?
В первую очередь обращать внимание на странное поведение сотрудника в коллективе нужно непосредственному руководителю и HR-специалисту. Офицер информационной безопасности должен отслеживать поведение всех работников в цифровой среде, он же определяет группы риска. С помощью системы ИБ он анализирует действия персонала, чтобы удостовериться в отсутствии угроз со стороны персонала.
Как определить аномалии и что делать
Чаще всего обычного визуального наблюдения за человеком недостаточно и определить аномалии можно только с помощью ПО. Staffcop Enterprise устанавливает, чем занимается сотрудник в течение дня: во сколько начал работать, сколько времени трудился, а сколько делал вид, что работает. Можно увидеть, какие сайты он посещал, кому и что писал, какие документы отправлял.
Кроме того, наше ПО позволяет настроить различные фильтры и политики, которые будут реагировать на определенные действия или слова. Система автоматически их обнаружит и оповестит отдел информационной безопасности. Также создаются отчеты о продуктивности, по которым руководители увидят аномалии в поведении сотрудника.
С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней — оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.