Как отследить подозрительную активность сотрудников: наглядные примеры от Staffcop
Большинство утечек происходит по вине сотрудников. Поэтому важно контролировать их действия. Покажем на примере нашего ПО, как вовремя обнаружить подозрительную активность, проанализировать действия сотрудника, определить, являются ли они угрозой ИБ, и принять меры.
Какие ситуации должны насторожить
В норме сотрудники на рабочем месте ежедневно выполняют некий набор стандартных действий, и отклонения от этого стандарта могут стать сигналом об угрозе информационной безопасности. Такими отклонениями могут быть активность сотрудника в нерабочее время, если он работает удаленно, создание и копирование нехарактерных файлов, попытки отправить документы за периметр компании.
Но как определить опасные аномалии в поведении? Визуальное наблюдение требует времени и сил, к тому же не дает необходимых результатов. Отследить подозрительную активность поможет специальное ПО.
Какие данные по сотруднику можно посмотреть
С помощью системы Staffcop можно изучить активность каждого специалиста компании в разных аспектах.
Время работы (периоды активности)
Не секрет, что продуктивное рабочее время не составляет 100%: сотрудники отвлекаются на телефонные звонки, перерывы на кофе, разговоры. С помощью системы можно легко отследить, сколько времени у человека ушло на решение рабочих задач, а сколько — на другие занятия в течение рабочего дня. Система покажет, в котором часу сотрудник начал работать, сколько времени работал продуктивно, а сколько делал вид, что работает.
По отчету на скриншоте 1 видно, что 12 октября сотрудник приступил к работе в 10:37. 62% рабочего времени он был занят делом, а 34% времени играл в компьютерные игры. Красным цветом система выделяет подозрительную деятельность сотрудника, на которую стоит обратить внимание руководителю или офицеру безопасности. В отчете также видно, какие приложения использовал работник и какие сайты посещал. При желании можно вывести скриншоты по каждому сомнительному эпизоду активности сотрудника и посмотреть, что происходило на рабочей станции в конкретный момент.
Учет рабочего времени может показать и более серьезные нарушения, чем прокрастинация. Если в отчете видно, что сотрудник восемь часов подряд работал без перерывов, это повод для беспокойства. Человек не робот и не может безостановочно трудиться. Значит, здесь велика вероятность, что он имитировал работу, а сам выполнял задачи для сторонних заказчиков с другого компьютера.
Самый тревожный сигнал, когда сотрудник, не склонный к переработкам, вдруг начал заходить на корпоративные ресурсы в неурочное время. Возможно, он хочет слить информацию или планирует другое нарушение. Если такая активность зафиксирована, нужно изучить и другие данные по сотруднику, чтобы убедиться в его намерениях. Система позволяет это сделать разными способами.
В персональной карточке сотрудника объединена вся информация по этому человеку. Его рабочее время по дням: плановое, фактическое и активное, как часто он посещал тот или иной сайт или приложение. Сравнивая показатели, можно отследить всплески и падения активности сотрудника. Если есть тревожные сигналы, нужно взять сотрудника на контроль.
Посещаемые сайты
Система показывает все ресурсы, на которые заходил сотрудник в течение рабочего дня, в том числе сайты, связанные с профессиональной деятельностью. Посещение сторонних сайтов говорит не только о том, что сотрудник непродуктивно растрачивал рабочее время, но и сигнализирует о серьезной проблеме для компании. Вредоносные агенты могут заразить систему, что повлечет утечку личных данных или кражу корпоративной информации.
Отображаются дата и время события ИБ, его тип, устройство, с которого посещали сторонний сайт, фамилия пользователя, сайт и скрин конкретной страницы
Кроме того, по отслеживанию посещаемых сайтов легко предположить, кто собирается покинуть компанию, потому что такие сотрудники будут чаще всего посещать джоб-сайты. Система зафиксирует эти действия и отправит уведомление эйчару и офицеру безопасности для дальнейшего контроля. Желающие покинуть компанию находятся в группе риска, и за ними стоит наблюдать. Случаи, когда сотрудник перед увольнением готовился прихватить базу данных или разработки компании, не единичны.
Чтобы ограничить нежелательное посещение сторонних ресурсов, в системе настраивается список разрешенных программ и сайтов по категориям сотрудников и специфике работы. Посещение сайтов по поиску работы можно ограничить всем работникам, кроме HR-подразделения, а посещение торговых площадок запретить всем, кроме отдела закупок. При этом офицер ИБ будет видеть попытку сотрудника зайти на запрещенный ресурс, а у пользователя на экране отобразится код ошибки.
Поиск по словарям
Система способна выявлять инциденты ИБ по стоп-словам. Для этого в системе создают словари, которые связаны с конкретной тематикой: наркотической, экстремистской, долговой, откатной, алкогольной, религиозной, поиска работы и так далее. Появление в переписке у сотрудника слов из словарей должно насторожить отдел ИБ и руководителей компании. Например, если человек начинает использовать слова экстремистской тематики, то есть вероятность, что его пытаются завербовать. Слишком частое употребление религиозных терминов может свидетельствовать, что сотрудник попал в секту. На такого человека нужно обратить особое внимание, выяснить, чем вызвано употребление в переписке «запрещенных» слов.
Система не только реагирует на количество триггерных слов, но и учитывает содержание и атрибуты события. С помощью словарей можно обнаружить передачу структурированной информации — личных данных, служебных и конфиденциальных документов — и предотвратить слив.
Копирование и отправка файлов
Один из главных признаков того, что сотрудник пытается сливать корпоративную информацию, — участившиеся копирование и отправка файлов по почте и в мессенджерах. Система отслеживает такие инциденты и формирует отчеты, в которых отображается активность пользователей и возникшие аномалии.
Во многих компаниях работают в CRM-системах, где хранятся данные партнеров и клиентов. Поскольку личные данные не подлежат передаче, система ищет их в переписке сотрудников и при обнаружении фиксирует инцидент в отчете. В нем отображаются дата и время события, данные отправителя, сервер, тип события, отправитель, получатель, текст сообщения и скриншот.
То же самое касается переписки за периметром компании с использованием сторонней почты. По каждому сотруднику можно отследить его почтовые связи и уточнить, что и зачем он пересылал.
Для большей безопасности в системе устанавливают специальные метки в критически важных файлах. Рядовым пользователям эти метки не видны, а офицер безопасности с их помощью отслеживает и ограничивает перемещение файлов внутри периметра и вне его, блокирует доступ сотрудникам, которые не имеют права на работу с такими файлами.
Как использовать полученную информацию
Полученные от системы отчеты в первую очередь используют офицеры службы ИБ компании. С помощью отчетов можно доказать неправомерные действия сотрудников и действовать в зависимости от ситуации.
Если сотрудник не имел злого умысла, а допустил инцидент из-за небрежности или по незнанию и это не стало критичным для компании, можно ограничиться беседой и предупреждением. Если последствия серьезные, то служба ИБ начинает расследование, которое может закончиться судом. Отчеты системы, в том числе и скриншоты, используют в качестве доказательств в суде при соблюдении ряда условий.
Система записи всех событий в компании дает возможность решить практически все задачи ИБ и контролировать информационные ресурсы на наличие аномалий или подозрительной активности. Все утечки и вторжения фиксируются на ранней стадии, что существенно снижает риски. Если же инцидент произошел, система быстро найдет источник утечки и определит имя, дату, время и объем информации.
С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней — оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.