Инсайдеры и «кроты». Как не позволить своим сотрудникам «слить» конфиденциальную информацию?
30.10.2020
Любая организация старается сохранить информацию определённого рода в тайне. Это могут быть уникальные разработки, клиентские базы, данные о сотрудниках. Все эти данные несут опасность для компании. Конкуренты могут украсть разработки и сделать аналогичный продукт по более выгодной цене, заполучить доступ к клиентской базе и увести клиентов, оставив создателей оригинального продукта ни с чем.
Благодаря развитию технологий хранить и структурировать информацию стало проще. Можно разместить сервер, на котором будут находиться база клиентов, необходимые для работы сотрудников данные и информация о сотрудниках. За пару кликов мышкой можно вывести на экран именно те блоки информации, которые нужны на данный момент.
Однако эта простота принесла с собой уязвимость. Злоумышленники могут получить доступ к серверу и украсть конфиденциальную информацию, чтобы использовать её в своих интересах.
Справиться с этой проблемой помогает защитное программное обеспечение, которое не позволит подключиться извне. Но что делать, если данные пытается украсть ваш же сотрудник?
Инсайдеры и «кроты». Кто это?
Инсайдером можно назвать любого человека, который имеет доступ к конфиденциальной информации. Тех же, кто целенаправленно пытается украсть эту информацию изнутри компании, называют «кротами». Это своего рода «плохие инсайдеры». И проблема «кротов» на данный момент является чуть ли не самой важной при обеспечении информационной безопасности организации.
«Крот» может практически беспрепятственно получить доступ к важной информации, потому что он действует внутри организации. Ему не нужно обходить защитные механизмы, потому что у него изначально есть доступ к данным. Следовательно, такие люди несут куда большую опасность для организации, чем хакеры, которые пытаются взломать систему извне.
Как и почему «сливают» информацию?
Причин для распространения конфиденциальной информации может быть много. Например, сотрудник компании мог случайно отправить важные документы не тому человеку.
Но чаще всего информацию из компании «выносят» именно «кроты», и у них для этого может быть целый ряд причин, таких как:
- Деньги. Конкуренты могут предложить сотруднику большую сумму денег за конфиденциальную информацию;
- Обида. Сотрудника могли не повысить несколько раз подряд, хотя он из кожи вон лезет на работе и идеально подходит для более высокой должности. Или его могли необоснованно сократить и перед уходом сотрудник мог захватить с собой «сувенир», чтобы отомстить уже бывшему работодателю;
- Идеология. Сотрудник компании может иметь иные представления о совести и справедливости. Эти взгляды могут сподвигнуть его на «слив» информации. Хорошим примером подобной мотивации можно считать недавний инцидент в Facebook, когда сотрудник выложил на обозрение общественности документацию о системе цензурирования контента. Инсайдер заявил, что инструменты, направленные направлены не против «троллей», как официально заявляется, а против людей с консервативными политическими взглядами.
В любом случае, «сливы» информации несут опасность для любой организации, потому что наносят ущерб сразу в нескольких векторах: экономический, репутационный и моральный. Любая организация потеряет репутацию, если вскроется факт распространения конфиденциальной информации, что вызовет потерю клиентов, а также нанесёт удар по моральному духу и продуктивности работы коллектива.
Как с этим бороться?
Как только произошёл «слив», сделать что-то с самой информацией уже невозможно. Можно только попробовать найти виновника инцидента и, например, обратиться в суд с требованием компенсировать ущерб. Но ситуацию это уже не поправит.
К счастью, сам процесс «сливания» информации нередко довольно длительный, что позволяет вычислить «крота» и принять против него меры во время его деятельности внутри компании. Например, провести дезинформацию подозреваемых или заслать им маркированную информацию и по ней вычислить виновных в утечке. В таком случае шансы предотвратить утечку информации есть, но не 100%, потому что можно просто не успеть его вычислить.
Поэтому лучшим решением будет принятие превентивных мер как на физическом, так и на программном уровне.
Говоря о физическом уровне можно предложить усиление охраны и её тренировку, запрет на вынос документации и т.д.
Если говорить про программный уровень, то прекрасным выбором будет установка DLP-системы. Правильно настроенный программный продукт сможет в автоматическом режиме отслеживать активность сотрудников, выявлять неблагоприятные в контексте информационной безопасности ситуации и быстро оповещать о них службу безопасности. Например, если на просматриваемый системой почтовый аккаунт сотрудника придёт сообщение с предложением продать злоумышленникам конфиденциальную информацию или сотрудник попытается отправить кому-то конфиденциальную информацию, DLP-система сразу же оповестит сотрудников службы безопасности об инциденте. Дальше можно будет проследить дальнейшую переписку сотрудника со злоумышленниками и принять меры. Или, например, сотрудник понимает, что передать файлы в режиме онлайн и остаться незамеченным невозможно. Он может попытаться распечатать эти файлы и вынести их за пределы компании. Тогда система увидит, что конфиденциальные данные были отправлены на печать и служба безопасности сможет остановить сотрудника, чтобы он эти файлы не вынес.
«Нельзя полагаться только на людей или только на DLP-систему. Они должны работать в симбиозе. Сотрудник может ошибиться и отправить конфиденциальные документы не туда. Вашу службу безопасности можно убедить позволить вынести ценные данные. Деньгами, просто втеревшись в доверие, хорошо спрятав украденные файлы — неважно. Это можно сделать. А DLP-система в любом случае скажет всем, кому надо, что кто-то пытается украсть важные данные. И если не служба безопасности, то кто-то другой сможет помешать злоумышленнику это сделать. По отдельности человек и машина представляют собой лишь малоэффективные полумеры. А в чём смысл хоть что-то предпринимать для обеспечения информационной безопасности, если используются неэффективные методы?» — прокомментировал генеральный директор Falcongaze Александр Акимов.